Управление информационной безопасностью
Практические правила
СОДЕРЖАНИЕ
TOC \o "1-3" Управление информационной безопасностью PAGEREF _Toc16994883 \h 1
Практические правила PAGEREF _Toc16994884 \h 1
Предисловие PAGEREF _Toc16994885 \h 4
Введение PAGEREF _Toc16994886 \h 4
Что такое информационная безопасность? PAGEREF _Toc16994887 \h 4
Почему необходимо защищаться? PAGEREF _Toc16994888 \h 5
Сруктура документа PAGEREF _Toc16994889 \h 5
Все ли средства управления безопасностью применимы? PAGEREF _Toc16994890 \h 6
Ключевые средства контроля PAGEREF _Toc16994891 \h 6
Задание требований к информационной безопасности организации PAGEREF _Toc16994892 \h 7
Оценка рисков нарушения безопасности PAGEREF _Toc16994893 \h 7
Факторы, необходимые для успеха PAGEREF _Toc16994894 \h 8
Разработка собственных рекомендаций PAGEREF _Toc16994895 \h 8
Раздел 0 Общие положения PAGEREF _Toc16994896 \h 8
Назначение PAGEREF _Toc16994897 \h 8
Информативные ссылки PAGEREF _Toc16994898 \h 9
Термины и определения PAGEREF _Toc16994899 \h 9
Раздел 1 Политика безопасности PAGEREF _Toc16994900 \h 10
Политика информационной безопасности PAGEREF _Toc16994901 \h 10
Документ о политике информационной безопасности PAGEREF _Toc16994902 \h 10
Раздел 2 Организация защиты PAGEREF _Toc16994903 \h 10
Инфраструктура информационной безопасности PAGEREF _Toc16994904 \h 10
Совещание руководства по проблемам защиты информации PAGEREF _Toc16994905 \h 11
Координация действий по защите информации PAGEREF _Toc16994906 \h 11
Распределение обязанностей по обеспечению информационной безопасности PAGEREF _Toc16994907 \h 11
Процесс утверждения информационных систем PAGEREF _Toc16994908 \h 12
Рекомендации специалистов по информационной безопасности PAGEREF _Toc16994909 \h 12
Сотрудничество между организациями PAGEREF _Toc16994910 \h 13
Независимый анализ информационной безопасности PAGEREF _Toc16994911 \h 13
Безопасность доступа сторонних организаций PAGEREF _Toc16994912 \h 13
Идентификация рисков, связанных с подключениями сторонних организаций PAGEREF _Toc16994913 \h 14
Условия безопасности в контрактах, заключенных со сторонними организациями PAGEREF _Toc16994914 \h 14
Раздел 3 Классификация ресурсов и их контроль PAGEREF _Toc16994915 \h 15
Ответственность за ресурсы PAGEREF _Toc16994916 \h 15
Инвентаризация информационных ресурсов PAGEREF _Toc16994917 \h 15
Классификация информации PAGEREF _Toc16994918 \h 15
Рекомендации по классификации PAGEREF _Toc16994919 \h 15
Присваивание грифов секретности PAGEREF _Toc16994920 \h 16
Раздел 4 Безопасность персонала PAGEREF _Toc16994921 \h 16
Безопасность в должностных инструкциях и при выделении ресурсов PAGEREF _Toc16994922 \h 16
Безопасность в должностных инструкциях PAGEREF _Toc16994923 \h 17
Проверка принимаемых на работу PAGEREF _Toc16994924 \h 17
Соглашение о конфиденциальности PAGEREF _Toc16994925 \h 17
Обучение пользователей PAGEREF _Toc16994926 \h 17
Обучение правилам информационной безопасности PAGEREF _Toc16994927 \h 17
Реагирование на события, таящие угрозу безопасности PAGEREF _Toc16994928 \h 18
Уведомление об инцидентах в системе безопасности PAGEREF _Toc16994929 \h 18
Уведомление о слабых местах в системе безопасности PAGEREF _Toc16994930 \h 18
Уведомление об отказах программного обеспечения PAGEREF _Toc16994931 \h 18
Процедура наложения дисциплинарных взысканий PAGEREF _Toc16994932 \h 19
Раздел 5 Физическая безопасность и безопасность окружающей среды PAGEREF _Toc16994933 \h 19
Защищенные области PAGEREF _Toc16994934 \h 19
Физический периметр безопасности PAGEREF _Toc16994935 \h 19
Контроль доступа в помещения PAGEREF _Toc16994936 \h 20
Защита центров данных и компьютерных залов PAGEREF _Toc16994937 \h 21
Изолированные места разгрузки и загрузки оборудования и материалов PAGEREF _Toc16994938 \h 21
Правила использования рабочего стола PAGEREF _Toc16994939 \h 22
Вынос имущества за пределы организации PAGEREF _Toc16994940 \h 22
Защита оборудования PAGEREF _Toc16994941 \h 22
Размещение и защита оборудования PAGEREF _Toc16994942 \h 22
Источники электропитания PAGEREF _Toc16994943 \h 23
Защита кабельной разводки PAGEREF _Toc16994944 \h 23
Техническое обслуживание оборудования PAGEREF _Toc16994945 \h 23
Защита оборудования, используемого за пределами организации PAGEREF _Toc16994946 \h 24
Надежная утилизация оборудования PAGEREF _Toc16994947 \h 24
Раздел 6 Администрирование компьютерных систем и вычислительных сетей PAGEREF _Toc16994948 \h 24
Операционные процедуры и обазанности PAGEREF _Toc16994949 \h 24
Документированные операционные процедуры PAGEREF _Toc16994950 \h 25
Процедуры реагирования на события PAGEREF _Toc16994951 \h 25
Разделение обязанностей PAGEREF _Toc16994952 \h 26
Разделение программных средств разработки и рабочих программ PAGEREF _Toc16994953 \h 26
Работа со сторонними организациями PAGEREF _Toc16994954 \h 27
Планирование систем и их приемка PAGEREF _Toc16994955 \h 27
Планирование нагрузки PAGEREF _Toc16994956 \h 27
Приемка систем PAGEREF _Toc16994957 \h 28
Планирование перехода на аварийный режим PAGEREF _Toc16994958 \h 28
Управление процессом внесения изменений в рабочие системы PAGEREF _Toc16994959 \h 28
Защита от вредоносного программного обеспечения PAGEREF _Toc16994960 \h 29
Средства защиты от вирусов PAGEREF _Toc16994961 \h 29
Обслуживание систем PAGEREF _Toc16994962 \h 30
Резервное копирование данных PAGEREF _Toc16994963 \h 30
Журналы регистрации событий PAGEREF _Toc16994964 \h 31
Регистрация сбоев PAGEREF _Toc16994965 \h 31
Слежение за окружающей средой PAGEREF _Toc16994966 \h 31
Сетевое администрирование PAGEREF _Toc16994967 \h 31
Средства управления безопасностью сетей PAGEREF _Toc16994968 \h 31
Оперирование с носителями информации и их защита PAGEREF _Toc16994969 \h 32
Управление съемными компьютерными носителями информации PAGEREF _Toc16994970 \h 32
Процедуры оперирования c данными PAGEREF _Toc16994971 \h 32
Защита системной документации PAGEREF _Toc16994972 \h 33
Удаление носителей данных PAGEREF _Toc16994973 \h 33
Обмен данными и программами PAGEREF _Toc16994974 \h 33
Соглашения об обмене данными и программами PAGEREF _Toc16994975 \h 34
Защита носителей информации во время транспортировки PAGEREF _Toc16994976 \h 34
Защита электронного обмена данными PAGEREF _Toc16994977 \h 34
Защита электронной почты PAGEREF _Toc16994978 \h 35
Защита систем электронного офиса PAGEREF _Toc16994979 \h 35
Раздел 7 Управление доступом к системам PAGEREF _Toc16994980 \h 36
Производственные требования к управлению доступом к системам PAGEREF _Toc16994981 \h 36
Документированная политика управления доступом к информации PAGEREF _Toc16994982 \h 36
Управление доступом пользователей PAGEREF _Toc16994983 \h 36
Регистрация пользователей PAGEREF _Toc16994984 \h 37
Управление привилегиями PAGEREF _Toc16994985 \h 37
Управление пользовательскими паролями PAGEREF _Toc16994986 \h 38
Пересмотр прав доступа пользователей PAGEREF _Toc16994987 \h 38
Обязанности пользователей PAGEREF _Toc16994988 \h 38
Использование паролей PAGEREF _Toc16994989 \h 38
Пользовательское оборудование, оставленное без присмотра PAGEREF _Toc16994990 \h 39
Управление доступом к сети PAGEREF _Toc16994991 \h 39
Предоставление ограниченных услуг PAGEREF _Toc16994992 \h 40
Принудительная маршрутизация PAGEREF _Toc16994993 \h 40
Аутентификация пользователей PAGEREF _Toc16994994 \h 40
Аутентификация узлов сети PAGEREF _Toc16994995 \h 41
Защита удаленного диагностического порта PAGEREF _Toc16994996 \h 41
Сегментация сетей PAGEREF _Toc16994997 \h 41
Контроль сетевых подключений PAGEREF _Toc16994998 \h 42
Управление сетевой маршрутизацией PAGEREF _Toc16994999 \h 42
Защита сетевых сервисов PAGEREF _Toc16995000 \h 42
Управление доступом к компьютерам PAGEREF _Toc16995001 \h 43
Автоматическая идентификация терминалов PAGEREF _Toc16995002 \h 43
Процедуры входа в систему с терминала PAGEREF _Toc16995003 \h 43
Идентификаторы пользователей PAGEREF _Toc16995004 \h 44
Система управления паролями PAGEREF _Toc16995005 \h 44
Сигнал тревоги, предупреждающий о принуждении, для защиты пользователей PAGEREF _Toc16995006 \h 45
Время простоя терминалов PAGEREF _Toc16995007 \h 45
Ограничение времени подключения PAGEREF _Toc16995008 \h 45
Управление доступом к приложениям PAGEREF _Toc16995009 \h 46
Ограничение доступа к информации PAGEREF _Toc16995010 \h 46
Использование системных утилит PAGEREF _Toc16995011 \h 46
Управление доступом к библиотекам исходных текстов программ PAGEREF _Toc16995012 \h 47
Изоляция уязвимых систем PAGEREF _Toc16995013 \h 47
Слежение за доступом к системам и их использованием PAGEREF _Toc16995014 \h 47
Регистрация событий PAGEREF _Toc16995015 \h 48
Слежение за использованием систем PAGEREF _Toc16995016 \h 48
Синхронизация системных часов PAGEREF _Toc16995017 \h 48
Раздел 8 Разработка и сопровождение информационных систем PAGEREF _Toc16995018 \h 48
Требования к безопасности систем PAGEREF _Toc16995019 \h 48
Анализ и задание требований к безопасности PAGEREF _Toc16995020 \h 48
Безопасность в прикладных системах PAGEREF _Toc16995021 \h 50
Проверка достоверности входных данных PAGEREF _Toc16995022 \h 50
Проверка достоверности внутренней обработки данных PAGEREF _Toc16995023 \h 50
Шифрование данных PAGEREF _Toc16995024 \h 51
Аутентификация сообщений PAGEREF _Toc16995025 \h 51
Защита файлов прикладных систем PAGEREF _Toc16995026 \h 52
Контроль рабочего программного обеспечения PAGEREF _Toc16995027 \h 52
Защита системных тестовых данных PAGEREF _Toc16995028 \h 52
Безопасность в среде разработки и рабочей среде PAGEREF _Toc16995029 \h 52
Процедуры управления процессом внесения изменений PAGEREF _Toc16995030 \h 53
Технический анализ изменений, вносимых в операционную систему PAGEREF _Toc16995031 \h 53
Ограничения на внесение изменений в пакеты программ PAGEREF _Toc16995032 \h 53
Раздел 9 Планирование бесперебойной работы организации PAGEREF _Toc16995033 \h 54
Вопросы планирования бесперебойной работы организации PAGEREF _Toc16995034 \h 54
Процесс планирования бесперебойной работы организации PAGEREF _Toc16995035 \h 54
Система планирования бесперебойной работы организации PAGEREF _Toc16995036 \h 55
Тестирование планов обеспечения бесперебойной работы организации PAGEREF _Toc16995037 \h 55
Обновление планов обеспечения бесперебойной работы организации PAGEREF _Toc16995038 \h 55
Раздел 10 Выполнение требований PAGEREF _Toc16995039 \h 56
Выполнение правовых требований PAGEREF _Toc16995040 \h 56
Контроль за копированием ПО, защищенного законом об авторском праве PAGEREF _Toc16995041 \h 56
Защита документации организации PAGEREF _Toc16995042 \h 57
Защита данных PAGEREF _Toc16995043 \h 57
Предотвращение незаконного использования информационных ресурсов PAGEREF _Toc16995044 \h 58
Проверка безопасности информационных систем PAGEREF _Toc16995045 \h 59
Соответствие политике безопасности PAGEREF _Toc16995046 \h 59
Техническая проверка на соответствие стандартам безопасности PAGEREF _Toc16995047 \h 59
Аудит систем PAGEREF _Toc16995048 \h 59
Средства аудита систем PAGEREF _Toc16995049 \h 59
Защита средств аудита систем PAGEREF _Toc16995050 \h 60
Предисловие
Предлагаемый британский стандарт подготовлен BSFD/12 (Управление Информационной безопасностью). Он предназначен для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание системы информационной безопасности внутри своих организаций. Поэтому его можно рассматривать в качестве основы для определения стандартов информационной безопасности организаций.
