ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

а) должны быть определены процедуры в отношении всех возможных типов инцидентов нарушения информационной безопасности, в том числе:

1) сбои информационных систем и утрата сервисов;

2) отказ в обслуживании;

3) ошибки вследствие неполных или неточных данных;

4) нарушения конфиденциальности;

б) в дополнение к обычным планам обеспечения непрерывности (предназначенных для скорейшего восстановления систем или услуг) должны существовать процедуры выполнения требований (6.3.4):

1) анализа и идентификации причины инцидента;

2) планирования и внедрения средств, предотвращающих повторное проявление инцидентов, при необходимости;

3) использования журналов аудита и аналогичных свидетельств;

4) взаимодействия с лицами, на которых инцидент оказал воздействие или участвующих в устранении последствий инцидента;

5) информирования о действиях соответствующих должностных лиц;

в) журналы аудита и аналогичные свидетельства должны быть собраны (12.1.7) и защищены соответствующим образом с целью:

1) внутреннего анализа проблемы;

2) использования как доказательство в отношении возможного нарушения условий контракта, нарушения требований законодательства или, в случае гражданских или уголовных судебных разбирательств, касающихся, например, защиты персональных данных или неправомочного использования компьютеров;

3) ведения переговоров относительно компенсации ущерба с поставщиками программного обеспечения и услуг;

г) действия по устранению сбоев систем и ликвидации последствий инцидентов нарушения информационной безопасности должны быть под тщательным и формализованным контролем. Необходимо наличие процедур с целью обеспечения уверенности в том, что:

1) только полностью идентифицированному и авторизованному персоналу предоставлен доступ к системам и данным в среде промышленной эксплуатации (4.2.2 в отношении доступа третьей стороны);

2) все действия, предпринятые при чрезвычайных обстоятельствах, подробно документально оформлены;

3) о действиях, предпринятых при чрезвычайных обстоятельствах, сообщено руководству организации, и они проанализированы в установленном порядке;

4) целостность бизнес-систем и систем контроля подтверждена в минимальные сроки.

8.1.4 Разграничение обязанностей

Разграничение обязанностей - это способ минимизации риска нештатного использования систем вследствие ошибочных или злонамеренных действий пользователей. Необходимо рассматривать принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач и областей ответственности как способ уменьшения неавторизованной модификации или неправильного использования информации или сервисов.

Для небольших организаций эти мероприятия труднодостижимы, однако данный принцип должен быть применен насколько это возможно. В случаях, когда разделение обязанностей осуществить затруднительно, следует рассматривать использование других мероприятий по управлению информационной безопасностью, таких как мониторинг деятельности, использование журналов аудита, а также мер административного контроля. В то же время важно, чтобы аудит безопасности оставался независимой функцией.

Необходимо предпринимать меры предосторожности, чтобы сотрудник не мог совершить злоупотребления в области своей единоличной ответственности не будучи обнаруженным. Инициирование события должно быть отделено от его авторизации. Необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:

- разграничение полномочий в отношении видов деятельности, которые создают возможность сговора для осуществления мошенничества, например, формирование заказов на закупку и подтверждения получения товаров;