6 Вопросы безопасности, связанные с персоналом
6.1 Учет вопросов безопасности в должностных обязанностях и при найме персонала
Цель: минимизация рисков от ошибок, связанных с человеческим фактором, воровства, мошенничества, кражи или неправильного использования средств обработки информации.
Обязанности по соблюдению требований безопасности следует распределять на стадии подбора персонала, включать в трудовые договоры и проводить их мониторинг в течение всего периода работы сотрудника.
Следует осуществлять соответствующую проверку кандидатов на работу (6.1.2), особенно это касается должностей, предполагающих доступ к важной информации. Все сотрудники и представители третьей стороны, использующие средства обработки информации организации, должны подписывать соглашение о конфиденциальности (неразглашении).
6.1.1 Включение вопросов информационной безопасности в должностные обязанности
Функции (роли) и ответственность в области информационной безопасности, как установлено в политике информационной безопасности организации (3.1), следует документировать. В должностные инструкции следует включать как общие обязанности по внедрению или соблюдению политики безопасности, так и специфические особенности по защите определенных активов или действий, касающихся безопасности.
6.1.2 Проверка персонала при найме и соответствующая политика
Проверки сотрудников, принимаемых в постоянный штат, следует выполнять по мере подачи заявлений о приеме на работу. В них необходимо включать следующее:
- наличие положительных рекомендаций, в частности в отношении деловых и личных качеств претендента;
- проверка (на предмет полноты и точности) резюме претендента;
- подтверждение заявляемого образования и профессиональных квалификаций;
- независимая проверка подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа).
В случаях, когда новому сотруднику непосредственно после приема на работу или в ее процессе предстоит доступ к средствам обработки важной информации, например финансовой или совершенно секретной информации организации, следует выполнить специальную "проверку на доверие". В отношении сотрудников, имеющих значительные полномочия, эта проверка должна проводиться периодически.
Аналогичный процесс проверки следует осуществлять для подрядчиков и временного персонала. В тех случаях, когда прием сотрудников осуществляется через кадровое агентство, контракт с агентством должен четко определять обязанности агентства по проверке претендентов и процедурам уведомления, которым оно должно следовать, если проверка не была закончена или если результаты дают основания для сомнения или беспокойства.
Руководству организации следует оценить необходимый уровень наблюдения за новыми и неопытными сотрудниками, обладающими правом доступа к важным системам. Необходимо внедрить процедуры по периодическому контролю и утверждению действий всех сотрудников со стороны вышестоящих руководителей.
Руководителям следует учитывать, что личные проблемы сотрудников могут сказываться на их работе. Личные или финансовые проблемы сотрудников, изменения в их поведении или образе жизни, периодическая рассеянность и признаки стресса или депрессии могут быть причинами мошенничества, воровства, ошибок или других нарушений безопасности. Эту информацию следует рассматривать в соответствии с действующим законодательством.
6.1.3 Соглашения о конфиденциальности
Соглашения о конфиденциальности или соглашения о неразглашении используются для уведомления сотрудников о том, что информация является конфиденциальной или секретной. Сотрудники обычно должны подписывать такое соглашение как неотъемлемую часть условий трудового договора.
Временные сотрудники и представители третьих сторон, не попадающие под стандартный трудовой договор (содержащий соглашение о соблюдении конфиденциальности), должны подписывать отдельно соглашение о соблюдении конфиденциальности до того, как им будет предоставлен доступ к средствам обработки информации.
Соглашения о соблюдении конфиденциальности следует пересматривать при изменении условий трудового договора, особенно в случае изменения обязанностей сотрудника или истечении сроков трудовых договоров.
6.1.4 Условия трудового соглашения
Условия трудового договора должны определять ответственность служащего в отношении информационной безопасности. Там, где необходимо, эта ответственность должна сохраняться и в течение определенного срока после увольнения с работы. Необходимо указать меры дисциплинарного воздействия, которые будут применимы в случае нарушения сотрудником требований безопасности.
Ответственность и права сотрудников, вытекающие из действующего законодательства, например в части законов об авторском праве или законодательства о защите персональных данных, должны быть разъяснены персоналу и включены в условия трудового договора. Также должна быть указана ответственность в отношении категорирования и управления данными организации-работодателя. Всякий раз, при необходимости, в условиях трудового договора следует указывать, что эта ответственность распространяется и на работу вне помещений организации, и внерабочее время, например, в случае исполнения работы на дому (7.2.5 и 9.8.1).
6.2 Обучение пользователей
Цель: обеспечение уверенности в осведомленности пользователей об угрозах и проблемах, связанных с информационной безопасностью, и их оснащенности всем необходимым для соблюдения требований политики безопасности организации при выполнении служебных обязанностей.
Пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы свести к минимуму возможные риски безопасности.