Предлагаемый британский стандарт основан на документе PD 0003 (Практические правила управления информационной безопасностью), разработанном Министерством торговли и промышленности при участии специалистов из ведущих компаний и организаций Великобритании. В стандарте содержится исчерпывающий набор средств управления безопасностью, которые включают в себя самые совершенные процедуры обеспечения информационной безопасности, используемые в настоящее время как в Великобритании, так и в других странах.
В настоящих практических правилах даются по возможности исчерпывающие рекомендации. Их цель — служить в качестве справочника для определения средств контроля, требуемых для большиства ситуаций, встречаемых в промышленности и торговле, а следовательно они могут применяться целым рядом организаций — крупных, средних и мелких. Учитывая возрастающую роль электронной передачи данных по сети между организациями, становится очевидной польза от разработки единого справочного документа по управлению информационной безопасностью. Он позволяет установить взаимное доверие между организациями, объединенными в сеть, и торговыми партнерами, а также составляет основу для управления информационными ресурсами.
Не все вышеописанные средства контроля подходят для любой ситуации. Кроме того, они не в состоянии учесть все ограничения локального характера, накладываемые окружающими условиями и технологией; не могут они и удовлетворить по форме всех пользователей организации. Следовательно, предлагаемые практические правила могут потребовать дальнейшей доработки, прежде чем их можно будет использовать в качестве основы (например) для политики организации или торгового соглашения между компаниями.
Как набор практических правил, данный британский стандарт написан в форме руководства и рекомендаций. На него не следует ссылаться как на спецификацию. Необходимо особенно позаботиться о том, чтобы требования к соблюдению правил не вводили в заблуждение.
При составлении настоящего стандарта предполагалось, что реализация его положений будет поручена лицам, имеющим надлежащую квалификацию и опыт работы.
Само по себе соответствие британскому стандарту не освобождает от правовых обязательств
Введение
Что такое информационная безопасность?
Цель информационной безопасности — обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.
Управление информационной безопасностью (см. Управление информационной безопасностью) позволяет коллективно использовать информацию, обеспечивая при этом ее защиту и защиту вычислительных ресурсов.
Информационная безопасность состоит из трех основных компонентов:
а) конфиденциальность (см. Конфиденциальность): защита конфиденциальной информации от несанкционированного раскрытия или перехвата;
б) целостность (см. Целостность): обеспечение точности и полноты информации и компьютерных программ;
в) доступность (см. Доступность): обеспечение доступности информации и жизненно важных сервисов для пользователей (см. Специальная привилегия), когда это требуется.
Информация (см. Информация) существует в различных формах. Ее можно хранить на компьютерах, передавать по вычислительным сетям, распечатывать или записывать на бумаге, а также озвучивать в разговорах. С точки зрения безопасности все виды информации, включая бумажную документацию, базы данных, пленки, микрофильмы, модели, магнитные ленты, дискеты, разговоры и другие способы, используемые для передачи знаний и идей, требуют надлежащей защиты.
Почему необходимо защищаться?
Информация и поддерживающие ее информационные системы и сети являются ценными производственными ресурсами организации. Их доступность, целостность и конфиденциальность могут иметь особое значение для обеспечения конкурентоспособности, движения денежной наличности, рентабельности, соответствия правовым нормам и имиджа организации. Современные организации могут столкнуться с возрастающей угрозой нарушения режима безопасности, исходящей от целого ряда источников. Информационным системам и сетям могут угрожать такие опасности, как компьютерное мошенничество, шпионаж, саботаж, вандализм, а также другие источники отказов и аварий. Появляются все новые угрозы, способные нанести ущерб организации, такие, как, широко известные компьютерные вирусы или хакеры. Предполагается, что такие угрозы информационной безопасности со временем станут более распространенными, опасными и изощренными. В то же время из-за возрастающей зависимости организаций от информационных систем и сервисов, они могут стать более уязвимыми по отношению к угрозам нарушения защиты. Распространение вычислительных сетей предоставляет новые возможности для несанкционированного доступа к компьютерным системам, а тенденция к переходу на распределенные вычислительные системы уменьшает возможности централизованного контроля информационных систем специалистами.
Защитные меры оказываются значительно более дешевыми и эффективными, если они встроены в информационные системы и сервисы на стадиях задания требований и проектирования. Чем скорее организация примет меры по защите своих информационных систем, тем более дешевыми и эффективными они будут для нее впоследствии.
Сруктура документа
Предлагаемые практические правила разбиты на следующие 10 разделов:
Раздел 1. Политика безопасности
Раздел 2. Организация защиты
Раздел 3. Классификация ресурсов и их контроль
Раздел 4. Безопасность персонала
Раздел 5. Физическая безопасность и безопасность окружающей среды
Раздел 6. Администрирование компьютерных систем и вычислительных сетей
Раздел 7. Управление доступом к системам
Раздел 8. Разработка и сопровождение информационных систем
Раздел 9. Планирование бесперебойной работы организации
Раздел 10. Выполнение требований
В этих разделах представлен исчерпывающий набор средств управления безопасностью, основанных на реальных мерах по защите информации, реализуемых в настоящее время в британских и международных организациях.
Все ли средства управления безопасностью применимы?
Не все средства контроля применимы к каждой информационной среде; их следует использовать выборочно с учетом местных условий. Это становиться ясно из описания. Однако большинство средств контроля, описанных в данном документе, широко применяются крупными организациями с большим опытом работы, и их использование рекомендуется для всех ситуаций, разумеется, с учетом ограничений, накладываемых технологией и окружающей средой. Эти общепринятые средства контроля часто называют базовыми средствами управления безопасностью, поскольку все они в совокупности определяют базовый промышленный стандарт на поддержание режима безопасности.
Десять средств контроля, предлагаемых в настоящих практических правилах (они обозначены как ключевые), считаются особенно важными. Эти ключевые средства являются хорошей отправной точкой для управления информационной безопасностью. Они описаны более подробно в разделе «Ключевые средства контроля».
При использовании некоторых из средств контроля, например, шифрование данных, могут потребоваться советы специалистов по безопасности и оценки рисков, чтобы определить, нужны ли они и каким образом их реализовать. Для обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия исключительно высоким уровням угроз нарушения режима безопасности, в ряде случаях могут потребоваться другие (более сильные) средства контроля, которые выходят за рамки данных правил.
Ключевые средства контроля
Десять ключевых средств контроля представляют собой либо обязательные требования, например, требования действующего законодательства, либо считаются основными структурными элементами информационной безопасности, например, обучение правилам безопасности. Эти средства контроля применимы ко всем организациях и средам и отмечены символом ключа. Они служат в качестве основы для организаций, приступающих к реализации средств управления информационной безопасностью.
Ключевыми являются следующие средства контроля:
документ о политике информационной безопасности (см. Документ о политике информационной безопасности);
распределение обязанностей по обеспечению информационной безопасности (см. Распределение обязанностей по обеспечению информационной безопасности);
обучение и подготовка персонала к поддержанию режима информационной безопасности (см. Обучение правилам информационной безопасности);
уведомление о случаях нарушения защиты (см. Уведомление об инцидентах в системе безопасности);
средства защиты от вирусов (см. Средства защиты от вирусов);
процесс планирования бесперебойной работы организации (см. Процесс планирования бесперебойной работы организации);
контроль за копированием программного обеспечения, защищенного законом об авторском праве (см. Контроль за копированием ПО, защищенного законом об авторском праве);
защита документации организации (см. Защита документации организации);
защита данных (см. Защита данных);
соответствие политике безопасности (см. Соответствие политике безопасности).
Задание требований к информационной безопасности организации
Существуют три основных группы требований к системе безопасности в любой организации.
Первая группа требований — это уникальный набор рисков нарушения безопасности, состоящий из угроз, которым подвергаются информационные ресурсы, и их слабостей и возможное воздействие этих рисков на работу организации. Большинство из этих рисков описаны в настоящих правилах и им можно успешно противостоять, если воспользоваться приведенными здесь рекомендациями. Однако существуют риски, требующие специального обращения, и их необходимо рассматривать с учетом их оценки в каждой конкретной организации или для каждого конкретного компонента системы.
Вторая группа требований — это набор правовых и договорных требований, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг; при этом возрастает необходимость стандартизации по мере распространения электронного обмена информацией по сетям между организациями. Данные практические правила могут служить надежной основой для задания общих требований этого типа.
Третья группа требований — это уникальный набор принципов, целей и требований к обработке информации, который разработан организацией для производственных целей. Важно (например, для обеспечения конкурентоспособности), чтобы в политике безопасности были отражены эти требования, и жизненно важно, чтобы реализация или отсутствие средств управления безопасностью в информационной инфраструктуре не мешали производственной деятельности организации.
Привлечение надлежащих средств контроля и требуемая гибкость с самого начала процесса планирования информационных систем являются необходимыми условиями для успешного завершения работы.
