9.4 Контроль сетевого доступа
Цель: защита сетевых сервисов.
Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым. Это необходимо для уверенности в том, что пользователи, которые имеют доступ к сетям и сетевым сервисам, не компрометируют их безопасность, обеспечивая:
- соответствующие интерфейсы между сетью организации и сетями, принадлежащими другим организациям, или общедоступными сетями;
- соответствующие механизмы аутентификации в отношении пользователей и оборудования;
- контроль доступа пользователей к информационным сервисам.
9.4.1 Политика в отношении использования сетевых служб
Несанкционированные подключения к сетевым службам могут нарушать информационную безопасность целой организации. Пользователям следует обеспечивать непосредственный доступ только к тем сервисам, в которых они были авторизованы. Контроль доступа, в частности, является необходимым для сетевых подключений к важным или критичным бизнес-приложениям или для пользователей, находящихся в зонах высокого риска, например, в общественных местах или за пределами организации - вне сферы непосредственного управления и контроля безопасности со стороны организации.
Следует предусматривать меры безопасности в отношении использования сетей и сетевых сервисов. При этом должны быть определены:
- сети и сетевые услуги, к которым разрешен доступ;
- процедуры авторизации для определения кому, к каким сетям и сетевым сервисам разрешен доступ;
- мероприятия и процедуры по защите от несанкционированного подключения к сетевым сервисам.
Необходимо, чтобы эти меры согласовывались с требованиями бизнеса в отношении контроля доступа (9.1).
9.4.2 Предопределенный маршрут
Маршруты от пользовательского терминала до точек предоставления компьютерных сервисов требуют особого контроля. Сети проектируются с учетом обеспечения максимальных возможностей для совместного использования ресурсов и гибкости маршрутизации. Эти особенности повышают риск неавторизованного доступа к бизнес-приложениям или неавторизованного использования информационного оборудования. Мероприятия, которые ограничивают маршруты между пользовательским терминалом и компьютерными сервисами, к которым пользователь авторизован осуществлять доступ, например, путем создания оптимального маршрута, могут уменьшать такие риски.
Цель оптимизации маршрута состоит в том, чтобы исключить выбор пользователями иных маршрутов, кроме маршрута между пользовательским терминалом и сервисами, по которому пользователь авторизован осуществлять доступ.
Этот подход обычно требует внедрения набора средств контроля в различных точках маршрута. Принцип заключается в ограничении вариантов маршрутизации в каждой точке сети посредством определенных способов, например:
- распределения выделенных линий или номеров телефона;
- автоматического подключения портов к определенным системным приложениям или шлюзам безопасности;
- ограничения опций меню и подменю для индивидуальных пользователей;
- предотвращения неограниченного сетевого роуминга;
- использования определенных прикладных систем и/или шлюзов безопасности для внешних пользователей сети;
- активного контроля разрешенного источника с целью направления соединения через шлюзы безопасности, например, межсетевые экраны;
- ограничения доступа к сети посредством создания отдельных логических доменов, например виртуальных частных сетей для пользовательских групп в пределах организации (9.4.6).
Выбор конкретных способов должен основываться на требованиях бизнеса в отношении контроля доступа (9.1).
9.4.3 Аутентификация пользователей в случае внешних соединений
Внешние соединения обеспечивают потенциал для неавторизованного доступа к служебной информации, например, при использовании телефонной связи. Поэтому, при доступе удаленных пользователей, они должны быть аутентифицированы. Некоторые методы аутентификации обеспечивают больший уровень защиты, например, основанные на использовании средств криптографии, и могут обеспечить надежную аутентификацию. Исходя из оценки риска, важно определить требуемый уровень защиты для выбора соответствующего метода аутентификации.
Аутентификация удаленных пользователей может быть достигнута при использовании средств криптографии, средств идентификации аппаратуры или протоколов, поддерживающих метод "отклик-отзыв". Выделенные частные линии или средства проверки сетевого адреса пользователя могут также использоваться для обеспечения доверия к источнику подключений.
Процедуры и средства контроля обратного вызова, например использование модемов с обратным вызовом, могут обеспечивать защиту от неавторизованных и нежелательных подключений к средствам обработки информации организации, так как подтверждают право на доступ пользователей, пытающихся установить удаленную связь с сетью организации. При использовании этих способов организации не следует использовать сетевые сервисы, которые включают переадресацию вызова. Если же они используются, необходимо блокировать возможности переадресации, чтобы избежать связанных с этим рисков. Также важно, чтобы процесс обратного вызова обеспечивал уверенность в том, что фактическое разъединение на стороне организации осуществлено. В противном случае удаленный пользователь может держать линию занятой, фальсифицируя проверку обратного вызова. Для исключения подобных инцидентов процедуры и средства контроля обратного вызова следует тщательно тестировать.
9.4.4 Аутентификация узла
Средство автоматического подсоединения к удаленному компьютеру может предоставить способ получения неавторизованного доступа к бизнес-приложению. Следовательно, подключения к удаленным компьютерным системам необходимо аутентифицировать, что особенно важно, если подключение производится к сети, которая находится вне сферы контроля управления безопасностью организации. Примеры аутентификации и способы ее достижения рассматриваются в 9.4.3.
Аутентификация узла может служить альтернативным средством аутентификации групп удаленных пользователей там, где они подсоединены к безопасному компьютерному средству совместного использования (9.4.3).
9.4.5 Защита портов диагностики при удаленном доступе
Для обеспечения безопасности доступ к портам диагностики должен быть контролируемым. Многие компьютерные сети и системы связи имеют набор средств удаленной диагностики для использования инженерами по обслуживанию. Будучи незащищенными, эти диагностические порты являются источником риска неавторизованного доступа. Безопасность этих портов необходимо обеспечивать с помощью соответствующего защитного механизма безопасности, например, "замка", а также осуществлять доступ обслуживающего персонала к диагностическим портам только на основании договоренности между руководителем, отвечающим за обеспечение компьютерных сервисов, и персоналом по поддержке аппаратных/программных средств.
9.4.6 Принцип разделения в сетях
Компьютерные сети все более распространяются за пределы организации, поскольку создаются деловые партнерства, которые требуют общения между партнерами или совместного использования сетевой инфраструктуры и средств обработки информации. Такие расширения увеличивают риск неавторизованного доступа к информационным системам сети, причем в отношении некоторых из этих систем, вследствие их важности или критичности, может потребоваться защита от пользователей, получивших доступ к другим системам сети. В таких случаях необходимо рассматривать внедрение дополнительных мероприятий по управлению информационной безопасностью в пределах сети, чтобы разделять группы информационных сервисов, пользователей и информационные системы.