6.2.1 Обучение и подготовка в области информационной безопасности
Все сотрудники организации и, при необходимости, пользователи третьей стороны должны пройти соответствующее обучение и получать на регулярной основе обновленные варианты политик и процедур информационной безопасности, принятых в организации. Обучение сотрудников должно обеспечить знание ими требований безопасности, ответственности в соответствии с законодательством, мероприятий по управлению информационной безопасностью, а также знание правильного использования средств обработки информации, например процедур регистрации в системах, использования пакетов программ, прежде чем им будет предоставлен доступ к информации или услугам.
6.3 Реагирование на инциденты нарушения информационной безопасности и сбои
Цель: сведение к минимуму ущерба от инцидентов нарушения информационной безопасности и сбоев, а также осуществление мониторинга и реагирование по случаям инцидентов.
Об инцидентах нарушения информационной безопасности следует информировать руководство в соответствии с установленным порядком, по возможности, незамедлительно.
Все сотрудники и подрядчики должны быть осведомлены о процедурах информирования о различных типах инцидентов нарушения информационной безопасности (нарушение безопасности, угроза, уязвимость системы или сбой), которые могли бы оказать негативное влияние на безопасность активов организации. Сотрудники и подрядчики должны немедленно сообщать о любых наблюдаемых или предполагаемых инцидентах определенному контактному лицу или администратору безопасности. В организации должны быть установлены меры дисциплинарной ответственности сотрудников, нарушающих требования безопасности. Для того чтобы иметь возможность реагировать на инциденты нарушения информационной безопасности должным образом, необходимо собирать свидетельства и доказательства возможно быстрее после обнаружения инцидента (12.1.7).
6.3.1 Информирование об инцидентах нарушения информационной безопасности
Об инцидентах нарушения информационной безопасности следует информировать руководство в соответствии с установленным порядком, по возможности, незамедлительно.
Необходимо внедрить формализованную процедуру информирования об инцидентах, а также процедуру реагирования на инциденты, устанавливающие действия, которые должны быть предприняты после получения сообщения об инциденте. Все сотрудники и подрядчики должны быть ознакомлены с процедурой информирования об инцидентах нарушения информационной безопасности, а также проинформированы о необходимости незамедлительного сообщения об инцидентах. Необходимо также предусмотреть процедуры обратной связи по результатам реагирования на инциденты нарушения информационной безопасности. Информация об инцидентах может использоваться с целью повышения осведомленности пользователей (6.2), поскольку позволяет демонстрировать на конкретных примерах возможные последствия инцидентов, реагирование на них, а также способы их исключения в будущем (12.1.7).
6.3.2 Информирование о проблемах безопасности
От пользователей информационных сервисов необходимо требовать, чтобы они обращали внимание и сообщали о любых замеченных или предполагаемых недостатках и угрозах в области безопасности в системах или сервисах. Они должны немедленно сообщать об этих причинах для принятия решений своему руководству или непосредственно поставщику услуг. Необходимо информировать пользователей, что они не должны ни при каких обстоятельствах самостоятельно искать подтверждения подозреваемому недостатку в системе безопасности. Это требование предъявляется в интересах самих пользователей, поскольку тестирование слабых мест защиты может быть интерпретировано как неправомочное использование системы.
6.3.3 Информирование о сбоях программного обеспечения
Для информирования о сбоях программного обеспечения необходимы соответствующие процедуры. При этом должны предусматриваться следующие действия:
- симптомы проблемы и любые сообщения, появляющиеся на экране, должны фиксироваться;
- по возможности, компьютер необходимо изолировать и пользование им прекратить. О проблеме следует немедленно известить соответствующее контактное лицо или администратора. В случае необходимости провести исследования оборудования, которое должно быть отсоединено от всех сетей организации. Дискеты не следует передавать для использования в других компьютерах;
- о факте сбоя программного обеспечения следует немедленно извещать руководителя службы информационной безопасности.
Пользователи не должны пытаться самостоятельно удалить подозрительное программное обеспечение, если они не уполномочены на это. Ликвидировать последствия сбоев должен соответственно обученный персонал.
6.3.4 Извлечение уроков из инцидентов нарушения информационной безопасности
Необходимо установить порядок мониторинга и регистрации инцидентов и сбоев в отношении их числа, типов, параметров, а также связанных с этим затрат. Эту информацию следует использовать для идентификации повторяющихся или значительных инцидентов или сбоев. Данная информация может указывать на необходимость в совершенствовании существующих или внедрении дополнительных мероприятий по управлению информационной безопасностью с целью минимизации вероятности появления инцидентов нарушения информационной безопасности, снижения возможного ущерба и расходов в будущем, кроме того, данную информацию следует учитывать при пересмотре политики информационной безопасности (3.1.2).