Оценка рисков нарушения безопасности
Расходы на систему защиты информации необходимо сопоставить и привести в соответствие с ценностью защищаемой информации и других информационных ресурсов, подвергающихся риску, а также с ущербом, который может быть нанесен организации из-за сбоев в системе защиты.
Обычно методики анализа рисков (см. Анализ рисков) применяются к полным информационным системам и сервисам, но этими же методиками можно воспользоваться и для отдельных компонентов системы или сервисов, если это целесообразно и практично. Для оценки рисков необходимо систематически рассмотривать следующие аспекты:
а) ущерб, который может нанести деятельности организации серьезное нарушение информационной безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации;
б) реальная вероятность такого нарушения защиты в свете превалирующих угроз и средств контроля.
Результаты этой оценки необходимы для разработки основной линии и определения надлежащих действий и приоритетов для управления рисками нарушения информационной безопасности, а также для реализации средств контроля, рекомендуемых в настоящих практических правилах. Оценка этих двух аспектов риска зависит от следующих факторов:
• характера производственной информации и систем;
• производственной цели, для которой информация используется;
• среды, в которой система используется и управляется;
• защиты, обеспечиваемой существующими средствами контроля.
Оценка рисков может выявить исключительно высокий риск нарушения информационной безопасности организации, требующий реализации дополнительных, более сильных средств контроля, чем те, которые рекомендуются в настоящих правилах. Использование таких средств контроля необходимо обосновать исходя из выводов, полученных в результате оценки рисков.
Факторы, необходимые для успеха
Опыт показывает, что перечисленные ниже факторы часто являются определяющими для успешной реализации системы информационной безопасности в организации:
а) цели безопасности и ее обеспечение должны основываться на производственных целях и требованиях; функции управления безопасностью должно взять на себя руководство организации;
б) явная поддержка и приверженность к поддержанию режима безопасности высшего руководства;
в) хорошее понимание рисков нарушения безопасности (как угроз, так и слабостей), которым подвергаются ресурсы организации, и уровня их защищенности в организации, который должен основываться на ценности и важности этих ресурсов;
г) ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации;
д) предоставление исчерпывающего пособия по политике и стандартам информационной безопасности всем сотрудникам и подрядчикам.
Разработка собственных рекомендаций
Не существует единой оптимальной структуры защиты информации. Каждая категория пользователей (см. Специальная привилегия) или специалистов по информационным технологиям, работающих в конкретной среде, может иметь свой собственный, отличающийся от других, набор требований, проблем и приоритетов, в зависимости от функций конкретной организации и производственной или вычислительной среды.
Многие организации решают эту проблему, разрабатывая набор отдельных руководящих принципов для соответствующих групп сотрудников, чтобы обеспечить более эффективное распространение знаний в области защиты информации. Организациям, решившим принять другую структуру (или даже разработать свои рекомендации), желательно ввести перекрестные ссылки на текст настоящих правил, чтобы их будущие деловые партнеры или аудиторы могли установить прямые связи между этим стандартом и принятыми в данной организации принципами системы защиты информации.
Раздел 0 Общие положения
Назначение
В предлагаемом британском стандарте приводятся рекомендации по управлению информационной безопасностью. Он составляет общую основу для различных организаций при разработке, реализации и оценке эффективности процедур управления безопасностью, а также позволяет установить доверительные отношения между организациями.
Примечание. Данный документ можно использовать в качестве общепринятого стандарта при установлении деловых отношений между организациями и при заключении контрактов с субподрядчиками или приобретении информационных систем или продуктов.
Информативные ссылки
В предлагаемом британском стандарте приводятся ссылки на другие публикации, в которых дается дополнительная информация по рассмотренным здесь вопросам. На внутренней стороне обложки приведены ссылки на ряд источников, причем на издания, вышедшие к моменту публикации настоящего документа.
Термины и определения
В настоящем стандарте используются следующие термины.
Доступность Элемент информационной безопасности (см. Информационная безопасность)
Конфиденциальность Элемент информационной безопасности (см. Информационная безопасность)
Данные Представление фактов, понятий и инструкций в нормализованном виде, подходящем для передачи, интерпретации и обработки человеком или машиной.
Сигнал тревоги, предупреждающий о принуждении-Механизм, с помощью которого пользователь (см. Пользователь) может предупредить компьютерную систему (см. Пользователь) о том, что вход в нее осуществляется под принуждением.
Примечание. Для подачи сигнала тревоги можно использовать альтернативный пароль или подстановку/включение специальных символов в пароль.
Информация Смысл, который в настоящее время придается данным, посредством соответствующих соглашений.
Информационная безопасность Защита информации, ее составляющие:
а) конфиденциальность: защита конфиденциальной информации от несанкционированного раскрытия или перехвата;
б) целостность: обеспечение точности и полноты информации и компьютерных программ;
в) доступность: обеспечение доступности информации и жизненно важных сервисов для пользователя, когда это требуется.
Управление информационной безопасностью Обеспечение механизма, позволяющего реализовать информационную безопасность (см. Информационная безопасность).
Информационная технология Научная, технологическая и инженерная дисциплина и управление методами, используемыми для оперирования с данными и их обработки; их прикладное применение; компьютеры и их взаимодействие с человеком и машинами; а также связанные с этим социальные, экономические и культурные вопросы.
Целостность Элемент информационной безопасности (см. Информационная безопасность).
Организация Группа людей, совместно отвечающих за выполнение определенных работ.
Примечание. Например, компания, местный орган власти, академическое учреждение.
Владелец Лицо или организация, отвечающая за определенные информационные ресурсы и за реализацию надлежащих защитных мер.
Анализ рисков Всеобъемлющий термин, включающий, во-первых, определение и анализ потенциальных угроз, которым подвергаются компьютерные системы, и их уязвимости, и, во-вторых, предоставление руководству информации, необходимой для принятия решений, связанных с оптимизацией капиталовложений в меры по обеспечению информационной безопасности.
Инцидент в системе безопасности Событие, в результате которого произошла (или могла бы произойти) потеря или повреждение информационных ресурсов организации, либо действие, которое нарушает принятые в организации правила безопасности.
Специальная привилегия Любая особенность или средство многопользовательской информационной системы, дающая возможность пользователю (см. Пользователь) обойти средства контроля системы или приложения.
Пользователь Лицо или организация, использующая информационные технологиии (см. Информационная технология).
Примечание. См. также объявление в BS ISO 2382-1.
Раздел 1 Политика безопасности
Политика информационной безопасности
Цель: Сформулировать цель и обеспечить поддержку информационной безопасности руководством организации.
Высшее руководство должно поставить четкую цель и всесторонне оказывать свою поддержку информационной безопасности посредством распространения политики безопасности среди сотрудников организации.
Документ о политике информационной безопасности
Письменный документ о политике безопасности должен быть доступен всем сотрудникам, отвечающим за обеспечение режима информационной безопасности.
Высшее руководство должно предоставить задокументированную политику информационной безопасности всем подразделениям организации. Этот документ должен содержать по крайней мере следующее:
определение информационной безопасности, ее основные цели и область ее применения, а также ее значение как механизма, позволяющего коллективно использовать информацию (см. Введение);
изложение позиции руководства по вопросам реализации целей и принципов информационной безопасности;
разъяснение конкретных вариантов политики безопасности, принципов, стандартов и требований к ее соблюдению, включая:
выполнение правовых и договорных требований;
требования к обучению персонала правилам безопасности;
политика предупреждения и обнаружения вирусов;
политика обеспечения бесперебойной работы организации.
определение общих и конкретных обязанностей по обеспечению режима информационной безопасности;
разъяснение процесса уведомления о событиях, таящих угрозу безопасности.
Необходимо разработать процесс проверки, определить обязанности и задать даты проверок для соблюдения требований документа о политике безопасности.
Раздел 2 Организация защиты
Инфраструктура информационной безопасности
Цель: Управлять информационной безопасностью в организации.
Чтобы инициировать и контролировать процесс обеспечения информационной безопасности, необходимо создать в организации соответствующую структуру управления.
В организации должны проводиться регулярные совещания руководства для разработки и утверждения политики безопасности, распределения обязанностей по обеспечению защиты и координации действий по поддержанию режима безопасности. В случае необходимости следует привлечь специалистов по вопросам защиты информации для консультаций. Необходимо вступать в контакты со специалистами других организаций, чтобы быть в курсе современных направлений и промышленных стандартов, а также, чтобы установить соответствующие деловые отношения для рассмотрении случаев нарушения защиты. Следует всячески поощрять комплексный подход к проблемам информационной безопасности, например, совместную работу аудиторов, пользователей и администраторов для эффективного решения проблем.
Совещание руководства по проблемам защиты информации
Ответственность за обеспечение информационной безопасности несут все члены руководящей группы. Поэтому руководству организации необходимо регулярно проводить совещания, посвященные проблемам защиты информации, чтобы вырабатывать четкие указания по этому вопросу, а также оказывать административную поддержку инициативам по обеспечению безопасности. Если вопросов по защите информации недостаточно для повестки дня специальных совещаний, необходимо периодически рассматривать эти проблемы на одном из регулярно проводимых в организации совещаний.
Обычно на подобных совещаниях рассматриваются следующие вопросы:
а) анализ и утверждение политики информационной безопасности и распределение общих обязанностей;
б) отслеживание основных угроз, которым подвергаются информационные ресурсы;
в) анализ и слежение за инцидентами в системе безопасности;
г) утверждение основных инициатив, направленных на усиление защиты информации.
Рекомендуется, чтобы один из членов руководящей группы взял на себя основную ответственность за координацию действий по проведению политики безопасности в жизнь.
Координация действий по защите информации
В крупной организации возможно потребуется координация мер по обеспечению информационной безопасности посредством проведения совещания, в котором будут участвовать руководители разных подразделений.
Такое совещание, в работе которого принимают участие представители руководства каждого из подразделений организации, зачастую необходимо для того, чтобы координировать действия по реализации защитных мер. Обычно на таком совещании:
а) согласовываются конкретные функции и обязанности по обеспечению информационной безопасности в организации;
б) согласовываются конкретные методики и процессы защиты информации, например, оценка рисков, система классификации средств защиты;
в) согласовывается и оказывается поддержка инициативам по защите информации в организации, например, программе обучения персонала правилам безопасности;
г) обеспечивается включение защитных мер в процесс планирования использования информации;
д) координируются действия по реализации конкретных мер по обеспечению информационной безопасности новых систем или сервисов;
е) создаются благоприятные условия для информационной безопасности во всей организации.
Распределение обязанностей по обеспечению информационной безопасности
Необходимо четко определить обязанности по защите отдельных ресурсов и выполнению конкретных процессов обеспечения безопасности.
Политика информационной безопасности (см. Документ о политике информационной безопасности) должна давать общие рекомендации по распределению функций и обязанностей по защите информации. Там, где необходимо, следует дополнить эти рекомендации более подробными разъяснениями, касающимися конкретных систем или сервисов; в этих дополнениях нужно четко определить ответственных за конкретные ресурсы (как физические, так и информационные) и за процессы обеспечения защиты, например, за планирование бесперебойной работы организации.
Защита информационной системы должна быть обязанностью ее владельца (см. Ответственность за ресурсы). Владельцы информационных систем могут делегировать свои полномочия по защите отдельным пользователям-администраторам или поставщикам услуг. Тем не менее, владельцы все равно несут ответственность за обеспечение безопасности системы.