Одно из таких мероприятий состоит в том, чтобы разделять их на отдельные логические сетевые домены, например, внутренний сетевой домен организации и внешние сетевые домены, каждый из которых защищен определенным периметром безопасности. Такой периметр может быть реализован посредством внедрения шлюза безопасности между двумя связанными сетями для контроля доступа и информационного потока между ними. Этот шлюз следует конфигурировать для фильтрации трафика между доменами (9.4.7 и 9.4.8) и для блокирования неавторизованного доступа в соответствии с политикой контроля доступа организации (9.1). Примером такого шлюза является межсетевой экран.
Критерии для разделения сетей на домены следует формировать на основе анализа политики контроля доступа (9.1), а также учитывая влияние этого разделения на производительность в результате включения подходящей технологии маршрутизации сетей или шлюзов (9.4.7 и 9.4.8).
9.4.7 Контроль сетевых соединений
Требования политики контроля доступа для совместно используемых сетей, особенно тех, которые простираются за границы организации, могут потребовать внедрения дополнительных мероприятий по управлению информационной безопасностью, чтобы ограничивать возможности пользователей по подсоединению. Такие мероприятия могут быть реализованы посредством сетевых шлюзов, которые фильтруют трафик с помощью определенных таблиц или правил. Необходимо, чтобы применяемые ограничения основывались на политике и требованиях доступа к бизнес-приложениям (9.1), а также соответствующим образом поддерживались и обновлялись.
Примеры бизнес-приложений, к которым следует применять ограничения:
- электронная почта;
- передача файлов в одном направлении;
- передача файла в обоих направлениях;
- интерактивный доступ;
- доступ к сети, ограниченный определенным временем суток или датой.
9.4.8 Управление маршрутизацией сети
Сети совместного использования, особенно те, которые простираются за границы организации, могут требовать реализации мероприятий по обеспечению информационной безопасности, чтобы подсоединения компьютеров к информационным потокам не нарушали политику контроля доступа к бизнес-приложениям (9.1). Это является особенно важным для сетей, совместно используемых с пользователями третьей стороны (не сотрудниками организации).
Обеспечение информационной безопасности при осуществлении маршрутизации основывается на надежном механизме контроля адресов источника и назначения сообщения. Преобразование сетевых адресов также очень полезно для изоляции сетей и предотвращения распространения маршрутов от сети одной организации в сеть другой. Этот подход может быть реализован как программным способом, так и аппаратно. Необходимо, чтобы специалисты, занимающиеся внедрением, были осведомлены о характеристиках используемых механизмов.
9.4.9 Безопасность использования сетевых служб
Общедоступные и частные сетевые службы предлагают широкий спектр дополнительных информационных услуг, обладающих характеристиками безопасности и обеспечивающих разные уровни защиты. Организации, пользующиеся этими услугами, должны быть уверены в том, что при этом обеспечивается необходимый уровень информационной безопасности и имеется четкое описание атрибутов безопасности всех используемых сервисов.
9.5 Контроль доступа к операционной системе
Цель: предотвращение неавторизованного доступа к компьютерам.
На уровне операционной системы следует использовать средства информационной безопасности для ограничения доступа к компьютерным ресурсам. Эти средства должны обеспечивать:
а) идентификацию и верификацию компьютера пользователя и, если необходимо, терминала и местоположение каждого авторизованного пользователя;
б) регистрацию успешных и неудавшихся доступов к системе;
в) аутентификацию соответствующего уровня. Если используется система парольной защиты, то она должна обеспечивать качественные пароли (9.3.1 г);
г) ограничение времени подсоединения пользователей, в случае необходимости.
Другие методы контроля доступа, такие как "отклик-отзыв", являются допустимыми, если они оправданы с точки зрения бизнес-рисков.
9.5.1 Автоматическая идентификация терминала
Следует рассматривать возможность использования автоматической идентификации терминала, чтобы аутентифицировать его подсоединение к определенным точкам системы. Автоматическая идентификация терминала - метод, который должен использоваться, если важно, чтобы сеанс мог быть инициирован только с определенного места или компьютерного терминала. Встроенный или подсоединенный к терминалу идентификатор может использоваться для определения, разрешено ли этому конкретному терминалу инициировать или получать определенные сообщения. Может быть необходимым применение физической защиты терминала для обеспечения безопасности его идентификатора. Существуют другие методы, которые можно использовать для аутентификации пользователей (9.4.3).
9.5.2 Процедуры регистрации с терминала
Доступ к информационным сервисам должен быть обеспечен путем использования безопасной процедуры входа в систему (способ регистрации). Процедуру регистрации в компьютерной системе следует проектировать так, чтобы свести к минимуму возможность неавторизованного доступа и не оказывать помощи неавторизованному пользователю. Правильно спланированная процедура регистрации должна обладать следующими свойствами:
а) не отображать наименований системы или приложений, пока процесс регистрации не будет успешно завершен;
б) отображать общее уведомление, предупреждающее, что доступ к компьютеру могут получить только авторизованные пользователи;
в) не предоставлять сообщений-подсказок в течение процедуры регистрации, которые могли бы помочь неавторизованному пользователю;
г) подтверждать информацию регистрации только по завершении ввода всех входных данных. В случае ошибочного ввода система не показывает, какая часть данных является правильной или неправильной;
д) ограничивать число разрешенных неудачных попыток регистрации (рекомендуется три) и предусматривать:
1) запись неудачных попыток;
2) включение временной задержки прежде, чем будут разрешены дальнейшие попытки регистрации, или отклонение любых дальнейших попыток регистрации без специальной авторизации;
3) разъединение сеанса связи при передаче данных;
е) ограничивать максимальное и минимальное время, разрешенное для процедуры регистрации. Если оно превышено, система должна прекратить регистрацию;
ж) фиксировать информацию в отношении успешно завершенной регистрации:
1) дату и время предыдущей успешной регистрации;
2) детали любых неудачных попыток регистрации, начиная с последней успешной регистрации.
9.5.3 Идентификация и аутентификация пользователя
Необходимо, чтобы все пользователи (включая персонал технической поддержки, т. е. операторов, администраторов сети, системных программистов и администраторов базы данных) имели уникальный идентификатор (пользовательский ID) для их единоличного использования с тем, чтобы их действия могли быть проанализированы ответственным лицом. Пользовательский ID не должен содержать признаков уровня привилегии пользова, например, менеджера, контролера.