6.3.5 Процесс установления дисциплинарной ответственности
Должны существовать формализованные процедуры, устанавливающие дисциплинарную ответственность сотрудников, нарушивших политику и процедуры безопасности организации (6.1.4 и, в отношении свидетельств, 12.1.7). Такие процедуры могут оказывать сдерживающее воздействие на сотрудников, которые склонны к игнорированию процедур обеспечения информационной безопасности. Кроме того, подобные процедуры призваны обеспечить корректное и справедливое рассмотрение дел сотрудников, которые подозреваются в серьезных или регулярных нарушениях требований безопасности.
7 Физическая защита и защита от воздействий окружающей среды
7.1 Охраняемые зоны
Цель: предотвращение неавторизованного доступа, повреждения и воздействия в отношении помещений и информации организации.
Средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия.
Уровень защищенности должен быть соразмерен с идентифицированными рисками. С целью минимизации риска неавторизованного доступа или повреждения бумажных документов, носителей данных и средств обработки информации, рекомендуется внедрить политику "чистого стола" и "чистого экрана".
7.1.1 Периметр охраняемой зоны
Физическая защита может быть достигнута созданием нескольких физических барьеров (преград) вокруг помещений компании и средств обработки информации. Барьеры устанавливают отдельные периметры безопасности, каждый из которых обеспечивает усиление защиты в целом. Организациям следует использовать периметры безопасности для защиты зон расположения средств обработки информации (7.1.3). Периметр безопасности - это граница, создающая барьер, например, проходная, оборудованная средствами контроля входа (въезда) по идентификационным карточкам или сотрудник на стойке регистрации. Расположение и уровень защиты (стойкости) каждого барьера зависят от результатов оценки рисков.
Рекомендуется рассматривать и внедрять при необходимости следующие мероприятия по обеспечению информационной безопасности:
- периметр безопасности должен быть четко определен;
- периметр здания или помещений, где расположены средства обработки информации, должен быть физически сплошным (то есть не должно быть никаких промежутков в периметре или мест, через которые можно было бы легко проникнуть). Внешние стены помещений должны иметь достаточно прочную конструкцию, а все внешние двери должны быть соответствующим образом защищены от неавторизованного доступа, например, оснащены устройствами контроля доступа, шлагбаумами, сигнализацией, замками и т. п.;
- должна быть выделенная и укомплектованная персоналом зона регистрации посетителей или должны существовать другие мероприятия по управлению физическим доступом в помещения или здания. Доступ в помещения и здания должен быть предоставлен только авторизованному персоналу;
- физические барьеры, в случае необходимости, должны быть расширены от пола до потолка, для предотвращения неавторизованных проникновений, а также исключения загрязнения окружающей среды в случае пожара или затоплений;
- все противопожарные выходы в периметре безопасности должны быть оборудованы аварийной сигнализацией и плотно закрываться.
7.1.2 Контроль доступа в охраняемые зоны
Зоны информационной безопасности необходимо защищать с помощью соответствующих мер контроля входа для обеспечения уверенности в том, что доступ позволен только авторизованному персоналу. Необходимо рассматривать следующие меры контроля:
- посетители зон безопасности должны сопровождаться или обладать соответствующим допуском; дату и время входа и выхода следует регистрировать. Доступ следует предоставлять только для выполнения определенных авторизованных задач. Необходимо также знакомить посетителей с требованиями безопасности и действиями на случай аварийных ситуаций;
- доступ к важной информации и средствам ее обработки должен контролироваться и предоставляться только авторизованным лицам. Следует использовать средства аутентификации, например, карты доступа плюс PIN-код для авторизации и предоставления соответствующего доступа. Необходимо также надежным образом проводить аудит журналов регистрации доступа;
- необходимо требовать, чтобы весь персонал носил признаки видимой идентификации, следует поощрять его внимание к незнакомым несопровождаемым посетителям, не имеющим идентификационных карт сотрудников;
- права доступа сотрудников в зоны информационной безопасности следует регулярно анализировать и пересматривать.
7.1.3 Безопасность зданий, производственных помещений и оборудования
Зона информационной безопасности может быть защищена путем закрытия на замок самого офиса или нескольких помещений внутри физического периметра безопасности, которые могут быть заперты и иметь запираемые файл-кабинеты или сейфы. При выборе и проектировании безопасной зоны следует принимать во внимание возможные последствия от пожара, наводнения, взрыва, уличных беспорядков и других форм природного или искусственного бедствия. Также следует принимать в расчет соответствующие правила и стандарты в отношении охраны здоровья и безопасности труда. Необходимо рассматривать также любые угрозы безопасности от соседних помещений, например затоплений.
