Национальный стандарт Российской Федерации. Информационная технология. Практические правила управления информационной безопасностью (стр. 3 )

 8.2 Планирование нагрузки и приемка систем

 
 Цель: сведение к минимуму риска сбоев в работе систем.
 
 Для обеспечения доступности данных, требуемой производительности и ресурсов систем необходимо провести предварительное планирование и подготовку.
 
 Для снижения риска перегрузки систем необходимо проводить анализ предполагаемой ее нагрузки.
 
 Требования к эксплуатации новых систем должны быть определены, документально оформлены и протестированы перед их приемкой и использованием.
 
 8.2.1 Планирование производительности
 
 Для обеспечения необходимых мощностей по обработке и хранению информации необходим анализ текущих требований к производительности, а также прогноз будущих. Эти прогнозы должны учитывать новые функциональные и системные требования, а также текущие планы и перспективные планы развития информационных технологий в организации.
 
 Мэйнфреймы требуют особого внимания вследствие значительных финансовых и временных затрат на повышение их производительности. Руководители, отвечающие за предоставление мэйнфреймовых услуг, должны проводить мониторинг загрузки ключевых системных ресурсов, в том числе процессоров, оперативной и внешней памяти, принтеров и других устройств вывода, а также систем связи. Эти руководители должны определять общие потребности и тенденции в использовании компьютерных ресурсов, что особенно важно для поддержки бизнес-приложений или систем управления для руководства.
 
 Руководителям следует использовать эту информацию с целью идентификации/избежания потенциально узких мест, представляющих угрозу безопасности системы или пользовательским сервисам, а также с целью планирования соответствующих мероприятий по обеспечению информационной безопасности.
 
 8.2.2 Приемка систем
 
 Перед приемкой систем должны быть определены критерии приемки новых информационных систем, новых версий и обновлений, а также должно проводиться необходимое их тестирование. Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформлены и опробованы. В этих целях необходимо предусматривать следующие мероприятия по управлению информационной безопасностью:
 
 - оценка выполнения требований к мощности и производительности компьютера;
 
 - определение процедур восстановления после сбоев и повторного запуска, а также формирование планов обеспечения непрерывной работы;
 
 - подготовка и тестирование типовых операционных процессов на соответствие определенным стандартам;
 
 - наличие необходимого набора средств контроля информационной безопасности;
 
 - разработка эффективных руководств по процедурам;
 
 - обеспечение непрерывности бизнеса в соответствии с требованиями 11.1;
 
 - обязательная проверка отсутствия неблагоприятного влияния новых систем на существующие, особенно во время максимальных нагрузок, например, в конце месяца;
 
 - контроль проведения анализа влияния, оказываемого новой системой на общую информационную безопасность организации;
 
 - организация профессиональной подготовки персонала к эксплуатации и использованию новых систем.
 
 Для консультаций на всех этапах разработки новых систем должны привлекаться службы поддержки (эксплуатации) и пользователи с целью обеспечения эффективной эксплуатации проектируемой системы. При этом должны проводиться соответствующие тесты для подтверждения того, что все критерии приемки удовлетворены полностью.
 
 

 8.3 Защита от вредоносного программного обеспечения

 
 Цель: обеспечение защиты целостности программного обеспечения и массивов информации.
 
 Необходимо принимать меры предотвращения и обнаружения внедрения вредоносного программного обеспечения.
 
 Программное обеспечение и средства обработки информации уязвимы к внедрению вредоносного программного обеспечения, такого как компьютерные вирусы, сетевые "черви", "троянские кони" (10.5.4) и логические бомбы. Пользователи должны быть осведомлены об опасности использования неавторизованного или вредоносного программного обеспечения, а соответствующие руководители должны обеспечить внедрение специальных средств контроля с целью обнаружения и/или предотвращения проникновения подобных программ. В частности, важно принятие мер предосторожности с целью обнаружения и предотвращения заражения компьютерными вирусами персональных компьютеров.
 
 8.3.1 Мероприятия по управлению информационной безопасностью для борьбы с вредоносным программным обеспечением
 
 С целью обнаружения и предотвращения проникновения вредоносного программного обеспечения необходимо планирование и реализация мероприятий по управлению информационной безопасностью, а также формирование процедур, обеспечивающих соответствующую осведомленность пользователей. Защита от вредоносного программного обеспечения должна основываться на понимании требований безопасности, соответствующих мерах контроля доступа к системам и надлежащем управлении изменениями. Необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:
 
 - документированную политику, требующую соблюдения лицензионных соглашений и устанавливающую запрет на использование неавторизованного программного обеспечения (12.1.2.2);
 
 - документированную политику защиты от рисков, связанных с получением файлов и программного обеспечения из внешних сетей, через внешние сети или из любой другой среды. В этой политике должно содержаться указание о необходимости принятия защитных мер (10.5, 10.5.4, 10.5.5);
 
 - установку и регулярное обновление антивирусного программного обеспечения для обнаружения и сканирования компьютеров и носителей информации, запускаемого в случае необходимости в качестве превентивной меры или рутинной процедуры;
 
 - проведение регулярных инвентаризаций программного обеспечения и данных систем, поддерживающих критические бизнес-процессы. Необходима также формализованная процедура по расследованию причин появления любых неавторизованных или измененных файлов в системе;
 
 - проверку всех файлов на носителях информации сомнительного или неавторизованного происхождения или файлов, полученных из общедоступных сетей, на наличие вирусов перед работой с этими файлами;
 
 - проверку любых вложений электронной почты и скачиваемой информации на наличие вредоносного программного обеспечения до их использования.
 