Для выполнения особо важных работ допускается использовать общий идентификатор для группы пользователей или для выполнения определенной работы. В таких случаях необходимо соответствующим образом оформленное разрешение руководства. Кроме того, для обеспечения безопасности системы от неавторизованного доступа в этих случаях может потребоваться применение дополнительных мер обеспечения информационной безопасности.
Существуют различные процедуры аутентификации, которые могут использоваться для доказательства заявленной идентичности пользователя. Пароли (9.3.1) - очень распространенный способ обеспечения идентификации и аутентификации (I&A), основанный на использовании пароля, который знает только пользователь. То же самое может быть достигнуто средствами криптографии и протоколами аутентификации.
Специальные физические устройства доступа с памятью (token) или микропроцессорные карты (смарт-карты), которыми пользуются сотрудники, могут также использоваться для идентификации и аутентификации. Биометрические методы аутентификации, которые основаны на уникальности характеристик (особенностей) индивидуума, могут также использоваться для аутентификации пользователя. Сочетание различных технологий и методов обеспечивает более надежную аутентификацию.
9.5.4 Система управления паролями
Пароли - одно из главных средств подтверждения полномочия пользователя, осуществляющего доступ к компьютерным сервисам. В системах управления паролем должны быть предусмотрены эффективные интерактивные возможности поддержки необходимого их качества (9.3.1).
Для некоторых бизнес-приложений требуется назначение пользовательских паролей независимым должностным лицом. В большинстве же случаев пароли выбираются и поддерживаются пользователями.
Система управления паролями должна:
- предписывать использование индивидуальных паролей для обеспечения установления ответственности;
- позволять пользователям выбирать и изменять их собственные пароли, а также включать подтверждающую процедуру для учета ошибок ввода при необходимости;
- предписывать выбор высококачественных паролей в соответствии с 9.3.1;
- там, где пользователи отвечают за поддержку своих собственных паролей, принуждать их к изменению паролей (9.3.1);
- там, где пользователи выбирают пароли, обеспечивать изменение временных паролей при первой регистрации (9.2.3);
- поддерживать хранение истории предыдущих пользовательских паролей (за предыдущий год) и предотвращать их повторное использование;
- не отображать пароли на экране при их вводе;
- хранить файлы паролей отдельно от данных прикладных систем;
- хранить пароли в зашифрованной форме, используя односторонний алгоритм шифрования;
- обеспечивать смену паролей поставщика, установленных по умолчанию, после инсталляции программного обеспечения.
9.5.5 Использование системных утилит
На большинстве компьютеров устанавливается, по крайней мере, одна программа - системная утилита, которая позволяет обойти меры предотвращения неавторизованного доступа к операционным системам и бизнес-приложениям. Использование системных утилит должно быть ограничено и тщательным образом контролироваться. Для этого необходимо использование следующих мероприятий по управлению информационной безопасностью:
- использование процедур аутентификации системных утилит;
- отделение системных утилит от прикладных программ;
- ограничение использования системных утилит путем выбора минимального числа доверенных авторизованных пользователей, которым это необходимо;
- авторизация эпизодического использования системных утилит;
- ограничение доступности системных утилит (только на время внесения авторизованных изменений);
- регистрация использования всех системных утилит;
- определение и документирование уровней авторизации в отношении системных утилит;
- удаление всех ненужных утилит из системного программного обеспечения.
9.5.6 Сигнал тревоги для защиты пользователей на случай, когда они могут стать объектом насилия
Желательно предусматривать сигнал тревоги на случай, когда пользователь может стать объектом насилия. Решение об обеспечении такой сигнализацией следует принимать на основе оценки рисков. При этом необходимо определить обязанности и процедуры реагирования на сигнал такой тревоги.
9.5.7 Периоды бездействия терминалов
Терминалы, размещенные в местах повышенного риска, например в общедоступных местах или вне сферы контроля процесса управления безопасностью организации, обслуживающие системы высокого риска, должны отключаться после определенного периода их бездействия для предотвращения доступа неавторизованных лиц. Механизм блокировки по времени должен обеспечивать очистку экрана терминала, а также закрытие работы сеансов приложения и сетевого сеанса терминала после определенного периода времени его бездействия. Время срабатывания блокировки должно устанавливаться с учетом рисков безопасности, связанных с местом установки терминала. Следует иметь в виду, что некоторые персональные компьютеры обеспечивают ограниченную возможность блокировки терминала по времени путем очистки экрана и предотвращения неавторизованного доступа, не осуществляя при этом закрытия сеанса приложений или сетевого сеанса.
9.5.8 Ограничения подсоединения по времени
Ограничения подсоединения по времени должны обеспечивать дополнительную безопасность для приложений высокого риска. Ограничение периода времени, в течение которого разрешены подсоединения терминалов к компьютерным сервисам, уменьшает интервал времени, в течение которого возможен неавторизованный доступ. Эту меру обеспечения информационной безопасности необходимо применять для наиболее важных компьютерных приложений, особенно тех, которые связаны с терминалами, установленными в местах повышенного риска, например, в общедоступных местах или вне сферы контроля управления безопасностью организации. Примеры таких ограничений:
- использование заранее определенных отрезков времени для пакетной передачи файлов или регулярных интерактивных сеансов небольшой продолжительности;
- ограничение времени подключений часами работы организации, если нет необходимости сверхурочной или более продолжительной работы.
9.6 Контроль доступа к приложениям
Цель: предотвращение неавторизованного доступа к данным информационных систем.
Необходимо применять меры обеспечения информационной безопасности для ограничения доступа к прикладным системам.
Логический доступ к программному обеспечению и информации должен быть ограничен только авторизованными пользователями. Для этого необходимо обеспечивать:
- контроль доступа пользователей к информации и функциям бизнес-приложений в соответствии с определенной бизнесом политикой контроля доступа;
- защиту от неавторизованного доступа любой утилиты и системного программного обеспечения, которые позволяют обходить средства операционной системы или приложений;
- исключение компрометации безопасности других систем, с которыми совместно используются информационные ресурсы;
- доступ к информации только владельца, который соответствующим образом назначен из числа авторизованных лиц или определенных групп пользователей.