При этом следует предусматривать следующие меры:
- основное оборудование должно быть расположено в местах с ограничением доступа посторонних лиц;
- здания не должны выделяться на общем фоне и должны иметь минимальные признаки своего назначения - не должны иметь очевидных вывесок вне или внутри здания, по которым можно сделать вывод о выполняемых функциях обработки информации;
- подразделения поддержки и оборудование, например, фотокопировальные устройства и факсы, должны быть расположены соответствующим образом в пределах зоны безопасности во избежание доступа, который мог бы скомпрометировать информацию;
- двери и окна необходимо запирать, когда в помещениях нет сотрудников, а также следует предусмотреть внешнюю защиту окон - особенно, низко расположенных;
- необходимо также внедрять соответствующие системы обнаружения вторжений для внешних дверей и доступных для этого окон, которые должны быть профессионально установлены и регулярно тестироваться. Свободные помещения необходимо ставить на сигнализацию. Аналогично следует оборудовать другие помещения, в которых расположены средства коммуникаций;
- необходимо физически изолировать средства обработки информации, контролируемые организацией и используемые третьей стороной;
- справочники и внутренние телефонные книги, идентифицирующие местоположения средств обработки важной информации, не должны быть доступны посторонним лицам;
- следует обеспечивать надежное хранение опасных или горючих материалов на достаточном расстоянии от зоны информационной безопасности. Большие запасы бумаги для печатающих устройств не следует хранить в зоне безопасности без соответствующих мер пожарной безопасности;
- резервное оборудование и носители данных следует располагать на безопасном расстоянии во избежание повреждения от последствий стихийного бедствия в основном здании.
7.1.4 Выполнение работ в охраняемых зонах
Для повышения степени защиты зон информационной безопасности могут потребоваться дополнительные меры по управлению информационной безопасностью и соответствующие руководства. Они должны включать мероприятия в отношении персонала или представителей третьих сторон, работающих в зоне безопасности и состоять в следующем:
- о существовании зоны информационной безопасности и проводимых в ней работах должны быть осведомлены только лица, которым это необходимо в силу производственной необходимости;
- из соображений безопасности и предотвращения возможности злонамеренных действий в охраняемых зонах необходимо избегать случаев работы без надлежащего контроля со стороны уполномоченного персонала;
- пустующие зоны безопасности должны быть физически закрыты, и их состояние необходимо периодически проверять;
- персоналу третьих сторон ограниченный авторизованный и контролируемый доступ в зоны безопасности или к средствам обработки важной информации следует предоставлять только на время такой необходимости. Между зонами с различными уровнями безопасности внутри периметра безопасности могут потребоваться дополнительные барьеры и периметры ограничения физического доступа;
- использование фото, видео, аудио или другого записывающего оборудования должно быть разрешено только при получении специального разрешения.
7.1.5 Изолирование зон приемки и отгрузки материальных ценностей
Зоны приемки и отгрузки материальных ценностей должны находиться под контролем и, по возможности, быть изолированы от средств обработки информации во избежание неавторизованного доступа. Требования безопасности для таких зон должны быть определены на основе оценки рисков. В этих случаях рекомендуется предусматривать следующие мероприятия:
- доступ к зоне складирования с внешней стороны здания должен быть разрешен только определенному и авторизованному персоналу;
- зона складирования должна быть организована так, чтобы поступающие материальные ценности могли быть разгружены без предоставления персоналу поставщика доступа к другим частям здания;
- должна быть обеспечена безопасность внешней(их) двери(ей) помещения для складирования, когда внутренняя дверь открыта;
- поступающие материальные ценности должны быть осмотрены на предмет потенциальных опасностей (7.2.1 г) прежде, чем они будут перемещены из помещения для складирования к местам использования;
- поступающие материальные ценности должны быть зарегистрированы, если это необходимо (5.1).
7.2 Безопасность оборудования
Цель: предотвращение потерь, повреждений или компрометаций активов и нарушения непрерывности деятельности организации.
Оборудование необходимо защищать от угроз его безопасности и воздействий окружающей среды.
Необходимо обеспечивать безопасность оборудования (включая и то, что используется вне организации), чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери или повреждения. При этом необходимо принимать во внимание особенности, связанные с расположением оборудования и возможным его перемещением. Могут потребоваться специальные мероприятия защиты от опасных воздействий среды или неавторизованного доступа через инфраструктуры обеспечения, в частности, системы электропитания и кабельной разводки.
7.2.1 Расположение и защита оборудования
Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от воздействий окружающей среды и возможности неавторизованного доступа. Необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:
а) оборудование необходимо размещать таким образом, чтобы свести до минимума излишний доступ в места его расположения;
б) средства обработки и хранения важной информации следует размещать так, чтобы уменьшить риск несанкционированного наблюдения за их функционированием;
в) отдельные элементы оборудования, требующие специальной защиты, необходимо изолировать, чтобы повысить общий уровень необходимой защиты;
г) меры по управлению информационной безопасностью должны свести к минимуму риск потенциальных угроз, включая:
1) воровство;
2) пожар;
3) взрыв;
4) задымление;
5) затопление (или перебои в подаче воды);
6) пыль;
7) вибрацию;
8) химические эффекты;
9) помехи в электроснабжении;
10) электромагнитное излучение.