 Эта проверка может быть выполнена в разных точках, например, на электронной почте, персональных компьютерах или при входе в сеть организации:
 
 - управленческие процедуры и обязанности, связанные с защитой от вирусов, обучение применению этих процедур, а также вопросы оповещения и восстановления после вирусных атак (6.3, 8.1.3);
 
 - соответствующие планы по обеспечению непрерывности бизнеса в части восстановления после вирусных атак, включая все необходимые мероприятия по резервированию и восстановлению данных и программного обеспечения (раздел 11);
 
 - процедуры по контролю всей информации, касающейся вредоносного программного обеспечения, обеспечение точности и информативности предупредительных сообщений. Для определения различия между ложными и реальными вирусами должны использоваться профессиональные источники, например, респектабельные журналы, заслуживающие доверия интернет-сайты или поставщики антивирусного программного обеспечения. Персонал должен быть осведомлен о проблеме ложных вирусов и действиях при их получении.
 
 Эти мероприятия особенно важны в отношении сетевых файловых серверов, обслуживающих большое количество рабочих станций.
 
 

 8.4 Вспомогательные операции

 
 Цель: поддержание целостности и доступности услуг по обработке информации и связи.
 
 В соответствии с утвержденной стратегией должны устанавливаться регулярные процедуры резервирования прикладного программного обеспечения (11.1), формирования копий данных и тестирования, их своевременного восстановления, регистрации событий и ошибок и, где необходимо, мониторинга состояния аппаратных средств.
 
 8.4.1 Резервирование информации
 
 Резервное копирование важной служебной информации и программного обеспечения должно выполняться на регулярной основе. Следует обеспечивать адекватные средства резервирования для обеспечения уверенности в том, что вся важная деловая информация и программное обеспечение смогут быть восстановлены после бедствия или сбоя оборудования. Мероприятия по резервированию для каждой отдельной системы должны регулярно тестироваться для обеспечения уверенности в том, что они удовлетворяют требованиям планов по обеспечению непрерывности бизнеса (раздел 11). В этих случаях целесообразно применять следующие мероприятия по управлению информационной безопасностью:
 
 - минимально необходимый объем резервной информации, вместе с точными и полными регистрационными записями по содержанию резервных копий, а также документация по процедурам восстановления во избежание любого повреждения от стихийных бедствий должны храниться в достаточно отдаленном месте от основного здания. По крайней мере три поколения (цикла) резервной информации должны быть сохранены для важных бизнес-приложений:
 
 - резервная информация должна быть обеспечена гарантированным уровнем физической защиты и защиты от воздействий окружающей среды (раздел 7) в соответствии с уровнем безопасности в основном здании. Мероприятия, применяемые к оборудованию в основном здании, должны распространяться на резервный пункт;
 
 - резервное оборудование должно регулярно подвергаться тестированию для обеспечения уверенности в том, что в случае возникновения чрезвычайных ситуаций на его работу можно положиться;
 
 - процедуры восстановления следует регулярно актуализировать и тестировать для обеспечения уверенности в их эффективности, а также в том, что для выполнения этих процедур потребуется не больше времени, чем определено операционными процедурами восстановления.
 
 Следует определять периоды хранения важной служебной информации, а также учитывать требования к архивным копиям долговременного хранения (12.1.3).
 
 8.4.2 Журналы действий оператора
 
 Операторы должны вести журнал, в котором следует фиксировать:
 
 - время начала и завершения работы системы;
 
 - ошибки системы и предпринятые корректирующие действия;
 
 - подтверждение правильной обработки данных файлов и выходных данных компьютера;
 
 - личные данные (например, фамилия, должность) производящего записи в журнал специалиста.
 
 Журналы оператора должны быть предметом постоянных независимых проверок на соответствие требованиям операционных процедур.
 
 8.4.3 Регистрация ошибок
 
 Об ошибках необходимо докладывать и принимать корректирующие действия в соответствии с установленным порядком. Необходимо регистрировать сообщения пользователей об ошибках, связанных с обработкой информации или системами связи. Должны существовать четкие правила обработки допущенных ошибок, включающие:
 
 - анализ ошибок для обеспечения уверенности в том, что они были удовлетворительным образом устранены;
 
 - анализ предпринятых корректирующих мер, обеспечивающих уверенность в том, что мероприятия по управлению информационной безопасностью не были скомпрометированы (нарушены) и предпринятые действия надлежащим образом авторизованы.
 
 

 8.5 Управление сетевыми ресурсами

 
 Цель: обеспечение безопасности информации в сетях и защиты поддерживающей инфраструктуры.
 
 Управление безопасностью сетей, которые могут быть расположены за пределами границ организации, требует внимания.
 
 Дополнительные мероприятия по управлению информационной безопасностью могут также потребоваться для защиты важных данных, передаваемых через общедоступные сети.
 