9.6.1 Ограничение доступа к информации
Пользователям бизнес-приложений, включая персонал поддержки и эксплуатации, следует обеспечивать доступ к информации и функциям этих приложений в соответствии с определенной политикой контроля доступа, основанной на требованиях к отдельным бизнес-приложениям (9.1). Необходимо рассматривать применение следующих мероприятий по управлению информационной безопасностью для обеспечения требований по ограничению доступа:
- поддержка меню для управления доступом к прикладным функциям системы;
- ограничения в предоставлении пользователям информации о данных и функциях бизнес-приложений, к которым они не авторизованы на доступ, путем соответствующего редактирования пользовательской документации;
- контроль прав доступа пользователей, например, чтение/запись/удаление/ выполнение;
- обеспечение уверенности в том, что выводимые данные из бизнес-приложений, обрабатывающих важную информацию, содержали только требуемую информацию и пересылались только в адреса авторизованных терминалов и по месту назначения. Следует проводить периодический анализ процесса вывода для проверки удаления избыточной информации.
9.6.2 Изоляция систем, обрабатывающих важную информацию
Системы, обрабатывающие важную информацию, должны быть обеспечены выделенной (изолированной) вычислительной средой. Некоторые прикладные системы имеют очень большое значение с точки зрения безопасности данных и поэтому требуют специальных условий эксплуатации. Важность обрабатываемой информации может или требовать работы системы на выделенном компьютере, или осуществлять совместное использование ресурсов только с безопасными бизнес-приложениями, или работать без каких-либо ограничений. При этом необходимо учитывать следующее:
- владельцу бизнес-приложений необходимо определить и документально оформить степень их важности (4.1.3);
- когда важное бизнес-приложение должно работать в среде совместного использования, необходимо выявить другие приложения, с которыми будет осуществляться совместное использование ресурсов, и согласовать это с владельцем важного бизнес-приложения.
9.7 Мониторинг доступа и использования системы
Цель: обнаружение неавторизованных действий.
Для обнаружения отклонения от требований политики контроля доступа и регистрации событий и обеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности необходимо проводить мониторинг системы.
Мониторинг системы позволяет проверять эффективность применяемых мероприятий по обеспечению информационной безопасности и подтверждать соответствие модели политики доступа требованиям бизнеса (9.1).
9.7.1 Регистрация событий
Для записи инцидентов нарушения информационной безопасности и других связанных с безопасностью событий следует создавать журналы аудита и хранить их в течение согласованного периода времени с целью содействия в проведении будущих расследований и мониторинге управления доступом. Необходимо, чтобы записи аудита включали:
- ID пользователей;
- даты и время входа и выхода;
- идентификатор терминала или его местоположение, если возможно;
- записи успешных и отклоненных попыток доступа к системе;
- записи успешных и отклоненных попыток доступа к данным и другим ресурсам. Может потребоваться, чтобы определенные записи аудита были заархивированы для использования их при анализе и расследованиях инцидентов нарушения информационной безопасности, а также в интересах других целей (раздел 12).
9.7.2 Мониторинг использования систем
9.7.2.1 Процедуры и области риска
Для обеспечения уверенности в том, что пользователи выполняют только те действия, на которые они были явно авторизованы, необходимо определить процедуры мониторинга использования средств обработки информации. Уровень мониторинга конкретных средств обработки информации следует определять на основе оценки рисков. При мониторинге следует обращать внимание на:
а) авторизованный доступ, включая следующие детали:
1) пользовательский ID;
2) даты и время основных событий;
3) типы событий;
4) файлы, к которым был осуществлен доступ;
5) используемые программы/утилиты;
б) все привилегированные действия, такие как:
1) использование учетной записи супервизора;
2) запуск и останов системы;
3) подсоединение/отсоединение устройства ввода/вывода;
в) попытки неавторизованного доступа, такие как:
1) неудавшиеся попытки;
2) нарушения политики доступа и уведомления сетевых шлюзов и межсетевых экранов;
3) предупреждения от собственных систем обнаружения вторжения;
г) предупреждения или отказы системы, такие как:
1) консольные (терминальные) предупреждения или сообщения;
2) исключения, записанные в системные журналы регистрации;
3) предупредительные сигналы, связанные с управлением сетью.
9.7.2.2 Факторы риска
Результаты мониторинга следует регулярно анализировать. Периодичность анализов должна зависеть от результатов оценки риска. Факторы риска, которые необходимо при этом учитывать, включают:
- критичность процессов, которые поддерживаются бизнес-приложениями;
- стоимость, важность или критичность информации;
- анализ предшествующих случаев проникновения и неправильного использования системы;
- степень взаимосвязи информационных систем организации с другими (особенно с общедоступными) сетями.
9.7.2.3 Регистрация и анализ событий
Анализ (просмотр) журнала аудита подразумевает понимание угроз, которым подвержена система, и причин их возникновения. Примеры событий, которые могли бы потребовать дальнейшего исследования в случае инцидентов нарушения информационной безопасности, приведены в 9.7.1.
Системные журналы аудита часто содержат информацию, значительный объем которой не представляет интереса с точки зрения мониторинга безопасности. Для облегчения идентификации существенных событий при мониторинге безопасности целесообразно рассмотреть возможность автоматического копирования соответствующих типов сообщений в отдельный журнал и/или использовать подходящие системные утилиты или инструментальные средства аудита для подготовки к анализу данных.
При распределении ответственности за анализ журнала аудита необходимо учитывать разделение ролей между лицом (лицами), проводящим(и) анализ, и теми, чьи действия подвергаются мониторингу.
Особое внимание следует уделять защите собственных средств регистрации, потому что при вмешательстве в их работу может быть получено искаженное представление о событиях безопасности. Мероприятия по управлению информационной безопасностью должны обеспечивать защиту от неавторизованных изменений и эксплуатационных сбоев, включая:
- отключение средств регистрации;
- изменение типов зарегистрированных сообщений;
- редактирование или удаление файлов, содержащихся в журналах аудита;
- регистрацию случаев полного заполнения носителей журнальных файлов, а также случаев невозможности записей событий вследствие сбоев либо случаев перезаписи новых данных поверх старых.
9.7.3 Синхронизация часов
Правильная установка компьютерных часов (таймера) важна для обеспечения точности заполнения журналов аудита, которые могут потребоваться для расследований или как доказательство при судебных или административных разбирательствах. Некорректные журналы аудита могут затруднять такие расследования, а также приводить к сомнению в достоверности собранных доказательств.
Там, где компьютер или устройство связи имеют возможность использовать часы в реальном времени, их следует устанавливать по Универсальному Скоординированному Времени (UCT) или местному стандартному времени. Так как некоторые часы, как известно, "уходят вперед" или "отстают", должна существовать процедура, которая проверяет и исправляет любое отклонение или его значимое изменение.