Чтобы избежать каких-либо недоразумений, касающихся отдельных обязанностей, крайне важно четко определить зоны ответственности каждого администратора и, в частности, следующее:
Различные ресурсы и процессы обеспечения безопасности, связанные с каждой системой, необходимо идентифицировать и четко определить.
Кандидатура администратора, отвечающего за каждый ресурс или процесс обеспечения защиты, должна быть согласована, а его обязанности задокументированы.
Уровни полномочий необходимо четко определелить и задокументировать.
Процесс утверждения информационных систем
Следует определить процедуру утверждения новых информационных систем руководством, чтобы гарантировать, что установка оборудования имеет определенную цель для организации, что она обеспечивает достаточный уровень защиты, и что она не оказывает вредного влияния на безопасность существующей инфраструктуры.
Необходимо рассмотреть два уровня пономочий по утверждению систем:
а) Утверждение руководством. Каждой случай установки систем должен быть утвержден соответствующим руководством, которое дает разрешение на ее проведение. Необходимо также получить разрешение от администратора, отвечающего за поддержание режима локальной информационной безопасности; это гарантирует, что установка систем будут соответствовать политике безопасности и требованиям к ней.
б) Техническое утверждение. В случае необходимости следует проверить, все ли устройства, подключенные к коммуникационным сетям, или сопровождаемые конкретным поставщиком услуг имеют тип, который был утвержден.
Примечание. Это средство контроля особенно важно в сетевой среде.
Рекомендации специалистов по информационной безопасности
Каждая организация, крупная или мелкая, может извлечь пользу из рекомендаций, даваемых специалистами по безопасности. В идеале в штатном расписании организации должна быть предусмотрена соответствующая должность, и ее должен занимать опытный специалист. Для небольших организаций, однако, нанимать такого специалиста на постоянную работу невыгодно. В этом случае рекомендуется создать единую службу поддержки, чтобы обеспечить согласованность при принятии решений по вопросам безопасности и способствовать максимальному использованию знаний и опыта сотрудников.
Следует так подобрать специалистов по защите информации и сотрудников службы поддержки, чтобы обеспечить решение любой проблемы, касающейся информационной безопасности. Качество их оценок угроз системе безопасности и рекомендуемые ими меры противодействия будут определять эффективность программы обеспечения информационной безопасности в организации. Для обеспечения максимальной эффективности такой программы этим специалистам должен быть предоставлен прямой доступ к администраторам информационных систем и руководству организации.
В подозрительных случаях нарушения защиты следует как можно раньше обратиться к консультанту по вопросам обеспечения информационной безопасности или в службу поддержки, чтобы получить необходимые указания или ресурсы для расследования таких инцидентов. Хотя большинство внутренних расследований, связанных с нарушением защиты, обычно выполняется под контролем руководства, можно обратиться к консультанту по информационной безопасности как за советом, так и с предложением возглавить или провести необходимые расследования.
Сотрудничество между организациями
Следует поощрять контакты специалистов по защите информации из штата организации со специалистами из других организаций (промышленных или правительственных) по их усмотрению. Такое взаимодействие дает возможность обмена опытом и оценками угроз режиму безопасности, а также способствует разработке согласованных правил в промышленности, что помогает устранить препятствия на пути установления деловых отношений между организациями.
Важно также поддерживать соответсвующие контакты с правоохранительными органами, поставщиками информационных сервисов и телекоммуникационными органами, чтобы обеспечить своевременное установление контактов и получение рекомендаций в случае инцидента в системе безопасности.
Обмен информацией по вопросам безопасности должен быть ограничен, чтобы гарантировать, что конфиденциальная информация организации не попадет в руки лиц, не имеющих соответствующие полномочия.
Независимый анализ информационной безопасности
В документе о политике информационной безопасности (см. Документ о политике информационной безопасности) определяются обязанности по защите информации и формулируется соответствующая политика. Реальные процедуры обеспечения информационной безопасности должны быть подвергнуты независимому анализу, чтобы быть уверенным, что используемые организацией процедуры защиты соответствуют принятой политике безопасности, а также являются реализуемыми и эффективными.
Примечание. Кандидатами на выполнение такого анализа являются внутренняя аудиторская служба, независимый старший администратор или сторонняя организация, специализирующаяся на сертификации соответствия политике безопасности в тех случаях, когда они имеют надлежащую квалификацию и опыт.
Безопасность доступа сторонних организаций
Цель: Обеспечить безопасность информационных ресурсов организации, к которым имеют доступ сторонние организации.
Доступ сторонних организаций к информационным ресурсам данной организации следует контролировать.
Там, где доступ сторонних организаций необходим по производственным причинам, следует провести анализ рисков нарушения защиты, чтобы определить его последствия для системы безопасности и требования к средствам контроля. Эти средства контроля должны быть согласованы и определены в контракте, заключенном со сторонней организацией.
Такой доступ может быть предоставлен и другим участникам.
Контракты, разрешающие доступ сторонних организаций, должны включать в себя правила для доступа других участников и условия их доступа.
Рекомендуется использовать настоящие практические правила в качестве основы при составлении подобных договоров.
Идентификация рисков, связанных с подключениями сторонних организаций
Защита информационных систем организации может быть нарушена из-за доступа, осуществляемого сторонними организациями без надлежащего управления системой безопасности. Если в связи с деятельностью организации возникает необходимость в подключении к узлу сторонней организации, следует выполнить оценку рисков, чтобы определить, необходимы ли какие-либо специальные меры по защите информации. При анализе риска следует принять во внимание тип предоставляемого доступа, ценность информации, принятые сторонней организацией меры защиты и последствия от доступа для безопасности информационной инфраструктуры организации. Процесс анализа можно облегчить, обратившись к опубликованным промышленным стандартам, например, к настоящим практическим правилам.
Доступ сторонних организаций к информационным ресурсам данной организации может быть разрешен только после того, как приняты все необходимые защитные меры и подписан договор, определяющий условия подключения.
Условия безопасности в контрактах, заключенных со сторонними организациями
Соглашения, предусматривающие доступ сторонних организаций к информационным ресурсам данной организации, должны быть основаны на контракте, в котором должны быть перечислены все необходимые условия безопасности (или даны ссылки на них), чтобы обеспечить соответствие политике и стандартам безопасности, принятыми в организации. Контракт должен быть заключен перед тем, как будет предоставлен доступ к информационным ресурсам. При составлении контрактов следует рассмотреть следующие вопросы:
а) общая политика информационной безопасности; б. разрешенные способы доступа, а также контроль и использование уникальных идентификаторов пользователей и паролей;
б) описание каждого предоставляемого информационного сервиса;
в) требование вести список лиц, которым разрешено использовать сервис;
г) время и дата, когда сервис будет доступен;
Примечание. Следует рассмотреть планы действий в чрезвычайных ситуациях (по необходимости)
д) вытекающие из соглашения обязательства организаций;
е) процедуры, касающиеся защиты ресурсов организации, включая информацию;
ж) обязанности, касающиеся правовых вопросов, например, законодательство о защите данных;
з) право отслеживать действия пользователей;
и) обязанности по установке оборудования и программного обеспечения и их сопровождения;
и) право проверять договорные обязательства;
к) ограничения на копирование и раскрытие информации;
л) меры по обеспечению возврата или уничтожения информации и ресурсов по окончании срока действия контракта;
м) необходимые меры по физической защите;
н) механизмы для обеспечения реализации защитных мер;
о) обучение пользователей методам, процедурам и правилам безопасности;
п) меры по обеспечинию защиты от компьютерных вирусов (см. Средства защиты от вирусов);
р) процедура предоставления разрешения на доступ пользователей;
с) процедуры уведомления об инцидентах в системе безопасности и их расследования;
т) участие сторонних организаций (субподрядчики и другие участники).
Раздел 3 Классификация ресурсов и их контроль
Ответственность за ресурсы
Цель: Обеспечить надлежащую защиту ресурсов организации.
Все основные информационные ресурсы должны быть учтены и иметь назначенного владельца (см. Владелец).
Ответственность за ресурсы позволяет обеспечить их надлежащую защиту. Следует определить владельцев основных ресурсов и назначить ответственных за реализацию соответствующих защитных мер. Ответственность за реализацию защитных мер может быть передана другому лицу, однако назначенный владелец ресурса все равно несет ответственность за него.
Инвентаризация информационных ресурсов
Инвентаризация ресурсов помогает убедиться в том, что обеспечивается их эффективная защита, кроме того, перечень ресурсов может потребоваться для других производственных целей, например, при принятии мер по охране здоровья и по технике безопасности, для страхования или финансовых целей. Инвентаризацию необходимо провести для всех основных ресурсов, связанных с каждой информационной системой. Каждый ресурс должен быть четко идентифицирован, а его владелец и категория секретности (см. Классификация информации) согласованы и задокументированы. Примерами ресурсов, связанных с информационными системами, являются:
а) информационные ресурсы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, операционные процедуры и процедуры поддержки, планы обеспечения бесперебойной работы организации, процедуры перехода на аварийный режим;
б) программные ресурсы: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства и утилиты;
в) физические ресурсы: компьютеры и коммуникационное оборудование, магнитные носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения;
г) сервисы: вычислительные и коммуникационные сервисы, другие технические сервисы (отопление, освещение, энергоснабжение, кондиционирование воздуха).
Классификация информации
Цель: Обеспечить надлежащий уровень защиты информационных ресурсов.
Категории секретности следует использовать, чтобы показать необходимость в защите и задать приоритеты для ее обеспечения.
Различная информация имеет разную степень конфиденциальности и важности. Некоторые виды информации могут потребовать дополнительной защиты или специального обращения. Систему классификации информации по категориям секретности необходимо использовать для определения соответствующего набора уровней защиты и для уведомления пользователей о необходимости специального обращения с этой информацией.
Рекомендации по классификации
Категории секретности и связанные с ними защитные меры для производственной информации должны учитывать производственную необходимость в коллективном использовании информации или ограничении доступа к ней, а также ущерб для организации, связанный с несанкционированным доступом или повреждением информации. В частности следует рассмотреть необходимость обеспечения следующих мер:
а) конфиденциальности: производственная необходимость коллективного использования или ограничения доступа к информации по отношению к конфиденциальности и средствам контроля, требуемым для ограничения доступа к информации;
б) целостности: производственная необходимость осуществления контроля за внесением изменений в информацию и средства контроля, требуемые для обеспечения точности и полноты информации;
в) доступности: производственная необходимость обеспечения доступа к информации, когда это требуется, и необходимые для этого средства контроля.
Ответственность за присвоение категории секретности конкретному виду информации, например, документу, файлу данных или дискете, а также за периодическую проверку этой категории, следует возложить на лицо, создавшее эти данные, или на их назначенного владельца.
Примечание. В настоящее время не существует общепринятого стандарта на грифы секретности (см. Присваивание грифов секретности).
Следует с осторожностью подходить к интерпретации грифов секретности на документах из других организаций, поскольку одинаковый или похожий гриф может быть определен по другому.
Присваивание грифов секретности
Секретная информация и выходные данные систем, поддерживающих секретную информацию, должны иметь соответствующие грифы секретности. Однако часто информация перестает быть конфиденциальной через некоторый промежуток времени, например, когда она становиться общедоступной. Это следует принять во внимание, так как чрезмерное засекречивание информации может привести к неоправданным, дополнительным затратам организации.