д) в организации необходимо определить порядок приема пищи, напитков и курения вблизи средств обработки информации;
е) следует проводить мониторинг состояния окружающей среды в целях выявления условий, которые могли бы неблагоприятно повлиять на функционирование средств обработки информации;
ж) следует использовать специальные средства защиты, оборудования, расположенного в производственных цехах, например, защитные пленки для клавиатуры;
з) необходимо разработать меры по ликвидации последствий бедствий, случающихся в близлежащих помещениях, например, пожар в соседнем здании, затопление в подвальных помещениях или протекание воды через крышу, взрыв на улице.
7.2.2 Подача электропитания
Оборудование необходимо защищать от перебоев в подаче электроэнергии и других сбоев, связанных с электричеством. Необходимо обеспечивать надлежащую подачу электропитания, соответствующую спецификациям производителя оборудования.
Варианты достижения непрерывности подачи электропитания включают:
- наличие нескольких источников электропитания, чтобы избежать последствий при нарушении его подачи от единственного источника;
- устройства бесперебойного электропитания (UPS);
- резервный генератор.
Чтобы обеспечить безопасное выключение и/или непрерывное функционирование устройств, поддерживающих критические бизнес-процессы, рекомендуется подключать оборудование через UPS. В планах обеспечения непрерывности следует предусматривать действия, которые должны быть предприняты при отказе UPS. Оборудование UPS следует регулярно проверять на наличие адекватной мощности, а также тестировать в соответствии с рекомендациями производителя.
Резервный генератор следует применять, если необходимо обеспечить функционирование оборудования в случае длительного отказа подачи электроэнергии от общего источника. Резервные генераторы следует регулярно проверять в соответствии с инструкциями производителя. Для обеспечения работы генератора в течение длительного срока необходимо обеспечить соответствующую поставку топлива.
Кроме того, аварийные выключатели электропитания необходимо располагать около запасных выходов помещений, где расположено оборудование, чтобы ускорить отключение электропитания в случае критических ситуаций. Следует обеспечить работу аварийного освещения на случай отказа электропитания, потребляемого от сети. Все здания должны быть оснащены громоотводами, а все внешние линии связи оборудованы специальными грозозащитными фильтрами.
7.2.3 Безопасность кабельной сети
Силовые и телекоммуникационные кабельные сети, по которым передаются данные или осуществляются другие информационные услуги, необходимо защищать от перехвата информации или повреждения. Необходимо рассматривать следующие мероприятия:
а) силовые и телекоммуникационные линии, связывающие средства обработки информации, должны быть, по возможности, подземными или обладать адекватной альтернативной защитой;
б) сетевой кабель должен быть защищен от неавторизованных подключений или повреждения, например, посредством использования специального кожуха и/или выбора маршрутов прокладки кабеля в обход общедоступных участков;
в) силовые кабели должны быть отделены от коммуникационных, чтобы исключить помехи;
г) дополнительные мероприятия по управлению информационной безопасностью для чувствительных или критических систем включают:
1) использование бронированных кожухов, а также закрытых помещений/ящиков в промежуточных пунктах контроля и конечных точках;
2) использование дублирующих маршрутов прокладки кабеля или альтернативных способов передачи;
3) использование оптико-волоконных линий связи;
4) проверки на подключение неавторизованных устройств к кабельной сети.
7.2.4 Техническое обслуживание оборудования
В организации должно проводиться надлежащее техническое обслуживание оборудования для обеспечения его непрерывной работоспособности и целостности. В этих целях следует применять следующие мероприятия:
- оборудование следует обслуживать в соответствии с инструкциями и периодичностью, рекомендуемыми поставщиком;
- необходимо, чтобы техническое обслуживание и ремонт оборудования проводились только авторизованным персоналом;
- следует хранить записи обо всех случаях предполагаемых или фактических неисправностей и всех видах профилактического и восстановительного технического обслуживания;
- необходимо принимать соответствующие меры безопасности при отправке оборудования для технического обслуживания за пределы организации (7.2.6 в отношении удаленных, стертых и перезаписанных данных). Кроме этого должны соблюдаться все требования, устанавливаемые использующимися правилами страхования.
7.2.5 Обеспечение безопасности оборудования, используемого вне помещений организации
Независимо от принадлежности оборудования, его использование для обработки информации вне помещения организации должно быть авторизовано руководством. Уровень информационной безопасности при этом должен быть эквивалентен уровню безопасности в отношении оборудования, используемого с аналогичной целью в помещениях организации, а также с учетом рисков работы на стороне. Оборудование по обработке информации включает все типы персональных компьютеров, электронных записных книжек, мобильных телефонов, а также бумагу или иные материальные ценности, которые используются для работы на дому или транспортируются за пределы рабочих помещений. В этих условиях необходимо применять следующие мероприятия по управлению информационной безопасностью:
- оборудование и носители информации, взятые из помещений организации, не следует оставлять без присмотра в общедоступных местах. При перемещении компьютеры следует перевозить как ручную кладь и, по возможности, не афишировать ее содержимое;
- всегда необходимо соблюдать инструкции изготовителей по защите оборудования, например, от воздействия сильных электромагнитных полей;
- при работе дома следует применять подходящие мероприятия по управлению информационной безопасностью с учетом оценки рисков, например, использовать запираемые файл-кабинеты, соблюдать политику "чистого стола" и контролировать возможность доступа к компьютерам;
- должны иметь место адекватные меры по страхованию для защиты оборудования вне помещений организации.