9.8 Работа с переносными устройствами и работа в дистанционном режиме
Цель: обеспечение информационной безопасности при использовании переносных устройств и средств, обеспечивающих работу в дистанционном режиме.
Следует соизмерять требуемую защиту со специфичными рисками работы в удаленном режиме. При использовании переносных устройств следует учитывать риски, связанные с работой в незащищенной среде, и применять соответствующие меры защиты. В случаях работы в дистанционном режиме организация должна предусматривать защиту как места работы, так и соответствующие меры по обеспечению информационной безопасности.
9.8.1 Работа с переносными устройствами
При использовании переносных устройств, например ноутбуков, карманных компьютеров, переносных компьютеров и мобильных телефонов, необходимо принимать специальные меры противодействия компрометации служебной информации. Необходимо принять формализованную политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде. Такая политика должна включать требования по физической защите, контролю доступа, использованию средств и методов криптографии, резервированию и защите от вирусов. Необходимо, чтобы эта политика включала правила и рекомендации по подсоединению мобильных средств к сетям, а также разработку руководств по использованию этих средств в общедоступных местах.
Следует проявлять осторожность при использовании мобильных средств вычислительной техники и других сервисных средств в общедоступных местах, переговорных комнатах и незащищенных помещениях вне организации. Чтобы исключить неавторизованный доступ или раскрытие информации, хранимой и обрабатываемой этими средствами, необходимо использование средств и методов криптографии (10.3).
При использовании мобильных средств в общедоступных местах важно проявлять осторожность, чтобы уменьшить риск "подсмотра" паролей доступа неавторизованными лицами. Необходимо внедрять и поддерживать в актуализированном состоянии средства и способы защиты от вредоносного программного обеспечения (8.3). Следует также обеспечивать доступность оборудования для быстрого и удобного резервирования информации. Необходимо также обеспечивать адекватную защиту резервных копий от кражи или потери информации.
Соответствующую защиту необходимо обеспечивать мобильным средствам, подсоединенным к общедоступным сетям. Удаленный доступ к служебной информации через общедоступную сеть с использованием мобильных средств вычислительной техники следует осуществлять только после успешной идентификации и аутентификации, а также при наличии соответствующих механизмов управления доступом (9.4).
Оборудование, на котором хранится важная и/или критическая коммерческая информация, не следует оставлять без присмотра и по возможности необходимо физически изолировать его в надежное место или использовать специальные защитные устройства на самом оборудовании, чтобы исключить его неавторизованное использование. Переносные устройства необходимо также физически защищать от краж, особенно когда их оставляют без присмотра, забывают в автомобилях или других видах транспорта, гостиничных номерах, конференц-залах и других местах встреч (7.2.5).
Необходимо информировать сотрудников, использующих переносные устройства, о дополнительных рисках и необходимых мероприятиях обеспечения информационной безопасности, связанных с этим способом работы.
9.8.2 Работа в дистанционном режиме
При работе в дистанционном режиме, а также для обеспечения работы сотрудников вне своей организации, в конкретном удаленном месте применяются коммуникационные технологии. При этом следует обеспечивать защиту мест дистанционной работы как от краж оборудования и информации, так и от неавторизованного раскрытия информации, неавторизованного удаленного доступа к внутренним системам организации или неправильного использования оборудования. Важно, чтобы при работе в дистанционном режиме были выполнены требования как по авторизации, так и по контролю со стороны руководства, а также был обеспечен соответствующий уровень информационной безопасности этого способа работы.
Организациям необходимо предусматривать разработку политики, процедуры и способы контроля за действиями, связанными с работой в дистанционном режиме. Организациям следует авторизовывать возможность работы в дистанционном режиме только в случае уверенности, что применяются соответствующие меры информационной безопасности, которые согласуются с политикой безопасности организации. Необходимо принимать во внимание:
- существующую физическую безопасность места работы в дистанционном режиме, с точки зрения безопасности здания и окружающей среды;
- предлагаемое оборудование мест дистанционной работы;
- требования к безопасности коммуникаций, исходя из потребности в удаленном доступе к внутренним системам, организации, важности информации, к которой будет осуществляться доступ и которая будет передаваться по каналам связи, а также важность самих внутренних систем организации;
- угрозу неавторизованного доступа к информации или ресурсам со стороны других лиц, имеющих доступ к месту дистанционной работы, например, членов семьи и друзей.
Мероприятия по обеспечению информационной безопасности в этих условиях должны включать:
- обеспечение подходящим оборудованием и мебелью места дистанционной работы;
- определение видов разрешенной работы, времени работы, классификацию информации, которая может храниться, а также определение внутренних систем и услуг, доступ к которым авторизован лицу, работающему в дистанционном режиме;
- обеспечение подходящим телекоммуникационным оборудованием, в том числе средствами обеспечения безопасности удаленного доступа;
- физическую безопасность;
- правила и руководства в отношении доступа членов семьи и друзей к оборудованию и информации;
- обеспечение поддержки и обслуживания оборудования и программного обеспечения;
- процедуры в отношении резервирования данных и обеспечения непрерывности деятельности;
- аудит и мониторинг безопасности;
- аннулирование полномочий, отмену прав доступа и возвращение оборудования в случае прекращения работы в дистанционном режиме.
10 Разработка и обслуживание систем
10.1 Требования к безопасности систем
Цель: обеспечение учета требований безопасности при разработке информационных систем.
Эти требования касаются инфраструктуры, бизнес-приложений, а также приложений, разработанных пользователями. Процессы проектирования и внедрения бизнес-приложения или сервиса могут быть критичными с точки зрения безопасности. Требования к безопасности следует идентифицировать и согласовывать до разработки информационных систем.
Все требования безопасности, включая необходимые мероприятия по переходу на аварийный режим, следует идентифицировать на стадии определения задач проекта, а также обосновывать, согласовывать и документировать в рамках общего проекта по внедрению информационной системы.
10.1.1 Анализ и спецификация требований безопасности
Необходимо, чтобы в формулировках требований бизнеса в отношении новых систем или усовершенствования существующих систем были учтены требования информационной безопасности. При этом следует учитывать как возможности встроенных в систему автоматизированных средств обеспечения информационной безопасности, так и необходимость применения организационных мероприятий по управлению информационной безопасностью или разработку специальных средств. Аналогично следует подходить к оценке пакетов прикладных программ. Как правило, руководство должно обеспечивать использование сертифицированных программных продуктов или продуктов, прошедших независимую оценку.