Выходные данные информационных систем, содержащие секретную информацию, должны иметь соответствующий гриф секретности. Этот гриф должен отражать категорию секретности наиболее уязвимой информации в выводимых данных. Примерами таких выходных данных являются печатные отчеты, информация, выводимая на экраны дисплеев, данные, хранимые на магнитных носителях (лентах, дисках, кассетах), электронные сообщения и передаваемые файлы.
Примечание. Физические метки являются наиболее подходящей формой маркировки. Однако в некоторых случаях, например, для электронной передачи данных, могут потребоваться другие средства, такие, как процедуры, контракты или почтовые извещения для выполнения функций маркировки.
Раздел 4 Безопасность персонала
Безопасность в должностных инструкциях и при выделении ресурсов
Цель: Уменьшить риск ошибок персонала, краж, мошенничества или незаконного использования ресурсов.
Аспекты, связанные с безопасностью, следует учитывать еще на стадии набора персонала, включать их в должностные инструкции и договоры, а также контролировать в течение всего времени работы данного сотрудника.
Руководители должны убедиться в том, что в должностных инструкциях отражена вся соответствующая данной должности ответственность за безопасность. Следует надлежащим образом проверить принимаемых на работу лиц (см. Проверка принимаемых на работу), особенно если они будут работать с конфиденциальной информацией. Весь персонал организации и пользователи информационных ресурсов из сторонних организаций должны подписать обязательство о конфиденциальности (неразглашении).
Безопасность в должностных инструкциях
Обязанности и ответственность за безопасность, установленные принятой в организации политикой информационной безопасности (см. Политика информационной безопасности), следует включать в должностные инструкции, где это необходимо. В инструкциях необходимо отразить как общую ответственность за проведение в жизнь или поддержку политики безопасности, так и конкретные обязанности по защите определенных ресурсов или ответственность за выполнение определенных процедур или действий по защите.
Проверка принимаемых на работу
Заявления о приеме на работу следует тщательно рассмотреть, если работа в данной должности связана с доступом к конфиденциальным информационным ресурсам. Всех кандидатов на занятие подобных вакансий следует проверить по следующим пунктам:
а) как минимум две положительных характеристики, одна деловых и одна личных качеств;
б) проверка (полноты и точности) сведений, сообщенных претендентом на вакансию в своей автобиографии;
в) подтверждение академических степеней и профессиональной квалификации;
г) проверка идентификации (например, паспорта);
д) проверка кредита для занятых в наиболее критичных заданиях, например, проверка финансового состояния.
Соглашение о конфиденциальности
Пользователи информационных ресурсов организации должны подписать соответствующее обязательство о конфиденциальности (неразглашении). Обычно служащие организации подписывают такое обязательство при приеме на работу.
Пользователи из сторонних организаций, не предусмотренные условиями существующего договора (обязательство о неразглашении является его частью), должны подписать обязательство о неразглашении, прежде чем им будет предоставлен доступ к информационным ресурсам организации.
Обязательства о неразглашении необходимо пересматривать, когда изменяются условия найма или договор, особенно если служащие должны уволиться из организации или если кончаются сроки действия договора.
Обучение пользователей
Цель: Убедиться в том, что пользователи осведомлены об угрозах нарушения режима информационной безопасности и понимают значение защиты, а также имеют необходимые навыки для выполнения процедур, необходимых для нормального функционирования системы безопасности организации.
Пользователи должны быть обучены процедурам защиты и правильному обращению с информационными ресурсами.
Необходимо также официально, в письменной форме, утвердить разрешенный пользователям доступ (права и ограничения).
Обучение правилам информационной безопасности
Пользователи должны получить необходимые сведения о политике организации и принятых в ней процедурах, включая требования к безопасности и другим средствам контроля, а также научиться правильно пользоваться информационными ресурсами (например, знать процедуру входа в систему, уметь пользоваться пакетами программ) перед тем, как они получат доступ к информационным сервисам.
Примечание. Эти меры необходимы для того, чтобы гарантировать, что процедуры защиты выполняются правильно, и для сведения риска нарушения конфиденциальности, целостности и доступности данных из-за ошибки пользователя к минимуму.
Этой политики следует придерживаться как в отношении сотрудников организации, так и в отношении пользователей из сторонних организаций.
Реагирование на события, таящие угрозу безопасности
Цель: Свести ущерб от инцидентов в системе безопасности и ее сбоев к минимуму, а также отслеживать такие события и извлекать из них соответствующие уроки.
О событиях, затрагивающих безопасность, необходимо немедленно сообщать по административным каналам.
Все сотрудники и подрядчики должны быть ознакомлены с процедурой уведомления о различных типах инцидентов (нарушение безопасности, угроза, слабость или сбой), которые могут повлиять на безопасность ресурсов организации. Следует обязать пользователей без промедления сообщать обо всех наблюдаемых или подозрительных случаях такого рода в соответствующую службу поддержки системы защиты. В организации должна быть установлена формальная процедура наложения дисциплинарных взысканий на сотрудников, которые нарушают режим безопасности.
Уведомление об инцидентах в системе безопасности
О событиях, таящих угрозу безопасности (см. Инцидент в системе безопасности), следует без промедления сообщать по административным каналам.
Следует установить формальную процедуру уведомления, а также процедуру реагирования на события, описывающую меры, которые надлежит принять по получении сообщения об инциденте. Все сотрудники и подрядчики должны быть ознакомлены с этой процедурой; они обязаны сообщать о такого рода событиях в соответствующую службу поддержки системы защиты.
Уведомление о слабых местах в системе безопасности
Пользователи информационных сервисов обязаны регистрировать любые наблюдаемые или предполагаемые слабости в системе безопасности, либо угрозы системам или сервисам и сообщать о них. Пользователи должны незамедлительно доводить подобные инциденты до сведения своего непосредственного руководства, либо поставщиков соответствующих услуг. Необходимо информировать пользователей о том, что ни при каких обстоятельствах они не должны пытаться проверять предполагаемые слабости в системы защиты.
Примечание. Это нужно для защиты самих пользователей, поскольку их действия по тестированию слабости могут быть истолкованы как попытки несанкционированного использования системы.
Уведомление об отказах программного обеспечения
Следует обязать пользователей информационных сервисов регистрировать все случаи, когда функционирование программного обеспечения представляется им неправильным, т.е. не соответствующим спецификации; они должны сообщать об этом в местную службу технической поддержки информационных систем или непосредственно поставщику данных услуг.
Следует установить процедуры, которые немедленно должен выполнить пользователь, подозревающий, что сбой вызван вредоносной программой, например, компьютерным вирусом. При разработке таких процедур следует обратить особое внимание на следующие моменты:
а) Записать «симптомы» и все сообщения, появляющиеся на экране.
б) Прекратить работу на компьютере и, если возможно, отключить его. Немедленно сообщить об инциденте в службу технической поддержки информационных систем. Если оборудование подлежит осмотру, то его необходимо отсоединить от сетей организации, прежде чем снова включить питание. Не использовать на других компьютерах дискеты, записанные на этом компьютере.
в) Немедленно сообщить о происшествии в службу поддержки системы защиты.
Ни при каких обстоятельствах пользователи не должны пытаться удалить подозрительное программное обеспечение. Восстановление программного обеспечения должны выполнять специалисты, имеющие соответствующие знания и опыт работы.
Процедура наложения дисциплинарных взысканий
Следует определить формальную процедуру наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые в организации политику и процедуры безопасности. Эта процедура должна служить сдерживающим фактором для сотрудников, которые склонны пренебрегать процедурами защиты. Кроме того, она должна обеспечивать правильное и справедливое рассмотрение дел сотрудников, подозреваемых в серьезном или постоянном нарушении безопасности. Процедура наложения дисциплинарных взысканий должна быть разработана с учетом кадровой политики организации и утверждена руководством.
Раздел 5 Физическая безопасность и безопасность окружающей среды
Примечание 1. Требования к физической защите могут значительно варьировать от организации к организации, в зависимости от масштаба и структуры предоставляемых информационных сервисов, а так же от уязвимости и критичности поддерживаемых производственных процессов.
Крупные организации, имеющие специальные центры данных, обычно требуют более высокий уровень защиты своих информационных систем, чем небольшие организации, использующие офисную технологию. Тем не менее понятие защищенных областей, контролируемых периметров, контроля доступа в помещения и общие меры по защите оборудования применимы к любой организации в соответствующей интерпретации.
Небольшие организации, где информационные технологии находят все большее распространение, должны обеспечить возможность расширения мер по физической защите для удовлетворения будущих требований. Это особенно важно в связи с тем, что реализация мер по физической защите может оказаться весьма сложным и дорогостоящим делом, если их не предусмотреть заранее.
Примечание 2. Дополнительные рекомендации по размещению и операционной среде компьютерного оборудования приведены в стандарте BS 7083.
Защищенные области
Цель: Предотвратить несанкционированный доступ к информационным сервисам, их повреждение и создание помех в их работе.
Информационные системы, поддерживающие критически важные или уязвимые сервисы организации, должны быть размещены в защищенных областях.
Такие системы должны быть также защищены физически от несанкционированного доступа, повреждения и помех. Их следует разместить в защищенных областях, ограниченных определенным периметром безопасности, с надлежащим контролем доступа в помещения и защитными барьерами. Для уменьшения риска несанкционированного доступа или повреждения бумажной документации и носителей информации, рекомендуется задать четкие правила использования рабочего стола.
Физический периметр безопасности
Физическая защита должна быть основана на определенных периметрах безопасности и обеспечиваться путем установки в организации ряда барьеров, расположенных в стратегических местах. Требования к каждому защитному барьеру и его месторасположению должны определяться ценностью ресурсов и сервисов, подлежащих защите, а также рисками нарушения безопасности и существующими защитными мерами. Каждый уровень физической защиты должен иметь определенный периметр безопасности, в пределах которого должен быть обеспечен надлежащий уровень защиты.
Примечание 1. Для компьютеров и других информационных ресурсов периметр безопасности может ограничивать область повышенной безопасности, компьютерный зал, закрытый на замок офис; периметр безопасности может основываться и на других видах физических границ.
Предлагаются следующие рекомендации:
а) Периметр безопасности должен соответствовать ценности защищаемых ресурсов и сервисов.
б) Периметр безопасности должен быть четко определен.
в) Вспомогательное оборудование (например, фотокопировальные аппараты, факс-машины) должны быть так размещены, чтобы уменьшить риск несанкционированного доступа к защищенным областям или компрометации конфиденциальной информации.
г) Физические барьеры должны по необходимости простираться от пола до потолка, чтобы предотвратить несанкционированный доступ в помещение и загрязнение окружающей среды.
д) Не следует предоставлять посторонним лицам информацию о том, что делается в защищенных областях без надобности.
е) Следует рассмотреть возможность установления запрета на работу в одиночку без надлежащего контроля; это необходимо как для безопасности, так и для предотвращения вредоносных действий.
ж) Компьютерное оборудование, принадлежащее организации, следует размещать в специально предназначенных для этого местах, отдельно от оборудования, контролируемого сторонними организациями.
з) В нерабочее время защищенные области должны быть физически недоступны (закрыты на замки) и периодически проверяться охраной.