 8.5.1 Средства контроля сетевых ресурсов
 
 Для обеспечения требуемого уровня безопасности компьютерных сетей и его поддержки требуется комплекс средств контроля. Руководители, отвечающие за поддержку сетевых ресурсов, должны обеспечивать внедрение средств контроля безопасности данных в сетях и защиту подключенных сервисов от неавторизованного доступа. В частности, необходимо рассматривать следующие меры и средства управления информационной безопасностью:
 
 - следует распределять ответственность за поддержание сетевых ресурсов и компьютерных операций (8.1.4);
 
 - следует устанавливать процедуры и обязанности по управлению удаленным оборудованием, включая оборудование, установленное у конечных пользователей;
 
 - если необходимо, специальные средства контроля следует внедрять для обеспечения конфиденциальности и целостности данных, проходящих по общедоступным сетям, а также для защиты подключенных систем (9.4 и 10.3). Могут также потребоваться специальные средства контроля для поддержания доступности сетевых серверов и рабочих станций;
 
 - действия по управлению необходимо тщательно соизмерять как с требованиями к сервисам от бизнеса, так и с общими требованиями к обеспечению безопасности инфраструктуры обработки информации.
 
 

 8.6 Безопасность носителей информации

 
 Цель: предотвращение повреждений активов и прерываний бизнес-процессов. Использование носителей информации должно контролироваться, а также должна обеспечиваться их физическая безопасность.
 
 Должны быть определены соответствующие процедуры защиты документов, компьютерных носителей информации (лент, дисков, кассет), данных ввода/вывода и системной документации от повреждений, воровства и неправомочного доступа.
 
 8.6.1 Использование сменных носителей компьютерной информации
 
 Должны существовать процедуры по использованию сменных носителей компьютерной информации (лент, дисков, кассет, а также печатных отчетов). В этих случаях необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:
 
 - если носители информации многократного использования больше не требуются и передаются за пределы организации, то их содержимое должно быть уничтожено;
 
 - в отношении всех уничтожаемых носителей информации должно быть принято соответствующее решение, а также должна быть сделана запись в регистрационном журнале, который следует хранить (8.7.2);
 
 - все носители информации следует хранить в надежном, безопасном месте в соответствии с требованиями изготовителей.
 
 Все процедуры авторизации должны быть четко документированы.
 
 8.6.2 Утилизация носителей информации
 
 Носители информации по окончании использования следует надежно и безопасно утилизировать. Важная информация может попасть в руки посторонних лиц из-за небрежной утилизации носителей данных. Чтобы свести к минимуму такой риск, должны быть установлены формализованные процедуры безопасной утилизации носителей информации. Для этого необходимо предусматривать следующие мероприятия:
 
 а) носители, содержащие важную информацию, следует хранить и утилизировать надежно и безопасно (например, посредством сжигания/измельчения). Если носители планируется использовать в пределах организации для других задач, то информация на них должна быть уничтожена;
 
 б) ниже приведен перечень объектов, в отношении которых может потребоваться безопасная утилизация:
 
 1) бумажные документы;
 
 2) речевые или другие записи;
 
 3) копировальная бумага;
 
 4) выводимые отчеты;
 
 5) одноразовые ленты для принтеров;
 
 6) магнитные ленты;
 
 7) сменные диски или кассеты;
 
 8) оптические носители данных (все разновидности, в том числе носители, содержащие программное обеспечение, поставляемое производителями);
 
 9) тексты программ;
 
 10) тестовые данные;
 
 11) системная документация;
 
 в) может оказаться проще принимать меры безопасной утилизации в отношении всех носителей информации, чем пытаться сортировать носители по степени важности;
 
 г) многие организации предлагают услуги по сбору и утилизации бумаги, оборудования и носителей информации. Следует тщательно выбирать подходящего подрядчика с учетом имеющегося у него опыта и обеспечения необходимого уровня информационной безопасности;
 
 д) по возможности следует регистрировать утилизацию важных объектов с целью последующего аудита.
 
 При накоплении носителей информации, подлежащих утилизации, следует принимать во внимание "эффект накопления", то есть большой объем открытой информации может сделать ее более важной.
 
 8.6.3 Процедуры обработки информации
 
 С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного использования необходимо определить процедуры обработки и хранения информации. Эти процедуры должны быть разработаны с учетом категорирования информации (5.2), а также в отношении документов, вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, речевой почты, речевой связи вообще, мультимедийных устройств, использования факсов и любых других важных объектов, например, бланков, чеков и счетов. Необходимо использовать следующие мероприятия по управлению информационной безопасностью (5.2 и 8.7.2):
 
 - обработку и маркирование всех носителей информации (8.7.2а);
 
 - ограничения доступа с целью идентификации неавторизованного персонала;
 
 - обеспечение формализованной регистрации авторизованных получателей данных;
 
 - обеспечение уверенности в том, что данные ввода являются полными, процесс обработки завершается должным образом и имеется подтверждение вывода данных;
 
 - обеспечение защиты информации, находящейся в буфере данных и ожидающей вывода в соответствии с важностью этой информации;
 
 - хранение носителей информации в соответствии с требованиями изготовителей;
 
 - сведение рассылки данных к минимуму;
 
 - четкую маркировку всех копий данных, предлагаемых вниманию авторизованного получателя;
 
 - регулярный пересмотр списков рассылки и списков авторизованных получателей.
 