Требования безопасности и соответствующие мероприятия по обеспечению информационной безопасности должны учитывать ценность информационных активов, потенциальный ущерб бизнесу, который может стать результатом неэффективности или отсутствия мер безопасности. Оценка и управление рисками - основа для анализа требований к безопасности и определения необходимых мероприятий по управлению информационной безопасностью.
Планирование мероприятий по обеспечению информационной безопасности на стадии проектирования системы позволяет существенно снизить затраты на их внедрение и поддержку по сравнению с разработкой соответствующих мероприятий во время или после внедрения системы.
10.2 Безопасность в прикладных системах
Цель: предотвращение потерь, модификации или неправильного использования пользовательских данных в прикладных системах.
Соответствующие мероприятия по обеспечению информационной безопасности, включая функции аудита или протоколирование действий пользователя, необходимо предусматривать в прикладных системах, включая приложения, написанные самими пользователями. Эти меры должны включать в себя обеспечение функциональности подтверждения корректности ввода, обработки и вывода данных.
Дополнительные мероприятия по обеспечению информационной безопасности могут потребоваться для систем, которые обрабатывают или оказывают воздействие на важные, ценные или критические активы организации, и их необходимо определять на основе требований безопасности и оценки рисков.
10.2.1 Подтверждение корректности ввода данных
Необходимо обращать особое внимание на корректность входных данных для прикладных систем. При вводе бизнес-транзакций, постоянных данных (имена и адреса, кредитные лимиты, идентификационные номера клиентов) и таблиц параметров (цены продаж, курсы валют, ставки налогов) следует применять проверку корректности ввода для обеспечения уверенности в их соответствии исходным данным. Для этого целесообразно применение следующих мероприятий по обеспечению информационной безопасности:
а) проверки исключения двойного ввода или другие проверки ввода с целью обнаружения следующих ошибок:
1) значений, выходящих за допустимый диапазон;
2) недопустимых символов в полях данных;
3) отсутствующие или неполные данные;
4) превышение верхних и нижних пределов объема данных;
5) неавторизованные или противоречивые контрольные данные;
б) периодический анализ (просмотр) содержимого ключевых полей или файлов данных для подтверждения их достоверности и целостности;
в) сверка твердых (печатных) копий вводимых документов с вводимыми данными на предмет выявления любых неавторизованных изменений этих данных (необходимо, чтобы все изменения во вводимых документах были авторизованы);
г) процедуры реагирования на ошибки, связанные с подтверждением данных;
д) процедуры проверки правдоподобия вводимых данных;
е) определение обязанностей всех сотрудников, вовлеченных в процесс ввода данных.
10.2.2 Контроль обработки данных в системе
10.2.2.1 Области риска
Данные, которые были введены правильно, могут быть искажены вследствие ошибок обработки или преднамеренных действий. С целью обнаружения подобных искажений в функции систем следует включать требования, обеспечивающие выполнение контрольных проверок. Необходимо, чтобы дизайн приложений обеспечивал уверенность в том, что внедрены ограничения, направленные на минимизацию риска отказов, ведущих к потере целостности данных. Необходимо учитывать, в частности, следующее:
- использование места в программах для функций добавления и удаления данных;
- процедуры для предотвращения выполнения программ в неправильной последовательности или ее исполнения после сбоя на предыдущем этапе обработки данных (8.1.1);
- использование корректирующих программ для восстановления после сбоев и обеспечения правильной обработки данных.
10.2.2.2 Проверки и средства контроля
Выбор необходимых средств контроля зависит от характера бизнес-приложения и последствий для бизнеса любого искажения данных. Примеры встроенных средств обеспечения информационной безопасности могут быть:
а) средства контроля сеансовой или пакетной обработки с целью выверки контрольных данных (остатков/контрольных сумм) в файлах данных после транзакционных обновлений;
б) средства контроля входящих остатков с целью их проверки с предыдущими закрытыми остатками, а именно:
1) средства контроля "от выполнения - к выполнению";
2) общие суммы измененных данных в файле;
3) средства контроля "от программы - к программе";
в) подтверждение корректности данных, генерированных системой (10.2.1);
г) проверки целостности полученных или переданных данных (программного обеспечения) между центральным (главным) и удаленными компьютерами (10.3.3);
д) контрольные суммы записей и файлов;
е) проверки для обеспечения уверенности в том, что прикладные программы выполняются в нужное время;
ж) проверки для обеспечения уверенности в том, что программы выполняются в правильном порядке и прекращают работу в случае отказа, и что дальнейшая обработка приостанавливается до тех пор, пока проблема не будет разрешена.
10.2.3 Аутентификация сообщений
Аутентификация сообщений - это метод, используемый для обнаружения неавторизованных изменений или повреждений содержания переданного электронного сообщения. Аутентификация сообщений может быть реализована как аппаратным, так и программным путем в физическом устройстве аутентификации сообщений или в программном алгоритме.
Аутентификацию сообщений необходимо использовать для бизнес-приложений, где должна быть обеспечена защита целостности содержания сообщений, например при электронных переводах денежных средств, пересылке спецификаций, контрактов, коммерческих предложений и прочих документов, имеющих большую важность, или других подобных электронных обменов данными. Чтобы определить, требуется ли аутентификация сообщений, необходимо выполнять оценку рисков безопасности и выбирать наиболее подходящий метод ее реализации.
Аутентификация сообщений не предназначена для защиты содержания сообщения от неправомочного его раскрытия. Для этой цели при аутентификации сообщений могут использоваться криптографические методы (10.3.2 и 10.3.3).
10.2.4 Подтверждение корректности данных вывода
Данные, выводимые из прикладной системы, необходимо проверять на корректность, чтобы обеспечивать уверенность в том, что обработка информации выполнена правильно. Как правило, системы построены на предпосылке, что при наличии соответствующих подтверждений корректности, проверок и тестирования выводимые данные будут всегда правильны. Но это не всегда так. Подтверждение корректности данных вывода может включать:
- проверки на правдоподобие с целью определения, являются ли выходные данные приемлемыми;
- проверки контрольных счетчиков на предмет удостоверения, что все данные были обработаны;
- обеспечение достаточной информации для получателя результатов вывода или последующей системы обработки, чтобы определить корректность, законченность, точность и классификацию информации;
- процедуры по выполнению тестов на подтверждение выводимых данных;
- определение обязанностей всех сотрудников, вовлеченных в процесс вывода данных.
10.3 Меры защиты информации, связанные с использованием криптографии
Цель: защита конфиденциальности, аутентичности или целостности информации.