и) Персоналу, осуществляющему техническое обслуживание сервисов, должен быть предоставлен доступ в защищенные области только в случае необходимости и после получения разрешения. По необходимости доступ такого персонала (особенно к конфиденциальным данным) следует ограничить, а их действияя следует отслеживать.
Примечание 2. В пределах периметра безопасности могут потребоваться дополнительные барьеры и периметры между областями с разными требованиями к безопасности.
и) В пределах периметра безопасности использование фотографической, звукозаписывающей и видео аппаратуры должно быть запрещено, за исключением санкционированых случаев.
Контроль доступа в помещения
В защищенных областях следует установить надлежащий контроль доступа в помещения, чтобы только персонал, имеющий соответствующие полномочия, имел к ним доступ. Предлагается рассмотреть следующие средства контроля:
а) За посетителями защищенных областей необходимо установить надзор, а дата и время их входа и выхода должны регистрироваться. Посетителям должен быть предоставлен доступ для конкретных, разрешенных целей.
б) Весь персонал, работающий в защищенных областях, должен носить на одежде хорошо различимые идентификационные карточки; кроме того, следует рекомендовать им спрашивать пропуск у незнакомых лиц.
в) Необходимо немедленно изъять права доступа в защищенные области у сотрудников, увольняющихся с данного места работы.
Защита центров данных и компьютерных залов
Центры данных и компьютерные залы, поддерживающие критически важные сервисы организации, должны иметь надежную физическую защиту. При выборе и обустройстве соответствующих помещений необходимо принять во внимание возможность повреждения оборудования в результате пожара, наводнения, взрывов, гражданских беспорядков и других аварий. Следует также рассмотреть угрозы безопасности, которые представляют соседние помещения.
Необходимо рассмотреть следующие меры:
а) Разместить ключевые системы подальше от общедоступных мест и мест прохождения общественного транспорта.
б) Здания не должны привлекать внимание и выдавать свое назначение (по возможности); не должно быть явных признаков как снаружи, так и внутри здания, указывающих на присутствие вычислительных ресурсов.
в) Внутренние телефонные справочники не должны указывать на местонахождение вычислительных ресурсов.
г) Опасные и горючие материалы следует хранить в соответствии с инструкциями на безопасном расстоянии от месторасположения вычислительных ресурсов. Не следует хранить расходные материалы для компьютеров, например, бумагу для принтеров в компьютерных залах.
д) Резервное оборудование и носители информации, на которых храняться резервные копии, следует разместить на безопасном расстоянии, чтобы избежать их повреждение в случае аварии на основном рабочем месте.
е) Следует установить соответствующее сигнальное и защитное оборудование, например, тепловые и дымовые детекторы, пожарную сигнализацию, средства пожаротушения, а также предусмотреть пожарные лестницы. Сигнальное и защитное оборудование необходимо регулярно проверять в соответствии с инструкциями производителей. Сотрудники должны быть надлежащим образом подготовлены к использованию этого оборудования.
ж) Процедуры реагирования на чрезвычайные ситуации необходимо полностью задокументировать и регулярно тестировать.
з) Двери и окна должны быть заперты, когда в помещении в данное время никого нет. Следует рассмотреть возможность защиты окон снаружи.
Изолированные места разгрузки и загрузки оборудования и материалов
Компьютерные залы должны быть защищены от несанкционированного доступа. Рекомендуется выделить помещение для разгрузки и загрузки материалов и оборудования для того, чтобы уменьшить вероятность несанкционированного доступа в компьютерные залы. Требования к безопасности такого помещения следует определить, исходя из оценки рисков. Предлагаются следующие рекомендации:
а) Доступ к складским помещениям снаружи здания должен предоставляться только проверенному персоналу, имеющему соответствующие полномочия.
б) Складское помещение должно быть так спланировано, чтобы материалы можно было разгружать без получения доступа в другие помещения здания.
в) Внешняя дверь в складское помещение должна быть заперта, когда открыта внутренняя дверь.
г) Необходимо установить, какую потенциальную опасность могут представлять собой поступающие материалы, прежде чем их переместить из складского помещения в месту назначения.
Правила использования рабочего стола
Организациям настоятельно рекомендуется ввести правила использования рабочего стола, касающиеся документов и дискет, чтобы уменьшить риск несанкционированного доступа, потери и повреждения информации в нерабочее время.
Примечание. Носители информации, оставленные на рабочих столах, могут быть повреждены или уничтожены в результате аварии, например, пожара, наводнения или взрыва.
Предлагаются следующие рекомендации:
а) Бумажная документация и дискеты, когда они не используются, должны храниться в специальных шкафах, особенно в нерабочее время.
б) Конфиденциальная или критически важная производственная информация, когда она не используется, должна храниться отдельно (лучше всего в несгораемом шкафу), особенно в нерабочее время.
в) Персональные компьютеры и компьютерные терминалы, когда они не используются, необходимо защитить с помощью блокировки с ключом, паролей или других средств контроля.
г) Следует рассмотреть необходимость защиты входящей и исходящей почты, а также факс-машин, оставленных без присмотра.
Вынос имущества за пределы организации
Сотрудникам запрещается выносить оборудование, данные и программы за пределы организации без письменного разрешения руководства.
Защита оборудования
Цель: Предотвратить потерю, повреждение и компрометацию ресурсов, а также перебои в работе организации.
Необходимо обеспечить физическую защиту оборудования от угроз нарушения безопасности и опасностей, представляемых окружающей средой.
Защита оборудования информационных систем (включая оборудование, используемое за пределами организации) необходима как для того, чтобы уменьшить риск несанкционированного доступа к данным, так и для того, чтобы не допустить его потерю или повреждение. Следует также уделить внимание проблемам размещения оборудование и его утилизации. Могут потребоваться специальные меры для защиты от несанкционированного доступа и других опасностей, а также для защиты вспомагательного оборудования, например, системы электропитания и кабельной разводки.
Размещение и защита оборудования
Оборудование информационных систем должно быть так размещено и защищено, чтобы уменьшить риск, связанный с воздействием окружающей среды и несанкционированным доступом. Предлагаются следующие рекомендации:
а) Оборудование следует размещать так, чтобы по возможности свести к минимуму излишний доступ в рабочие помещения. Рабочие станции, поддерживающие конфиденциальные данные, должны быть расположены так, чтобы они были всегда на виду.
б) Следует рассмотреть возможность изоляции областей, требующих специальной защиты, чтобы понизить необходимый уровень общей защиты.
в) Для идентификации возможных опасностей предлагается использовать следующий контрольный список:
пожар;
задымление;
затопление;
запыление;
вибрация;
влияние химических веществ;
помехи в электропитании;
электромагнитная радиация.
г)
Следует запретить прием пищи и курение в местах размещения компьютерного оборудования.
Следует рассмотреть возможность использования специальной защиты, например, клавиатурных мембран, для оборудования в промышленных средах.
Следует рассмотреть возможные опасности как на данном этаже, так и на соседних этажах.
Источники электропитания
Оборудование необходимо защищать от сбоев в системе электропитании и других неполадок в электрической сети. Источник питания должен соответствовать спецификациям производителя оборудования.
Следует рассмотреть необходимость использования резервного источника питания. Для оборудования, поддерживающего критически важные производственные сервисы, рекомендуется установить источник бесперебойного питания. План действий в чрезвычайных ситуациях должен включать меры, которые необходимо принять по окончании срока годности источников бесперебойного питания. Оборудование, работающее с источниками бесперебойного питания, необходимо регулярно тестировать в соответствии с рекомендациями изготовителя.
Защита кабельной разводки
Кабели электропитания и сетевые кабели для передачи данных необходимо защищать от вскрытия для целей перехвата информации и повреждения. Для уменьшения такого риска в помещениях организации предлагается реализовать следующие защитные меры:
а)
Кабели электропитания и линии связи, идущие к информационным системам, должны быть проведены под землей (по возможности) или защищены надлежащим образом с помощью других средств.
Необходимо рассмотреть меры по защите сетевых кабелей от их несанкционированного вскрытия для целей перехвата данных и от повреждения, например, воспользовавшись экранами или проложив эти линии так, чтобы они не проходили через общедоступные места.
Для исключительно уязвимых или критически важных систем следует рассмотреть необходимость принятия дополнительных мер, таких, как:
шифрование данных (см. Шифрование данных);
установка бронированных экранов и использование запираемых помещений;
использование других маршрутов или сред передачи данных.
Техническое обслуживание оборудования
Необходимо осуществлять надлежащее техническое обслуживание оборудования, чтобы обеспечить его постоянную доступность и целостность. Предлагаются следующие рекомендации:
а) Техническое обслуживание оборудования должно осуществляться через промежутки времени, рекомендуемые поставщиком, и в соответствии с инструкциями.
б) Ремонт и обслуживание оборудования должен выполнять только персонал поддержки, имеющий соответствующие полномочия.
в) Необходимо регистрировать все неисправности и неполадки.
Защита оборудования, используемого за пределами организации
Использование оборудования информационных систем (независимо от того, кто им владеет), поддерживающих производственные процессы, за пределами организации должно быть санкционировано руководством; уровень защиты такого оборудования должен быть таким же, как и для оборудования, расположенного на территории организации. Предлагаются следующие рекомендации:
а) а. Сотрудникам запрещается использовать персональные компьютеры для продолжения работы на дому, если не установлена процедура проверки на наличие вирусов (см. Средства защиты от вирусов).
б) Во время поездок запрещается оставлять оборудование и носители информации в общедоступных местах без присмотра. Портативные компьютеры следует провозить в качестве ручного багажа.
в) Во время поездок портативные компьютеры уязвимы по отношению к кражам, потери и несанкционированного доступа. Для таких компьютеров следует обеспечить надлежащую защиту доступа, чтобы предотвратить несанкционированный доступ к хранящейся в них информации.
г) Следует всегда соблюдать инструкции производителя, касающиеся защиты оборудования, например, защищать оборудование от воздействия сильных электромагнитных полей.
Риски нарушения безопасности (например, повреждения, кражи, перехвата), могут значительно варьировать от места к месту; это следует обязательно учитывать при определении наиболее подходящих защитных средств.
Надежная утилизация оборудования
Данные организации могут быть скомпрометированы вследствие небрежной утилизации оборудования. Перед утилизацией оборудования все его компоненты, включая носители информации, например, жесткие диски, необходимо проверять, чтобы гарантировать, что конфиденциальные данные и лицензированное программное обеспечение было удалено. Поврежденные запоминающие устройства, содержащие особо ценные данные, могут потребовать оценки рисков для того, чтобы определить, следует ли их уничтожать, ремонтировать или избавиться от них.
Раздел 6 Администрирование компьютерных систем и вычислительных сетей
Примечание: Уровень детализации и формальности процедур, требуемых для администрирования и обеспечения функционирования компьютерных систем и вычислительных сетей, существенно меняется в зависимости от размера организации и типа оборудования, а также от характера и уязвимости производственных приложений. Так, например, для крупной организации, имеющей обслуживаемые специалистами мэйнфреймы, требуется более обширный набор процедур и средств контроля, чем для небольшой организации, использующей «офисную» технологию. В принципе следует применять одни и те же процессы обеспечения безопасности в соответствующей интерпретации.
Операционные процедуры и обазанности
Цель: Обеспечить корректную и надежную работу компьютерных систем и вычислительных сетей.