 8.6.4 Безопасность системной документации
 
 Системная документация может содержать определенную важную информацию, например, описания процессов работы бизнес-приложений, процедур, структур данных, процессов авторизации (9.1). В этих условиях с целью защиты системной документации от неавторизованного доступа необходимо применять следующие мероприятия:
 
 - системную документацию следует хранить безопасным образом;
 
 - список лиц, имеющих доступ к системной документации, следует сводить к минимуму; доступ должен быть авторизован владельцем бизнес-приложения;
 
 - системную документацию, полученную/поддерживаемую через общедоступную сеть, следует защищать надлежащим образом.
 
 

 8.7 Обмен информацией и программным обеспечением

 
 Цель: предотвращение потери, модификации или неправильного использования информации при обмене ею между организациями.
 
 Обмен информацией и программным обеспечением между организациями должен быть под контролем и соответствовать действующему законодательству (раздел 12).
 
 Обмен информацией должен происходить на основе соглашений между организациями. Необходимо определить процедуры и мероприятия по защите информации и носителей при передаче. Необходимо учитывать последствия для деятельности и безопасности организации, связанные с электронным обменом данных, электронной торговлей и электронной почтой, а также требования к мероприятиям по управлению информационной безопасностью.
 
 8.7.1 Соглашения по обмену информацией и программным обеспечением
 
 Порядок обмена информацией и программным обеспечением (как электронным способом, так и вручную) между организациями, включая передачу на хранение исходных текстов программ третьей стороне, должен быть строго формализован и документирован. Требования безопасности в подобных соглашениях должны учитывать степень важности информации, являющейся предметом обмена. Необходимо, чтобы требования безопасности в подобных соглашениях учитывали:
 
 - обязанности руководства по контролю и уведомлению о передаче, отправке и получении информации;
 
 - процедуры для уведомления отправителя о передаче, отправке и получении информации;
 
 - минимальные технические требования по формированию и передаче пакетов данных;
 
 - требования к курьерской службе;
 
 - ответственность и обязательства в случае потери данных;
 
 - использование согласованной системы маркировки для важной или критичной информации, обеспечивающей уверенность в том, что значение этой маркировки будет сразу же понятно и информация будет соответственно защищена;
 
 - определение владельцев информации и программного обеспечения, а также обязанностей по защите данных, учет авторских прав на программное обеспечение и аналогичных вопросов (12.1.2 и 12.1.4);
 
 - технические требования в отношении записи и считывания информации и программного обеспечения;
 
 - любые специальные средства контроля, которые могут потребоваться для защиты важных объектов, например криптографические ключи (10.3.5).
 
 8.7.2 Безопасность носителей информации при пересылке
 
 Информация может быть искажена или скомпрометирована вследствие неавторизованного доступа, неправильного использования или искажения во время физической транспортировки, например, при пересылке носителей информации по почте или через курьера. Для защиты информации, передаваемой между организациями, необходимо применять следующие меры:
 
 а) следует использовать надежных перевозчиков или курьеров. Список авторизованных курьеров необходимо согласовывать с руководством, кроме того, следует внедрить процедуру проверки идентификации курьеров;
 
 б) упаковка должна быть достаточной для защиты содержимого от любого физического повреждения, которое может иметь место при транспортировке, и соответствовать требованиям изготовителей носителей информации;
 
 в) специальные средства контроля следует применять, при необходимости, для защиты важной информации от неавторизованного раскрытия или модификации. Например:
 
 1) использование запертых контейнеров;
 
 2) личную доставку;
 
 3) использование упаковки, которую нельзя нарушить незаметно (на которой видна любая попытка вскрытия);
 
 4) в исключительных случаях, разбивку отправления на несколько частей, пересылаемых различными маршрутами;
 
 5) использование цифровых подписей и шифрования для обеспечения конфиденциальности (10.3).
 
 8.7.3 Безопасность электронной торговли
 
 В электронной торговле могут использоваться различные способы обмена данными, например, в электронном виде (EDI), через электронную почту и транзакции в режиме он-лайн через общедоступные сети, в частности, Интернет. Электронная торговля подвержена ряду сетевых угроз, которые могут привести к краже, оспариванию контрактов, а также раскрытию или модификации информации. Чтобы защитить электронную торговлю от таких угроз, необходимо применять соответствующие мероприятия по управлению информационной безопасностью. Для обеспечения безопасности электронной торговли необходимо проанализировать степень достоверности и обоснованности предлагаемых поставщиками мер обеспечения информационной безопасности:
 
 - аутентификация. С какой степенью клиенту и продавцу следует проверять идентификацию друг друга?
 
 - авторизация. Кто уполномочен устанавливать цены, подготавливать или подписывать ключевые коммерческие документы? Каким образом об этом может быть проинформирован торговый партнер?
 
 - процессы в отношении контрактов и тендеров. Какие требования существуют в отношении конфиденциальности, целостности, подтверждения отправки и получения ключевых документов, а также в невозможности отказа от совершенных сделок?
 
 - информация о ценах. Насколько можно доверять рекламе прайс-листов и конфиденциальности в отношении существенных скидок?
 