Риски безопасности, например, связанные с повреждением, воровством и подслушиванием, могут в значительной степени зависеть от расположения оборудования в организации и должны учитываться при определении и выборе наиболее подходящих мероприятий по управлению информационной безопасностью. Более подробная информация о других аспектах защиты мобильного оборудования приведена в 9.8.1.
7.2.6 Безопасная утилизация (списание) или повторное использование оборудования
Служебная информация может быть скомпрометирована вследствие небрежной утилизации (списания) или повторного использования оборудования (8.6.4). Носители данных, содержащие важную информацию, необходимо физически разрушать или перезаписывать безопасным образом, а не использовать стандартные функции удаления. Все компоненты оборудования, содержащего носители данных (встроенные жесткие диски), следует проверять на предмет удаления всех важных данных и лицензионного программного обеспечения. В отношении носителей данных, содержащих важную информацию, может потребоваться оценка рисков с целью определения целесообразности их разрушения, восстановления или выбраковки.
7.3 Общие мероприятия по управлению информационной безопасностью
Цель: предотвращение компрометации или кражи информации и средств обработки информации.
Информацию и средства обработки информации необходимо защищать от раскрытия, кражи или модификации неавторизованными лицами; должны быть внедрены меры, обеспечивающие сведение к минимуму риска их потери или повреждения.
Процедуры обработки и хранения информации рассматриваются в 8.6.3.
7.3.1 Политика "чистого стола" и "чистого экрана"
Организациям следует применять политику "чистого стола" в отношении бумажных документов и сменных носителей данных, а также политику "чистого экрана" в отношении средств обработки информации с тем, чтобы уменьшить риски неавторизованного доступа, потери и повреждения информации как во время рабочего дня, так и при внеурочной работе. При применении этих политик следует учитывать категории информации с точки зрения безопасности (5.2) и соответствующие риски, а также корпоративную культуру организации.
Носители информации, оставленные на столах, также могут быть повреждены или разрушены при бедствии, например, при пожаре, наводнении или взрыве.
Следует применять следующие мероприятия по управлению информационной безопасностью:
- чтобы исключить компрометацию информации, целесообразно бумажные и электронные носители информации, когда они не используются, хранить в надлежащих запирающихся шкафах и/или в других защищенных предметах мебели, особенно в нерабочее время;
- носители с важной или критичной служебной информацией, когда они не требуются, следует убирать и запирать (например, в несгораемом сейфе или шкафу), особенно когда помещение пустует;
- персональные компьютеры, компьютерные терминалы и принтеры должны быть выключены по окончании работы; следует также применять кодовые замки, пароли или другие мероприятия в отношении устройств, находящихся без присмотра;
- необходимо обеспечить защиту пунктов отправки/приема корреспонденции, а также факсимильных и телексных аппаратов в случаях нахождения их без присмотра;
- в нерабочее время фотокопировальные устройства следует запирать на ключ (или защищать от неавторизованного использования другим способом);
- напечатанные документы с важной или конфиденциальной информацией необходимо изымать из принтеров немедленно.
7.3.2 Вынос имущества
Оборудование, информацию или программное обеспечение можно выносить из помещений организации только на основании соответствующего разрешения. Там, где необходимо и уместно, оборудование следует регистрировать при выносе и при вносе, а также делать отметку, когда оно возвращено. С целью выявления неавторизованных перемещений активов и оборудования следует проводить выборочную инвентаризацию. Сотрудники должны быть осведомлены о том, что подобные проверки могут иметь место.
8 Управление передачей данных и операционной деятельностью
8.1 Операционные процедуры и обязанности
Цель: обеспечение уверенности в надлежащем и безопасном функционировании средств обработки информации.
Должны быть установлены обязанности и процедуры по управлению и функционированию всех средств обработки информации. Они должны включать разработку соответствующих операционных инструкций и процедуры реагирования на инциденты.
С целью минимизации риска при неправильном использовании систем вследствие небрежности или злого умысла следует, по возможности, реализовывать принцип разделения полномочий (8.1.4).
8.1.1 Документальное оформление операционных процедур
Операционные процедуры, определяемые политикой безопасности, должны рассматриваться как официальные документы, документироваться и строго соблюдаться, а изменения к ним должны санкционироваться и утверждаться руководством.