Необходимо определить обязанности и процедуры по администрированию и обеспечению функционирования всех компьютеров и сетей.
Это должно быть подкреплено соответствующими рабочими инструкциями и процедурами реагирования на события. Для уменьшения риска небрежного или несанкционированного использования систем, следует по необходимости применять принцип разделения обязанностей (см. Разделение обязанностей).
Документированные операционные процедуры
Очевидно, что документированные операционные процедуры должны быть подготовлены для всех функционирующих компьютерных систем для обеспечения их корректной и надежной работы. Документированные процедуры следует также подготовить для работ, связанных с разработкой, сопровождением и тестированием систем, особенно если это требует поддержки и внимания со стороны других подразделений организации, например, отдела управления компьютерными системами.
Процедуры должны включать в себя подробные корректные инструкции по выполнению каждого задания, в том числе (по необходимости) следующие пункты:
а) корректное оперирование с файлами данных;
б) требования к планированию выполнения заданий, включая взаимосвязи с другими системами, а также самое раннее и самое позднее время начала и окончания выполнения заданий;
в) инструкции по обработке ошибок и других исключительных ситуаций, которые могут возникнуть во время выполнения заданий, в том числе ограничения на использование системных утилит (см. Использование системных утилит);
г) обращение за помощью к персоналу поддержки в случае возникновения технических и других проблем, связанных с эксплуатацией компьютерных систем;
д) специальные инструкции по оперированию с выходными данными, такими, как использование специальной бумаги для печатающих устройств или администрирование конфиденциальных выходных данных, включая процедуры надежного удаления выходной информации от сбойных заданий;
е) процедуры перезапуска и восстановления работоспособности систем, используемые в случае их отказа.
Документированные процедуры должны быть также подготовлены для работ по обслуживанию систем, связанных с администрированием компьютеров и сетей, в том числе процедуры запуска и останова компьютеров, резервное копирование данных, техническое обслуживание оборудования, управление компьютерными залами и обеспечение их защиты. Операционные процедуры должны рассматриваться как формальные документы, изменения в которые следует вносить только после их утверждения руководством, наделенным соответствующими полномочиями.
Процедуры реагирования на события
Для обеспечения своевременного, эффективного и организованного реагирования на события, таящие угрозу безопасности, необходимо определить соответствующие управленческие обязанности и процедуры. Предлагаются следующие рекомендации по определению процедур реагирования на события:
а) а. Процедуры должны включать в себя все возможные типы инцидентов в системе безопасности, в том числе:
отказы систем и потеря сервиса;
ошибки, проистекающие от неполноты или неточности производственных данных;
случаи нарушения конфиденциальности.
б) Кроме обычного плана действий в экстремальных ситуациях (предназначенного для того, чтобы как можно быстрее восстановить работоспособность систем и сервисов), процедуры должны включать в себя:
анализ и выявление причины инцидента;
планирование и реализация мер по предотвращению повторения инцидента;
ведение контрольного журнала регистрации событий и сбор аналогичной информации;
взаимодействие с пользователями и другими лицами, пострадавшими от инцидента или участвующими в процессе восстановления систем.
в) Ведение контрольного журнала регистрации событий и сбор аналогичной информации необходимы для:
анализа внутренних проблем;
использования в качестве свидетельства возможного нарушения условий контракта или технических нормативов;
ведения переговоров с поставщиками программных средств и услуг о выплате компенсации;
использования в качестве свидетельства в случае судебных разбирательств, попадающих под законодательство о несанкционированном использовании компьютерных систем и защите данных.
г) Необходимо осуществлять тщательный и формальный контроль за мерами по восстановлению систем после нарушения режима безопасности и их отказов. Процедуры должны обеспечивать следующее:
предоставление разрешения на доступ к рабочим системам и данным только персоналу, имеющему соответствующие полномочия;
подробное документирование всех мер, предпринимаемых в чрезвычайных ситуациях;
доведение мер, предпринимаемых в чрезвычайных ситуациях, до сведения руководства и их организованный анализ;
подтверждение целостности производственных систем и средств управления безопасностью с минимальной задержкой.
Разделение обязанностей
Разделение обязанностей позволяет свести риск небрежного или несанкционированного использования систем к минимуму, поэтому следует уделить особое внимание разделению определенных обязанностей или зон ответственности, чтобы уменьшить вероятность несанкционированной модификации или использования данных и сервисов. В частности, рекомендуется, чтобы выполнение следующих функций не было поручено одним и тем же сотрудникам:
использование производственных систем;
ввод данных;
обеспечение функционирования компьютеров;
сетевое администрирование;
системное администрирование;
разработка и сопровождение систем;
управление процессом внесения изменений;
администрирование средств защиты;
контроль (аудит) средств защиты.
Примечание. Это средство контроля особенно важно для компьютеров, поддерживающих финансовые приложения.
Небольшие организации возможно найдут реализацию данного средства контроля труднодостижимым, однако его следует применять как можно шире.
Разделение программных средств разработки и рабочих программ
Работы, связанные с разработкой и тестированием систем, могут привести к непреднамеренному внесению изменений в программы и данные, совместно используемые в одной и той же вычислительной среде. Поэтому целесообразно провести разделение программных средств разработки и рабочих программ для уменьшения риска случайного внесения изменений или несанкционированного доступа к рабочему программному обеспечению и производственным данным. Предлагаются следующие средства контроля:
а) Программные средства разработки и рабочие программы должны по возможности запускаться на разных процессорах или в разных директориях/сегментах сети.
б) Работы по разработке и тестированию систем необходимо разнести настолько, насколько это возможно.
в) Компиляторы, редакторы и другие системные утилиты не должны храниться вместе с рабочими системами, если в этом нет необходимости.
г) Для уменьшения риска путанницы, следует использовать разные процедуры входа в рабочие и тестируемые системы. Необходимо приучать пользователей к использованию разных паролей для входа в эти системы, а система меню должна выводить на экран соответствующие идентификационные сообщения.
Работа со сторонними организациями
Привлечение подрядчика со стороны к администрированию компьютерных систем и вычислительных сетей может привести к дополнительному риску нарушения режима безопасности, например, к возможности компрометации, повреждения или потери данных в организации подрядчика. Необходимо заблаговременно выявить такой риск и включить в контракт надлежащие защитные меры по его уменьшению, согласованные с подрядчиком.
Примечание. Настоящие практические правила являются хорошей отправной точкой для задания, согласования и проверки соблюдения стандартов безопасности.
Следует рассмотреть следующие конкретные вопросы:
а) а. необходимость идентификации особо уязвимых или критически важных приложений, вынос которых за пределы организации нежелателен;
б) необходимость получения санкции на использование производственных приложений от их владельцев;
в) последствия для планов обеспечения бесперебойной работы организации;
г) стандарты безопасности, подлежащие определению, и процесс проверки их соблюдения;
д) обязанности и процедуры по уведомлению об инцидентах в системе безопасности и реагированию на них (Процедуры реагирования на события).
Примечание. Руководство по заключению договоров со сторонними организациями, предусматривающих получение доступа к вычислительным средствам организации, также приведено в Условиях безопасности в контрактах, заключенных со сторонними организациями.
Планирование систем и их приемка
Цель: Свести риск отказов систем к минимуму.
Для обеспечения доступности ресурсов и надлежащей нагрузочной способности систем, требуется заблаговременное планирование и подготовка.
Чтобы уменьшить риск перегрузки систем, необходимо оценить будущие потребности в их нагрузочной способности на основе прогноза. Эксплуатационные требования к новым системам следует определить, задокументировать и проверить до их приемки. Требования к переходу на аварийный режим для сервисов, поддерживающих многочисленные приложения, должны быть согласованы и регулярно пересматриваться.
Планирование нагрузки
Для того чтобы избежать отказов систем вследствие их недостаточной нагрузочной способности, необходимо постоянно следить за их нагрузкой. Для обеспечения надлежащей производительности компьютеров и емкости запоминающих устройств, следует оценить будущие потребности в их нагрузочной способности на основе прогноза. Этот прогноз должен учитывать требования к новым системам, а также текущие и прогнозируемые тенденции использования компьютеров и сетей.
Мэйнфреймы требуют особого внимания вследствие гораздо большей стоимости повышения их производительности и необходимого для этого времени. Администраторы мэйнфреймов должны постоянно следить за использованием ключевых системных ресурсов, включая процессоры, основную оперативную память, файловые запоминающие устройства, принтеры и другие устройства вывода, а также коммуникационные системы. Они должны определить тенденции использования ресурсов, особенно что касается использования производственных приложений или средств управленческой информационной системы.
Администраторы компьютеров и сетей должны использовать эту информацию для выявления возможных «узких мест», которые могут представлять угрозу системе безопасности или пользовательским сервисам, и планирования надлежащих мер по исправлению ситуации.
Приемка систем
Необходимо задать критерии приемки новых систем и провести соответствующие испытания до их приемки. Администраторы компьютеров должны четко определить, согласовать, задокументировать и проверить требования и критерии приемки новых компьютерных систем. Предлагается рассмотреть следующие пункты:
а) требования к производительности и нагрузочной способности компьютеров;
б) подготовка процедур восстановления и перезапуска систем после сбоев, а также планов действий в экстремальных ситуациях;
в) подготовка и тестирование повседневных операционных процедур в соответствии с заданными стандартами;
г) указание на то, что установка новой системы не будет иметь пагубных последствий для функционирующих систем, особенно в моменты пиковой нагрузки на процессоры (например, в конце месяца);
д) подготовка персонала к использованию новых систем.
Для обеспечения эффективной работы предлагаемой системной конфигурации, следует консультироваться по вопросам поддержания ее работоспособности на всех стадиях процесса разработки новых систем. Для подтверждения полного соответствия всем критериям приемки систем, необходимо провести соответствующие испытания.
Планирование перехода на аварийный режим
Аварийное резервное оборудование предоставляет возможность временного продолжения обработки данных в случае повреждения или отказа основного оборудования. Администраторы компьютеров и сетей должны подготовить соответствующий план перехода на аварийный режим для каждого информационного сервиса.
Требования к переходу на аварийный режим для отдельных систем должны быть заданы владельцами производственных приложений исходя из процесса планирования бесперебойной работы организации (см. Процесс планирования бесперебойной работы организации). Поставщики услуг должны согласовать требования к переходу на аварийный режим для коллективно используемых сервисов и составить соответствующий план перехода на него для каждого из них.
Аварийное резервное оборудование и процедуры перехода на аварийный режим необходимо регулярно тестировать.
Управление процессом внесения изменений в рабочие системы
Внесение изменений в информационные системы необходимо контролировать. Недостаточный контроль за внесением изменений в информационные системы является распространенной причиной их отказов и нарушения режима безопасности. Поэтому следует определить формальные управленческие процедуры и обязанности для обеспечения удовлетворительного контроля за внесением всех изменений в оборудование, программы и процедуры. В частности, необходимо рассмотреть следующие пункты:
а) выявление и регистрация существенных изменений;
б) оценка возможных последствий от таких изменений;
в) процедура утверждения предлагаемых изменений;
г) доведение деталей предлагаемый изменений до сведения всех лиц, которых они могут затронуть;
д) процедуры и обязанности по ликвидации неудачных изменений и восстановлению систем после их внесения.