Криптографические системы и методы следует использовать для защиты конфиденциальной информации, когда другие средства контроля не обеспечивают адекватной защиты.
10.3.1 Политика в отношении использования криптографии
Решения относительно применения криптографических мер защиты следует рассматривать в рамках более общего процесса оценки рисков и выбора мероприятий по обеспечению информационной безопасности. Для определения необходимого уровня защиты информации следует проводить оценку рисков, которая должна использоваться для определения того, является ли криптографическое средство подходящим, какой тип средств необходим, с какой целью и в отношении каких бизнес-процессов его следует применять.
В организации следует разработать политику использования криптографических средств защиты информации. Такая политика необходима, чтобы максимизировать преимущества и минимизировать риски, связанные с использованием криптографических средств, а также избежать неадекватного или неправильного их использования. При этом необходимо определить:
а) методику использования криптографических средств в организации, включая общие принципы, в соответствии с которыми следует защищать служебную информацию;
б) принципы управления ключами, включая методы восстановления зашифрованной информации в случае потери, компрометации или повреждения ключей;
в) роли и обязанности должностных лиц за:
1) реализацию политики;
2) управление ключами;
г) соответствующий уровень криптографической защиты для различных данных;
д) перечень мероприятий, которые должны обеспечивать эффективность внедрения методов криптозащиты в организации.
10.3.2 Шифрование
Шифрование - это криптографический метод, который может использоваться для обеспечения защиты конфиденциальной, важной или критичной информации.
На основе оценки рисков необходимо определять требуемый уровень защиты, принимая во внимание тип и качество используемого алгоритма шифрования, а также длину криптографических ключей.
При разработке политики использования криптографических средств необходимо учитывать требования законодательства и ограничения, которые могут применяться в отношении использования криптографических методов в разных странах, а также вопросы, касающиеся объема потока зашифрованной информации, передаваемой через границы государств. Кроме того, следует учитывать требования законодательства в отношении экспорта и импорта криптографических технологий (12.1.6).
Для определения необходимого уровня защиты информации, выбора подходящих средств и методов защиты, которые должны обеспечивать требуемый уровень защиты и реализации безопасных способов управления ключами, целесообразно консультироваться со специалистами (10.3.5). Кроме того, может потребоваться консультация юриста относительно законов и нормативных актов, которые могут быть применимы в случае предполагаемого использования организацией методов и средств шифрования.
10.3.3 Цифровые подписи
Цифровые подписи обеспечивают защиту аутентификации и целостности электронных документов.
Например, электронные подписи могут использоваться при электронной торговле, где есть необходимость в контроле с целью удостовериться, кто подписал электронный документ, а также проверке, было ли содержание подписанного документа изменено.
Цифровые подписи могут применяться для любой формы документа, обрабатываемого электронным способом, например, при подписи электронных платежей, денежных переводов, контрактов и соглашений. Цифровые подписи могут быть реализованы при использовании криптографического метода, основывающегося на однозначно связанной паре ключей, где один ключ используется для создания подписи (секретный/личный ключ), а другой - для проверки подписи (открытый ключ).
Необходимо с особой тщательностью обеспечивать конфиденциальность личного ключа, который следует хранить в секрете, так как любой, имеющий к нему доступ, может подписывать документы (платежи, контракты), тем самым фальсифицируя подпись владельца ключа. Кроме того, очень важна защита целостности открытого ключа, которая обеспечивается при использовании сертификата открытого ключа (10.3.5).
Следует уделять внимание выбору типа и качеству используемого алгоритма подписи и длине ключей. Необходимо, чтобы криптографические ключи, используемые для цифровых подписей, отличались от тех, которые используются для шифрования (10.3.2).
При использовании цифровых подписей, необходимо учитывать требования всех действующих законодательств, определяющих условия, при которых цифровая подпись имеет юридическую силу. Например, при электронной торговле важно знать юридический статус цифровых подписей. Может потребоваться наличие специальных контрактов или других соглашений, чтобы поддерживать использование цифровых подписей в случаях, когда законодательство в отношении цифровых подписей недостаточно развито. Необходимо воспользоваться консультацией юриста в отношении законов и нормативных актов, которые могут быть применимыми в отношении предполагаемого использования организацией цифровых подписей.
10.3.4 Сервисы неоспоримости
Сервисы неоспоримости следует использовать там, где может требоваться решать споры о наличии или отсутствии события или действия, например спор по использованию цифровой подписи на электронном контракте или платеже. Данные сервисы могут помочь доказать, имел ли место конкретный случай или действие, например отказ в отсылке инструкции, подписанной цифровой подписью, по электронной почте. Эти сервисы основываются на использовании методов шифрования и цифровой подписи (10.3.2 и 10.3.3).
10.3.5 Управление ключами
10.3.5.1 Защита криптографических ключей
Управление криптографическими ключами важно для эффективного использования криптографических средств.
Любая компрометация или потеря криптографических ключей может привести к компрометации конфиденциальности, подлинности и/или целостности информации. Следует применять систему защиты для обеспечения использования организацией следующих криптографических методов:
- методы в отношении секретных ключей, где две или более стороны совместно используют один и тот же ключ, и этот ключ применяется как для шифрования, так и дешифрования информации. Этот ключ должен храниться в секрете, так как любой, имеющий доступ к этому ключу, может дешифровать всю информацию, зашифрованную с помощью этого ключа, или ввести неавторизованную информацию;
- методы в отношении открытых ключей, где каждый пользователь имеет пару ключей, открытый ключ (который может быть показан любому) и личный ключ (который должен храниться в секрете). Методы с открытыми ключами могут использоваться для шифрования (10.3.2) и для генерации цифровых подписей (10.3.3).
Ключи необходимо защищать от изменения и разрушения, а секретным и личным ключам необходима защита от неавторизованного раскрытия. Криптографические методы могут также использоваться для этой цели. Физическую защиту следует применять для защиты оборудования, используемого для изготовления, хранения и архивирования ключей.