Процедуры содержат детальную инструкцию выполнения конкретного задания (работы) и включают:
- обработку и управление информацией;
- определение требований в отношении графика выполнения заданий, включающих взаимосвязи между системами; время начала выполнения самого раннего задания и время завершения самого последнего задания;
- обработку ошибок или других исключительных ситуаций, которые могут возникнуть в течение выполнения заданий, включая ограничения на использование системных утилит (9.5.5);
- необходимые контакты на случай неожиданных операционных или технических проблем;
- специальные мероприятия по управлению выводом данных, например, использование специальной бумаги для печатающих устройств или особых процедур применительно к выводу конфиденциальной информации, включая процедуры для безопасной утилизации выходных данных, не завершенных в процессе выполнения заданий;
- перезапуск системы и процедуры восстановления в случае системных сбоев.
Документированные процедуры должны быть также разработаны в отношении обслуживания систем обработки и обмена информацией, в частности процедуры запуска и безопасного завершения работы компьютера(ов), процедуры резервирования, текущего обслуживания и ремонта оборудования, обеспечения надлежащей безопасности помещений с компьютерным и коммуникационным оборудованием.
8.1.2 Контроль изменений
Изменения конфигурации в средствах и системах обработки информации должны контролироваться надлежащим образом. Неадекватный контроль изменений средств и систем обработки информации - распространенная причина системных сбоев и инцидентов нарушения информационной безопасности. С целью обеспечения надлежащего контроля всех изменений в оборудовании, программном обеспечении или процедурах должны быть определены и внедрены формализованные роли, ответственности и процедуры. При изменении программного обеспечения вся необходимая информация должна фиксироваться и сохраняться в системном журнале аудита. Изменения операционной среды могут оказывать влияние на работу приложений. Везде, где это имеет практический смысл, процедуры управления изменениями в операционной среде и в приложениях должны быть интегрированы (см. также 10.5.1). В частности, необходимо рассматривать следующие мероприятия:
- определение и регистрация существенных изменений;
- оценка возможных последствий таких изменений;
- формализованная процедура утверждения предлагаемых изменений;
- подробное информирование об изменениях всех заинтересованных лиц;
- процедуры, определяющие обязанности по прерыванию и восстановлению работы средств и систем обработки информации, в случае неудачных изменений программного обеспечения.
8.1.3 Процедуры в отношении инцидентов нарушения информационной безопасности
Обязанности и процедуры по управлению в отношении инцидентов должны быть определены для обеспечения быстрой, эффективной и организованной реакции на эти нарушения информационной безопасности (6.3.1). При этом необходимо рассмотреть следующие мероприятия:
а) должны быть определены процедуры в отношении всех возможных типов инцидентов нарушения информационной безопасности, в том числе:
1) сбои информационных систем и утрата сервисов;
2) отказ в обслуживании;
3) ошибки вследствие неполных или неточных данных;
4) нарушения конфиденциальности;
б) в дополнение к обычным планам обеспечения непрерывности (предназначенных для скорейшего восстановления систем или услуг) должны существовать процедуры выполнения требований (6.3.4):
1) анализа и идентификации причины инцидента;
2) планирования и внедрения средств, предотвращающих повторное проявление инцидентов, при необходимости;
3) использования журналов аудита и аналогичных свидетельств;
4) взаимодействия с лицами, на которых инцидент оказал воздействие или участвующих в устранении последствий инцидента;
5) информирования о действиях соответствующих должностных лиц;
в) журналы аудита и аналогичные свидетельства должны быть собраны (12.1.7) и защищены соответствующим образом с целью:
1) внутреннего анализа проблемы;
2) использования как доказательство в отношении возможного нарушения условий контракта, нарушения требований законодательства или, в случае гражданских или уголовных судебных разбирательств, касающихся, например, защиты персональных данных или неправомочного использования компьютеров;
3) ведения переговоров относительно компенсации ущерба с поставщиками программного обеспечения и услуг;
г) действия по устранению сбоев систем и ликвидации последствий инцидентов нарушения информационной безопасности должны быть под тщательным и формализованным контролем. Необходимо наличие процедур с целью обеспечения уверенности в том, что:
1) только полностью идентифицированному и авторизованному персоналу предоставлен доступ к системам и данным в среде промышленной эксплуатации (4.2.2 в отношении доступа третьей стороны);
2) все действия, предпринятые при чрезвычайных обстоятельствах, подробно документально оформлены;
3) о действиях, предпринятых при чрезвычайных обстоятельствах, сообщено руководству организации, и они проанализированы в установленном порядке;
4) целостность бизнес-систем и систем контроля подтверждена в минимальные сроки.
8.1.4 Разграничение обязанностей
Разграничение обязанностей - это способ минимизации риска нештатного использования систем вследствие ошибочных или злонамеренных действий пользователей. Необходимо рассматривать принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач и областей ответственности как способ уменьшения неавторизованной модификации или неправильного использования информации или сервисов.