 - обработка заказов. Как обеспечиваются конфиденциальность и целостность деталей заказа, условий оплаты и адреса поставки, а также подтверждение при его получении?
 
 - контрольные проверки. Какая степень контроля является достаточной, чтобы проверить информацию об оплате, представленную клиентом?
 
 - расчеты. Какая форма оплаты является наиболее защищенной от мошенничества?
 
 - оформление заказов. Какая требуется защита, чтобы обеспечить конфиденциальность и целостность информации о заказах, а также избежать потери или дублирования сделок?
 
 - ответственность. Кто несет ответственность за риск любых мошеннических сделок?
 
 Многие из вышеупомянутых проблем могут быть решены с использованием криптографических методов, изложенных в 10.3, при этом необходимо обеспечивать соответствие требованиям законодательства (12.1, 12.1.6 относительно законодательства в области криптозащиты).
 
 Соглашения между партнерами в области электронной торговли следует сопровождать документально оформленными договорами, которые устанавливают и документально оформляют между сторонами условия заключения сделок, включая детали авторизации. Могут потребоваться также дополнительные соглашения с поставщиками сетевых и информационных услуг.
 
 Магазины (сети) электронной торговли, ориентированные на массового потребителя, должны обнародовать условия заключения сделок.
 
 Необходимо обеспечивать устойчивость к вирусным атакам в процессе проведения электронной торговли, а также предусматривать последствия для безопасности всех сетевых взаимосвязей при ее осуществлении (9.4.7).
 
 8.7.4 Безопасность электронной почты
 
 8.7.4.1 Риски безопасности
 
 Электронная почта используется для обмена служебной информацией, заменяя традиционные формы связи, такие как телекс и почта. Электронная почта отличается от традиционных форм бизнес-коммуникаций скоростью, структурой сообщений, определенной упрощенностью, а также уязвимостью к неавторизованным действиям. При этом необходимо учитывать потребность в средствах контроля для уменьшения рисков безопасности, связанных с электронной почтой. При оценке рисков безопасности необходимо учитывать, в частности:
 
 - уязвимость сообщений по отношению к возможности неавторизованного доступа или модификации, а также к отказу в обслуживании;
 
 - повышенную чувствительность к ошибкам, например указанию ошибочного или неверного адреса, а также к общей надежности и доступность данной услуги;
 
 - влияние изменения средств передачи информации на бизнес-процессы, например эффект от увеличенной скорости доставки сообщений, а также эффект, связанный с обменом официальными сообщениями между людьми, а не между организациями;
 
 - юридические вопросы, такие как возможная необходимость в доказательстве авторства сообщения, а также фактов ее отправки, доставки и получения;
 
 - последствия, связанные с приданием гласности списка сотрудников, имеющих электронную почту;
 
 - вопросы, связанные с управлением удаленным доступом к электронной почте.
 
 8.7.4.2 Политика в отношении электронной почты
 
 Организациям следует внедрить четкие правила использования электронной почты, предусматривающие следующие аспекты:
 
 - вероятность атаки на электронную почту (вирусы, перехват);
 
 - защиту вложений в сообщения электронной почты;
 
 - данные, при передаче которых не следует пользоваться электронной почтой;
 
 - исключение возможности компрометации организации со стороны сотрудников, например, путем рассылки дискредитирующих и оскорбительных сообщений, использование корпоративной электронной почты с целью неавторизованных покупок;
 
 - использование криптографических методов для защиты конфиденциальности и целостности электронных сообщений (10.3);
 
 - хранение сообщений, которые, в этом случае, могли бы быть использованы в случае судебных разбирательств;
 
 - дополнительные меры контроля обмена сообщениями, которые не могут быть аутентифицированы.
 
 8.7.5 Безопасность электронных офисных систем
 
 Необходимо разработать и внедрить политики безопасности и руководства с целью управления рисками бизнеса и информационной безопасностью, связанные с электронными офисными системами. Эти системы обеспечивают возможности для быстрого распространения и совместного использования служебной информации путем использования сочетания возможностей документов, компьютеров, переносных компьютеров, мобильных средств связи, почты, электронной почты, речевой связи вообще, мультимедийных систем, сервисов доставки почтовых отправлений и факсов.
 
 Необходимо учитывать последствия для информационной безопасности и бизнес-процессов от взаимодействия вышеуказанных средств, в частности:
 
 - уязвимость информации в офисных системах, связана, например, с записью телефонных разговоров или переговоров по конференц-связи, конфиденциальностью звонков, хранением факсов, вскрытием и рассылкой почты;
 
 - уязвимость информации, предназначенной для совместного использования, например, при использовании корпоративных электронных досок объявления (9.1);
 
 - исключение использования офисных систем в отношении категорий важной служебной информации, если эти системы не обеспечивают соответствующий уровень защиты (5.2);
 
 - уязвимость доступа к данным личных ежедневников отдельных сотрудников, например, работающих на важных проектах;
 
 - возможность или невозможность офисных систем поддерживать бизнес-приложения, например, в части передачи заказов или авторизации;
 
 - категории сотрудников, подрядчиков или деловых партнеров, которым разрешено использовать систему и рабочие места, с которых может осуществляться к ней доступ (4.2);
 
 - ограничение определенных возможностей системы для определенных категорий пользователей;
 
 - идентификацию статуса пользователей, например служащих организации или подрядчиков, в отдельных директориях, для удобства других пользователей;
 
 - сохранение и резервирование информации, содержащейся в системе (12.1.3, 8.4.1);
 
 - требования по переходу на аварийный режим работы и перечень соответствующих мероприятий (11.1).
 