10.3.5.2 Способы, процедуры и методы защиты криптографических ключей
Необходимо, чтобы система обеспечения безопасности использования ключей основывалась на согласовании способов, процедур и безопасных методов для:
- генерации ключей при использовании различных криптографических систем и различных приложений;
- генерации и получения сертификатов открытых ключей;
- рассылки ключей предназначенным пользователям, включая инструкции по их активации при получении;
- хранения ключей; при этом необходимо наличие инструкции авторизованным пользователям для получения доступа к ключам;
- смены или обновления ключей, включая правила порядка и сроков смены ключей;
- порядка действий в отношении скомпрометированных ключей;
- аннулирования ключей, в том числе способы аннулирования или дезактивации ключей, если ключи были скомпрометированы или пользователь уволился из организации (в этом случае ключи необходимо архивировать);
- восстановления ключей, которые были утеряны или испорчены, для рассекречивания зашифрованной информации;
- архивирования ключей, например для архивированной или резервной информации;
- разрушения ключей;
- регистрации и аудита действий, связанных с управлением ключами.
Для уменьшения вероятности компрометации необходимо, чтобы ключи имели определенные даты активизации и дезактивации, чтобы их можно было бы использовать в течение ограниченного периода времени, который зависит от обстоятельств использования криптографических средств, контроля и от степени риска раскрытия информации.
Может потребоваться наличие процедур обработки юридических запросов, касающихся доступа к криптографическим ключам, например, чтобы зашифрованная информация стала доступной в незашифрованной форме для доказательств в суде.
В дополнение к вопросу безопасности управления секретными и личными ключами необходимо учитывать необходимость обеспечения защиты открытых ключей. Существует угроза подделывания цифровой подписи и замены открытого ключа пользователя своим. Эта проблема решается с помощью сертификата открытых ключей. Сертификаты необходимо изготовлять таким способом, который однозначно связывал бы информацию, относящуюся к владельцу пары открытого/секретного ключей, с открытым ключом. Поэтому важно, чтобы процессу управления, в рамках которого формируются эти сертификаты, можно было доверять. Этот процесс обычно выполняется органом сертификации, который должен быть признанной организацией, руководствующейся соответствующими правилами и процедурами информационной безопасности для обеспечения требуемой степени доверия к нему.
Необходимо, чтобы содержание соглашений с внешними поставщиками криптографических средств, например с органом сертификации, включало требования по ответственности, надежности средств и времени реагирования на запросы по их предоставлению (4.2.2).
10.4 Безопасность системных файлов
Цель: обеспечение модернизации информационных систем и действий по их поддержке безопасным способом.
В процессе эксплуатации бизнес-приложений необходимо контролировать доступ к системным файлам.
Пользователи или разработчики, которым принадлежит прикладная система или программное обеспечение, должны быть ответственными за целостность системы.
10.4.1 Контроль программного обеспечения, находящегося в промышленной эксплуатации
Необходимо обеспечивать контроль за процессом внедрения программного обеспечения в промышленную эксплуатацию. Чтобы свести к минимуму риск повреждения систем, находящихся в промышленной эксплуатации, целесообразно использовать следующие мероприятия по обеспечению информационной безопасности:
- обновление библиотек программ следует выполнять только назначенному специалисту - библиотекарю при соответствующей авторизации его обязанностей руководством (10.4.3);
- по возможности, системы, находящиеся в промышленной эксплуатации, должны состоять только из исполнимых программных кодов;
- исполняемую программу не следует внедрять в промышленную эксплуатацию до тех пор, пока не получены подтверждения ее успешного тестирования и принятия пользователями, а также не обновлены соответствующие библиотеки исходных текстов программ;
- необходимо, чтобы журнал аудита регистрировал все обновления библиотек программ, находящихся в промышленной эксплуатации;
- предыдущие версии программного обеспечения следует сохранять для восстановления системы в случае непредвиденных обстоятельств.
Необходимо, чтобы программное обеспечение, используемое в промышленной эксплуатации, поддерживалось на уровне, заданном разработчиком. При любом решении провести обновление до уровня новой версии следует принимать во внимание безопасность данной версии: какие новые функциональные возможности обеспечения информационной безопасности она имеет или имеются ли серьезные проблемы обеспечения безопасности, связанные с этой версией. Целесообразно использовать программные модификации (патчи), если они могут закрыть или снизить угрозы безопасности.
Физический или логический доступ предоставляется поставщикам (разработчикам), по мере необходимости, только для поддержки программного обеспечения при наличии разрешения руководства. При этом действия поставщика (разработчика) должны контролироваться.
10.4.2 Защита тестовых данных
Данные тестирования следует защищать и контролировать. Для осуществления системного и приемочного тестирования требуются существенные объемы тестовых данных, которые максимально приближены к операционным данным. Следует избегать использования баз данных, находящихся в промышленной эксплуатации и содержащих личную информацию. Если такая информация требуется для тестирования, то перед использованием следует удалить личную информацию (деперсонифицировать ее). Для защиты операционных данных, когда они используются для целей тестирования, необходимо применять следующие мероприятия по обеспечению информационной безопасности:
- процедуры контроля доступа, применяемые для прикладных систем, находящихся в промышленной эксплуатации, следует также применять и к прикладным системам в среде тестирования;
- при каждом копировании операционной информации для прикладной системы тестирования предусматривать авторизацию этих действий;
- после того, как тестирование завершено, операционную информацию следует немедленно удалить из прикладной системы среды тестирования;
- копирование и использование операционной информации необходимо регистрировать в журнале аудита.
10.4.3 Контроль доступа к библиотекам исходных текстов программ
Для снижения риска искажения компьютерных программ необходимо обеспечивать строгий контроль доступа к библиотекам исходных текстов программ, для чего:
- по возможности, исходные библиотеки программ следует хранить отдельно от бизнес-приложений, находящихся в промышленной эксплуатации;
- назначать специалиста - библиотекаря программ для каждого бизнес-приложения;
- персоналу поддержки информационных технологий не следует предоставлять неограниченный доступ к исходным библиотекам программ;
- программы, находящиеся в процессе разработки или текущего обслуживания, не следует хранить в библиотеках с исходными текстами программ, находящихся в промышленной эксплуатации;
- обновление библиотек и обеспечение программистов исходными текстами следует осуществлять только назначенному специалисту - библиотекарю после авторизации, полученной от менеджера, отвечающего за поддержку конкретного бизнес-приложения;
- листинги программ следует хранить в безопасном месте (8.6.4);
- следует вести журнал аудита для всех доступов к исходным библиотекам;
- старые версии исходных текстов необходимо архивировать с указанием точных дат и времени, когда они находились в промышленной эксплуатации, вместе со всем программным обеспечением поддержки, управления заданиями, определениями данных и процедурами;
- поддержку и копирование исходных библиотек следует проводить под строгим контролем с целью предотвращения внесения неавторизованных изменений (10.4.1).
|
Из за большого объема эта статья размещена на нескольких страницах:
1 2 3 4 5 |
