07 марта 2014

DLP и ISO 27001

Стандарт ISO 27001 широко используется специалистами по информационной безопасности во всем мире. Кто-то сознательно готовит свою компанию к сертификации по его требованиям, а кто-то просто рассматривает его в качестве рекомендаций. В нем, а точнее в семействе стандартов ISO 27k, можно найти много полезного, начиная от элементов комплексной и постоянно совершенствующейся системы управления информационной безопасности, до конкретных мер защиты, рекомендаций по аудиту, анализу рисков, измерению информационной безопасности.

В приложении А стандарта ISO 27001 довольно много мер. Некоторые из них можно выполнить исключительно с использованием DLP-систем, а для других DLP-системы могут существенно помочь. Мы подготовили сводную таблицу:

Задача

27001-2005
(старая версия)

27001-2013

Комментарий

1.

Инвентаризация и категорирование информации

A.7.1 Responsibility for assets

A.7.2 Information classification

A.8.1.1 Inventory of assets

A.8.2.1 Classification of information

Использование DLP для выявления и категорирования информации

2.

Контроль обмена информацией и предотвращение утечек

A.10.8 Exchange of information

A.12.5.4 Information leakage

A.13.2 Information transfer

Мониторинг и контроль передачи информации ограниченного доступа

3.

Контроль носителей информации

A.10.7 Media handling

A.8.3 Media handling

Мониторинг и контроль записи информации ограниченного доступа

Частично:

4.

Сбор событий и управление инцидентами

A.10.10 Monitoring

A.13 Information security incident management

A.12.4 Logging and monitoring

A.16 Information security incident management

События, связанные с передачей информации ограниченного доступа и/или несоответствие мест хранения информации предъявляемым требованиям

5.

Помощь в реализации «политики чистых столов и экранов»

A.11.3.3 Clear desk and clear screen policy

A.11.2.9 Clear desk and clear screen policy

В рамках контроля печати

6.

Защита персональных данных

A.15.1.4 Data protection and privacy of personal information

A.18.1.4 Privacy and protection of personally identifiable information

Мониторинг и контроль хранения и передачи информации ограниченного доступа

7.

Защита интеллектуальной собственности

A.15.1.2 Intellectual property rights (IPR)

A.18.1.2 Intellectual property rights

Напоминаем, что ISO 27001 обновился в конце 2013 года, но многие пользуются старой версией (2005). Мы сделали таблицу со ссылками на обе версии.

Подпишитесь на рассылку INFOWATCH