 8.7.6 Системы публичного доступа
 
 Следует уделять внимание защите целостности информации, опубликованной электронным способом, чтобы предотвратить неавторизованную модификацию, которая могла бы навредить репутации организации, поместившей эту информацию. Информацию системы публичного доступа, например информацию на Web-сайте, доступную через Интернет, возможно, потребуется привести в соответствие с законодательством и регулирующими нормами страны, под юрисдикцией которых находится система или осуществляется торговля. Необходим соответствующий формализованный процесс авторизации прежде, чем информация будет сделана общедоступной.
 
 Программное обеспечение, данные и другую информацию, требующую высокого уровня целостности, доступ к которой осуществляется через системы публичного доступа, необходимо защищать адекватными способами, например, посредством цифровой подписи (10.3.3). Системы, предоставляющие возможность электронной публикации информации, обратной связи и непосредственного ввода информации, должны находиться под надлежащим контролем с тем, чтобы:
 
 - полученная информация соответствовала всем законам по защите данных (12.1.4);
 
 - информация, введенная в систему электронной публикации, обрабатывалась своевременно, полностью и точно;
 
 - важная информация была защищена в процессе ее сбора и хранения;
 
 - доступ к системе электронной публикации исключал бы возможность непреднамеренного доступа к сетям, с которыми она связана.
 
 8.7.7 Другие формы обмена информацией
 
 Необходимо предусмотреть наличие процедур и мероприятий по управлению информационной безопасностью с целью защиты процесса обмена информацией посредством речевых, факсимильных и видеосредств коммуникаций. Информация может быть скомпрометирована из-за недостаточной осведомленности сотрудников по использованию средств передачи информации. В частности, информация может быть подслушана при переговорах по мобильному телефону в общественном месте, а также с автоответчиков; информация может также быть скомпрометированной вследствие неавторизованного доступа к системе голосовой почты или случайной отсылки факсимильных сообщений неправильному адресату.
 
 Бизнес-операции могут быть нарушены и информация может быть скомпрометирована в случае отказа, перегрузки или прерывания в работе средств взаимодействия (7.2 и раздел 11). Информация может быть скомпрометирована, если к ней имели место доступ неавторизованные пользователи (раздел 9).
 
 Следует сформулировать четкие требования по соблюдению процедур, которым должны следовать сотрудники при использовании речевой, факсимильной и видеосвязи. В частности, необходимо предусмотреть следующее:
 
 а) напоминание сотрудникам о необходимости принятия соответствующих мер предосторожности, например, для исключения подслушивания или перехвата информации при использовании телефонной связи:
 
 1) лицами, находящимися в непосредственной близости, особенно при пользовании мобильными телефонами;
 
 2) прослушивания телефонных переговоров путем физического доступа к трубке, телефонной линии или с использованием сканирующих приемников при применении аналоговых мобильных телефонов;
 
 3) посторонними лицами со стороны адресата;
 
 б) напоминание сотрудникам о том, что не следует вести конфиденциальные беседы в общественных местах, открытых офисах и в переговорных комнатах с тонкими стенами;
 
 в) не оставлять сообщений на автоответчиках, переадресация на которые произошла вследствие ошибки соединения, или автоответчиках операторов связи, поскольку эти сообщения могут быть воспроизведены неавторизованными лицами;
 
 г) напоминание сотрудникам о возможных рисках, присущих использованию факсимильных аппаратов, а именно:
 
 1) неавторизованный доступ к встроенной памяти для поиска сообщений;
 
 2) преднамеренное или случайное перепрограммирование аппаратов с целью передачи сообщений по определенным номерам;
 
 3) отсылка документов и сообщений по неправильному номеру вследствие неправильного набора либо из-за использования неправильно сохраненного номера.
 
 

 9 Контроль доступа
 

 9.1 Требование бизнеса по обеспечению контроля в отношении логического доступа

 
 Цель: контроль доступа к информации.
 
 Доступ к информации и бизнес-процессам должен быть контролируемым с учетом требований бизнеса и безопасности.
 
 Требования к контролю доступа должны быть отражены в политиках в отношении распространения и авторизации информации.
 
 9.1.1 Политика в отношении логического доступа
 
 9.1.1.1 Политика и требования бизнеса
 
 Необходимо определять и документально оформлять требования бизнеса по обеспечению контроля в отношении логического доступа. Правила контроля доступа и права каждого пользователя или группы пользователей должны однозначно определяться политикой безопасности по отношению к логическому доступу. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения требований в отношении логического доступа.
 
 Необходимо, чтобы в политике было учтено следующее:
 
 - требования безопасности конкретных бизнес-приложений;
 
 - идентификация всей информации, связанной с функционированием бизнес-приложений;
 
 - условия распространения информации и авторизации доступа, например, применение принципа "need to know" (пользователь получает доступ только к данным, безусловно необходимым ему для выполнения конкретной функции), а также в отношении категорированной информации и требуемых уровней ее защиты;
 
 - согласованность между политиками по контролю доступа и классификации информации применительно к различным системам и сетям;
 
 - применяемое законодательство и любые договорные обязательства относительно защиты доступа к данным или сервисам (раздел 12);
 
 - стандартные профили доступа пользователей для типовых обязанностей и функций;
 
 - управление правами доступа в распределенной сети с учетом всех типов доступных соединений.
 