Для небольших организаций эти мероприятия труднодостижимы, однако данный принцип должен быть применен насколько это возможно. В случаях, когда разделение обязанностей осуществить затруднительно, следует рассматривать использование других мероприятий по управлению информационной безопасностью, таких как мониторинг деятельности, использование журналов аудита, а также мер административного контроля. В то же время важно, чтобы аудит безопасности оставался независимой функцией.
Необходимо предпринимать меры предосторожности, чтобы сотрудник не мог совершить злоупотребления в области своей единоличной ответственности не будучи обнаруженным. Инициирование события должно быть отделено от его авторизации. Необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:
- разграничение полномочий в отношении видов деятельности, которые создают возможность сговора для осуществления мошенничества, например, формирование заказов на закупку и подтверждения получения товаров;
- при наличии опасности сговора мероприятия должны быть продуманы так, чтобы в осуществлении операции участвовали два или более лица для снижения возможности сохранения тайны сговора.
8.1.5 Разграничение сред разработки и промышленной эксплуатации
При разделении сред разработки, тестирования и промышленной эксплуатации необходимо разделить роли и функции сотрудников. Правила перевода программного обеспечения из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены.
Деятельность, связанная с разработкой и тестированием, может быть причиной серьезных проблем, например нежелательных изменений файлов или системной среды, а также системных сбоев. При этом следует обеспечивать необходимый уровень разделения между средами промышленной эксплуатации по отношению к средам тестирования, а также для предотвращения операционных сбоев. Аналогичное разделение следует также реализовывать между функциями разработки и тестирования. В этом случае необходимо поддерживать в рабочем состоянии отдельную среду, в которой следует выполнять комплексное тестирование с известной стабильностью и предотвращать несанкционированный доступ со стороны разработчиков.
Там, где сотрудники, отвечающие за разработку и тестирование, имеют доступ к системе и данным среды промышленной эксплуатации, они имеют возможность установить неавторизованную и непротестированную программу или изменить данные в операционной среде. Применительно к ряду систем эта возможность могла бы быть использована с целью злоупотребления, а именно для совершения мошенничества или установки непротестированной или вредоносной программы. Непротестированное или вредоносное программное обеспечение может быть причиной серьезных проблем в операционной среде. Разработчики и специалисты, проводящие тестирование, могут также быть причиной угроз для безопасности операционной информации и системы.
Кроме того, если разработка и тестирование производятся в одной компьютерной среде, это может стать причиной непреднамеренных изменений программного обеспечения и информации. Разделение сред разработки, тестирования и эксплуатации является, следовательно, целесообразным для уменьшения риска случайного изменения или неавторизованного доступа к программному обеспечению и бизнес-данным среды промышленной эксплуатации. Необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:
- программное обеспечение для разработки и эксплуатации, по возможности, должно работать на различных компьютерных процессорах или в различных доменах или директориях;
- действия по разработке и тестированию должны быть разделены, насколько это возможно;
- компиляторы, редакторы и другие системные утилиты не должны быть доступны в операционной среде без крайней необходимости;
- чтобы уменьшить риск ошибок, для операционных и тестовых систем должны использоваться различные процедуры регистрации (входа в систему). Пользователям следует рекомендовать применение различных паролей для этих систем, а в их экранных меню должны показываться соответствующие идентификационные сообщения;
- разработчики могут иметь доступ к паролям систем операционной среды только в том случае, если внедрены специальные мероприятия по порядку предоставления паролей для поддержки среды промышленной эксплуатации. Эти меры должны обеспечивать смену паролей после использования.
8.1.6 Управление средствами обработки информации сторонними лицами и/или организациями
Использование сторонних подрядчиков для управления средствами обработки информации является потенциальной угрозой для безопасности, поскольку возникает возможность компрометации, повреждения или потери данных в организации подрядчика. Такие риски должны быть идентифицированы заранее, а соответствующие мероприятия по управлению информационной безопасностью согласованы с подрядчиком и включены в контракт (4.2.2 и 4.3 в отношении руководств по контрактам с третьей стороной, предусматривающих доступ к средствам обработки информации организации и в отношении контрактов по аутсорсингу).
В этих условиях требуется решение специальных вопросов:
- идентификация важных или критических бизнес-приложений, которые лучше оставить в организации;
- получение одобрения владельцев коммерческих бизнес-приложений;
- оценка влияния на планы обеспечения непрерывности бизнеса;
- определение перечня стандартов безопасности, которые должны быть включены в контракты, и процедур проверки выполнения их требований;
- распределение конкретных обязанностей и процедур для эффективного мониторинга всех применяемых видов деятельности, связанных с информационной безопасностью;
- определение обязанностей и процедур в отношении информирования и управления процессами ликвидации последствий инцидентов нарушения информационной безопасности (8.1.3).
|
Из за большого объема эта статья размещена на нескольких страницах:
1 2 3 4 5 |