 9.1.1.2 Правила контроля доступа
 
 При определении правил контроля доступа следует принимать во внимание следующее:
 
 - дифференциацию между правилами, обязательными для исполнения, и правилами, которые являются общими или применяемыми при определенных условиях;
 
 - установление правил, основанных на предпосылке "все должно быть в общем случае запрещено, пока явно не разрешено", а не на более слабом принципе "все в общем случае разрешено, пока явно не запрещено";
 
 - изменения в признаках маркировки информации (см. 5.2) как генерируемых автоматически средствами обработки информации, так и инициируемых по усмотрению пользователей;
 
 - изменения в правах пользователя как устанавливаемых автоматически информационной системой, так и определенных администратором;
 
 - правила, которые требуют одобрения администратора или другого лица перед применением, а также те, которые не требуют специального одобрения.
 
 

 9.2 Контроль в отношении доступа пользователей

 
 Цель: предотвращение неавторизованного доступа к информационным системам.
 
 Для контроля за предоставление права доступа к информационным системам и сервисам необходимо наличие формализованных процедур.
 
 Необходимо, чтобы процедуры охватывали все стадии жизненного цикла пользовательского доступа от начальной регистрации новых пользователей до конечного снятия с регистрации пользователей, которым больше не требуется доступ к информационным системам и сервисам. Особое внимание следует уделять мероприятиям в отношении предоставления прав привилегированного доступа, с помощью которых пользователи могут обходить системные средства контроля.
 
 9.2.1 Регистрация пользователей
 
 Необходимо существование формализованной процедуры регистрации и снятия с регистрации пользователей в отношении предоставления доступа ко всем многопользовательским информационным системам и сервисам.
 
 Доступ к многопользовательским информационным сервисам должен быть контролируемым посредством формализованного процесса регистрации пользователей, который должен включать:
 
 - использование уникальных ID (идентификаторов или имен) пользователей таким образом, чтобы действия в системе можно было бы соотнести с пользователями и установить ответственных. Использование групповых ID следует разрешать только в тех случаях, где это необходимо, с учетом особенностей выполняемой работы;
 
 - проверку того, что пользователь имеет авторизацию от владельца системы на пользование информационной системой или сервисов. Кроме того, может быть целесообразным наличие дополнительного разрешения на предоставление прав от руководства;
 
 - проверку того, что уровень предоставленного доступа соответствует производственной необходимости (9.1), а также учитывает требования политики безопасности организации, например, не нарушает принципа разделения обязанностей (8.1.4);
 
 - предоставление пользователям письменного документа, в котором указаны их права доступа;
 
 - требование того, чтобы пользователи подписывали документ о том, что они понимают условия предоставления доступа;
 
 - обеспечение уверенности в том, что поставщики услуг не предоставляют доступ, пока процедуры авторизации не завершены;
 
 - ведение формализованного учета в отношении всех лиц, зарегистрированных для использования сервисов;
 
 - немедленную отмену прав доступа пользователей, у которых изменились должностные обязанности или уволившихся из организации;
 
 - периодическую проверку и удаление избыточных пользовательских ID и учетных записей;
 
 - обеспечение того, чтобы избыточные пользовательские ID не были переданы другим пользователям.
 
 Необходимо рассматривать возможность включения положений о применении соответствующих санкций в случае попыток неавторизованного доступа в трудовые договора сотрудников и контракты с поставщиками услуг (6.1.4 и 6.3.5).
 
 9.2.2 Управление привилегиями
 
 Предоставление и использование привилегий при применении средств многопользовательской информационной системы, которые позволяют пользователю обходить средства контроля системы или бизнес-приложения, необходимо ограничивать и держать под контролем. Неадекватное использование привилегий часто бывает главной причиной сбоев систем.
 
 Необходимо, чтобы в многопользовательских системах, которые требуют защиты от неавторизованного доступа, предоставление привилегий контролировалось посредством формализованного процесса авторизации. При этом целесообразно применять следующие меры:
 
 - идентифицировать привилегии в отношении каждого системного продукта, например, операционной системы, системы управления базами данных и каждого бизнес-приложения, а также категории сотрудников, которым эти привилегии должны быть предоставлены;
 
 - привилегии должны предоставляться только тем сотрудникам, которым это необходимо для работы и только на время ее выполнения, например, предоставляя минимальные возможности по работе с системой для выполнения требуемых функций, только когда в этом возникает потребность;
 
 - необходимо обеспечивать процесс авторизации и регистрации всех предоставленных привилегий. Привилегии не должны предоставляться до завершения процесса авторизации;
 
 - следует проводить политику разработки и использования стандартных системных утилит (скриптов) для исключения необходимости в предоставлении дополнительных привилегий пользователям;
 
 - следует использовать различные идентификаторы пользователей при работе в обычном режиме и с использованием привилегий.
 
 9.2.3 Контроль в отношении паролей пользователей
 
 Пароли являются наиболее распространенными средствами подтверждения идентификатора пользователя при доступе к информационной системе или сервису. Предоставление паролей должно контролироваться посредством формализованного процесса управления, который должен предусматривать:
 
 - подписание пользователями документа о необходимости соблюдения полной конфиденциальности личных паролей, а в отношении групповых паролей - соблюдения конфиденциальности в пределах рабочей группы (это может быть включено в условия трудового договора, 6.1.4);
 
 - в случаях, когда от пользователей требуется управление собственными паролями, необходимо обеспечивать предоставление безопасного первоначального временного пароля, который пользователя принуждают сменить при первой регистрации в системе. Временные пароли используются в тех случаях, когда пользователи забывают свой личный пароль, и должны выдаваться только после идентификации пользователя;
 
 - обеспечение безопасного способа выдачи временных паролей пользователям. Следует избегать использования незащищенных (открытый текст) сообщений электронной почты или сообщений по электронной почте от третьей стороны. Пользователям необходимо подтверждать получение паролей.
 
 Пароли никогда не следует хранить в компьютерной системе в незащищенной форме. При необходимости следует рассматривать возможности других технологий для идентификации и аутентификации пользователя, такие как биометрия (проверка отпечатков пальцев), проверка подписи, и использование аппаратных средств идентификации (чип-карт, микросхем).
 
 9.2.4 Пересмотр прав доступа пользователей
 
 Для поддержания эффективного контроля доступа к данным и информационным услугам руководство периодически должно осуществлять формализованный процесс пересмотра прав доступа пользователей, при этом:
 
 - права доступа пользователей должны пересматриваться регулярно (рекомендуемый период - 6 месяцев) и после любых изменений (9.2.1);
 
 - авторизация специальных привилегированных прав доступа (9.2.2) должна осуществляться через меньшие интервалы времени (рекомендуемый период - 3 месяца);
 
 - предоставленные привилегии должны периодически проверяться для обеспечения уверенности в том, что не были получены неавторизованные привилегии.
 
 

 9.3 Обязанности пользователей

 
 Цель: предотвращение неавторизованного доступа пользователей к информации.
 
 Взаимодействие авторизованных пользователей является важным аспектом эффективности безопасности.
 
 Необходимо, чтобы пользователи были осведомлены о своих обязанностях по использованию эффективных мероприятий по управлению доступом, в частности, в отношении паролей и безопасности оборудования, с которым они работают.
 
 9.3.1 Использование паролей
 
 Пользователи должны соблюдать определенные правила обеспечения безопасности при выборе и использовании паролей.
 
 С помощью паролей обеспечивается подтверждение идентификатора пользователя и, следовательно, получение доступа к средствам обработки информации или сервисам. Все пользователи должны быть осведомлены о необходимости:
 
 а) сохранения конфиденциальности паролей;
 
 б) запрещения записи паролей на бумаге, если только не обеспечено безопасное их хранение;
 
 в) изменения паролей всякий раз, при наличии любого признака возможной компрометации системы или пароля;
 
 г) выбора качественных паролей с минимальной длиной в шесть знаков, которые:
 
 1) легко запомнить;
 
 2) не подвержены легкому угадыванию или вычислению с использованием персональной информации, связанной с владельцем пароля, например, имен, номеров телефонов, дат рождения и т. д.;
 
 3) не содержат последовательных идентичных символов и не состоят из полностью числовых или полностью буквенных групп;
 
 д) изменения паролей через равные интервалы времени или после определенного числа доступов и исключения повторного или цикличного использования старых паролей (пароли для привилегированных учетных записей следует менять чаще, чем обычные пароли);
 
 е) изменения временных паролей при первой регистрации в системе;
 
 ж) запрещения включения паролей в автоматизированный процесс регистрации, например, с использованием хранимых макрокоманд или функциональных клавиш;
 
 з) исключения коллективного использования индивидуальных паролей.
 
 Если пользователи нуждаются в доступе к многочисленным услугам или бизнес-приложениям и вынуждены использовать многочисленные пароли, можно порекомендовать возможность использования одного качественного пароля (9.3.1.г) для всех сервисов, обеспечивающих разумный уровень защиты хранимого пароля.
 
 9.3.2 Оборудование, оставленное пользователями без присмотра
 
 Пользователи должны обеспечивать соответствующую защиту оборудования, оставленного без присмотра. Оборудование, установленное в рабочих зонах, например рабочие или файловые станции, требует специальной защиты от неавторизованного доступа в случае оставления их без присмотра на длительный период. Всем пользователям и подрядчикам необходимо знать требования безопасности и методы защиты оставленного без присмотра оборудования так же, как и свои обязанности по обеспечению такой защиты. Пользователям рекомендуется:
 
 - завершать активные сеансы по окончании работы, если отсутствует механизм блокировки, например, хранитель экрана, защищенный паролем;
 
 - отключаться от мэйнфрейма, когда сеанс закончен (то есть не только выключать PC или терминал);
 
 - защищать PC или терминалы от неавторизованного использования посредством замка или эквивалентного средства контроля, например, защита доступа с помощью пароля, когда оборудование не используется.
 
 

Из за большого объема эта статья размещена на нескольких страницах: 1 2 3 4 5