Примечание. Процедуры управления процессом внесения изменений для разработки систем см. также Процедуры управления процессом внесения изменений.
Защита от вредоносного программного обеспечения
Цель: Обеспечить целостность данных и программ
Для предотвращения и выявления случаев внедрения вредоносного программного обеспечения, требуется принятие надлежащих мер предосторожности.
В настоящее время существует целый ряд вредоносных методов, которые позволяют использовать уязвимость компьютерных программ по отношению к их несанкционированной модификации, с такими именами, как «компьютерные вирусы», «сетевые черви», «Троянские кони» и «логические бомбы». Администраторы информационных систем должны быть всегда готовы к опасности проникновения вредоносного программного обеспечения в системы и по необходимости принимать специальные меры по предотвращению или обнаружению его внедрения. В частности крайне важно принять меры предосторожности для предотвращения и обнаружения компьютерных вирусов на персональных компьютерах.
Средства защиты от вирусов
Необходимо реализовать меры по обнаружению и предотвращению проникновения вирусов в системы и процедуры информирования пользователей об их вреде. Пользователям следует напомнить, что предотвращение вирусов лучше, чем ликвидация последствий от их проникновения. В основе защиты от вирусов должны лежать хорошие знания и понимание правил безопасности, надлежащие средства управления доступом к системам и следующие конкретные рекомендации (руководство по управлению доступом к системам приведено в Раздел 7. Управление доступом к системам):
Организация должна определить формальную политику, требующую соблюдение условий лицензий на использование программного обеспечения и запрещающую использование несанкционированных программ (см. Контроль за копированием патентованного программного обеспечения).
Противовирусные программные средства, разработанные поставщиком с хорошей репутацией, следует использовать следующим образом:
программные средства обнаружения конкретных вирусов (которые должны регулярно обновляться и использоваться в соответствии с инструкциями поставщика) следует применять для проверки компьютеров и носителей информации на наличие известных вирусов либо как мера предосторожности, либо как повседневная процедура;
программные средства обнаружения изменений, внесенных в данные, должны быть по необходимости инсталлированы на компьютерах для выявления изменений в выполняемых программах;
программные средства нейтрализации вирусов следует использовать с осторожностью и только в тех случаях, когда характеристики вирусов полностью изучены, а последствия от их нейтрализации предсказуемы;
Необходимо проводить регулярную проверку программ и данных в системах, поддерживающих критически важные производственные процессы. Наличие случайных файлов и несанкционированных исправлений должно быть расследовано с помощью формальных процедур.
Дискеты неизвестного происхождения следует проверять на наличие вирусов до их использования.
Необходимо определить управленческие процедуры и обязанности по уведомлению о случаях поражения систем компьютерными вирусами и принятию мер по ликвидации последствий от их проникновения (см. Реагирование на события, таящие угрозу безопасности и Процедуры реагирования на события). Следует составить надлежащие планы обеспечения бесперебойной работы организации для случаев вирусного заражения, в том числе планы резервного копирования всех необходимых данных и программ и их восстановления (см. Вопросы планирования бесперебойной работы организации).
Примечание. Эти меры особенно важны для сетевых файловых серверов, поддерживающих большое количество рабочих станций.
Обслуживание систем
Цель: Обеспечить целостность и доступность информационных сервисов.
Меры по обслуживанию систем требуются для поддержания целостности и доступности сервисов.
Необходимо определить повседневные процедуры для снятия резервных копий с данных, регистрации событий и сбоев, а также для слежения за средой, в которой функционирует оборудование.
Резервное копирование данных
Резервные копии с критически важных производственных данных и программ должны сниматься регулярно. Для обеспечения возможности восстановления всех критически важных производственных данных и программ после выхода из строя компьютера или отказа носителя информации, необходимо иметь надлежащие средства резервного копирования. Процедуры резервного копирования для отдельных систем должны удовлетворять требованиям планов обеспечения бесперебойной работы организации (см. Вопросы планирования бесперебойной работы организации).
Предлагаются следующие рекомендации:
Минимальную дублирующую информацию вместе с точными и полными записями о резервных копиях следует хранить в удаленном месте на достаточном расстоянии для того, чтобы избежать последствий от аварии на основном рабочем месте. Необходимо создать по крайней мере три поколения резервных копий данных для важных производственных приложений.
Резервные копии должны быть надлежащим образом защищены физически от воздействия окружающей среды (см. Раздел 5. Физическая безопасность и безопасность окружающей среды) в соответствии со стандартами, принятыми на основном рабочем месте. Средства защиты носителей информации, принятые на основном рабочем месте, следует распространить на место хранения резервных копий.
Резервные данные необходимо регулярно тестировать, чтобы быть уверенным, что на них можно будет положиться в случае аварии.
Владельцы данных должны задать период сохранности критически важных производственных данных, а также требования к постоянному хранению архивных копий (см. Защита документации организации).
Журналы регистрации событий
Операторы компьютеров должны вести журнал регистрации всех выполняемых заданий. Этот журнал должен по необходимости включать:
время запуска и останова систем;
подтверждение корректного оперирования с файлами данных и выходной информацией от компьютеров.
подтверждение корректного оперирования с файлами данных и выходной информацией от компьютеров.
Журналы регистрации событий должны регулярно сверяться с операционными процедурами.
Регистрация сбоев
Необходимо извещать о сбоях в работе систем и предпринимать соответствующие корректирующие меры. Зафиксированные пользователями сбои, касающиеся проблем с компьютерными и коммуникационными системами, следует заносить в журнал регистрации. Должны существовать четкие правила обработки зарегистрированных сбоев, включая следующие:
а) анализ журнала регистрации сбоев для обеспечения их удовлетворительного разрешения;
б) анализ корректирующих мер, цель которого состоит в проверке того, не скомпрометированы ли средства управления безопасностью и является ли предпринятая мера санкционированной.
Слежение за окружающей средой
Для определения условий, которые могут неблагоприятно сказаться на работе компьютерного оборудования и для принятия корректирующих мер, необходимо постоянно следить за окружающей средой, в том числе за влажностью, температурой и качеством источников электропитания. Такие процедуры следует реализовывать в соответствии с рекомендациями поставщиков.
Примечание. Слежение за окружающей средой является менее критичным для современных компьютеров, многие из которых способны работать при нормальной температуре и влажности в рабочих помещениях.
Сетевое администрирование
Цель: Обеспечить защиту информации, циркулирующей в сетях, и поддерживающей инфраструктуры.
Управление безопасностью компьютерных сетей, отдельные сегменты которых могут находиться за пределами организации, требует особого внимания.
Возможно также потребуется принятие специальных мер для защиты конфиденциальных данных, передаваемых по общедоступным сетям.
Средства управления безопасностью сетей
Компьютерные сети требуют целый ряд средств управления безопасностью. Сетевые администраторы должны определить надлежащие средства контроля для обеспечения защиты данных, циркулирующих в сетях, и подключенных к ним систем, от несанкционированного доступа. В частности, необходимо рассмотреть следующие пункты:
а) Обязанности по обеспечению работы сетей и компьютеров должны быть по необходимости разделены (см. Разделение обязанностей).
б) Необходимо определить обязанности и процедуры по управлению удаленным оборудованием, в том числе оборудованием на рабочих местах пользователей;
в) Для обеспечения конфиденциальности и целостности данных, передаваемых по общедоступным сетям, и для защиты подключенных к ним систем (см. Управление доступом к сети, Шифрование данных и Аутентификация сообщений), требуется определение специальных средств контроля.
г) Необходимо координировать работы по администрированию компьютеров и сетей как для оптимизации сервиса для производственных нужд, так и для обеспечения согласованной реализации защитных мер для всех информационных сервисов.
Оперирование с носителями информации и их защита
Цель: Предотвратить повреждение информационных ресурсов и перебои в работе организации.
Необходимо контролировать компьютерные носители данных и обеспечить их физическую защиту.
Следует определить надлежащие операционные процедуры для защиты компьютерных носителей информации (магнитные ленты, диски, кассеты), входных/выходных данных и системной документации от повреждения, похищения и несанкционированного доступа.
Управление съемными компьютерными носителями информации
Для управления такими съемными носителями информации, как магнитные ленты, диски, кассеты и распечатки, необходимо иметь соответствующие процедуры. Предлагаются следующие средства контроля в рабочей среде:
а)
Применение системы хранения данных, в которой запрещается использовать описательные метки, т.е. по меткам нельзя определить, какие данные хранятся на запоминающем устройстве.
Стирание предыдущего содержимого повторно используемых носителей информации, которые подлежат удалению из организации, если они больше не нужны.
Получение письменной санкции на удаление всех носителей информации из организации и регистрация всех случаев их удаления в контрольном журнале (см. Защита носителей информации во время транспортировки).
Хранение всех носителей информации в надежной, защищенной среде в соответствии с инструкциями производителей.
Все процедуры и уровни полномочий должны быть четко задокументированы.
Процедуры оперирования c данными
Чтобы защитить конфиденциальные данные от несанкционированного раскрытия или использования, необходимо определить процедуры оперирования с такими данными. Должны быть подготовлены процедуры для безопасного оперирования со всеми носителями входных и выходных конфиденциальных данных, например, документов, телексов, магнитных лент, дисков, отчетов, незаполненных чеков, счетов и др. Предлагается рассмотреть следующие пункты:
а) оперирование с носителями входной и выходной информации и их маркировка;
б) формальная регистрация получателей данных, имеющих соответствующие полномочия;
в) обеспечение полноты входных данных;
г) подтверждение получения переданных данных (по необходимости);
д) предоставление доступа к данных минимальному числу лиц;
е) четкая маркировка всех копий данных для получателя, имеющего соответствующие полномочия;
ж) проверка списков получателей с правом доступа к данным через регулярные промежутки времени.
Примечание. См. также Классификация информации и Защита носителей информации во время транспортировки.
Защита системной документации
Системная документация может содержать конфиденциальную информацию, например, описание прикладных процессов, процедур, структуры данных и процессов подтверждения полномочий. Для защиты системной документации от несанкционированного доступа, необходимо применять следующие средства контроля:
а) Системная документация должна храниться в надежных шкафах под замком.
б) Список лиц с правом доступа к системной документации должен быть максимально ограничен, а разрешение на ее использование должно выдаваться владельцем приложения.
в) Документацию, создаваемую компьютерами, следует хранить отдельно от других файлов приложений, и ей следует присвоить надлежащий уровень защиты доступа.
Удаление носителей данных
Для удаления компьютерных носителей информации, которые больше не нужны, требуются надежные и проверенные процедуры. Конфиденциальная информация может просочиться за пределы организации и попасть в руки лиц, не имеющих соответствующих прав, вследствие небрежного удаления компьютерных носителей данных. Для сведения такого риска к минимуму следует определить четкие процедуры надежного удаления носителей информации. Предлагаются следующие рекомендации:
Носители данных, содержащих конфиденциальную информацию, необходимо надежно удалять, например, посредством их сжигания или измельчения (дробления), или освобождены от данных для использования другими приложениями внутри организации.
Для идентификации носителей данных, которые могут потребовать надежного удаления, предлагается использовать следующий контрольный список:
входная документация, например, телексы;
копировальная бумага;
выходные отчеты;
одноразовые ленты для принтеров;
магнитные ленты;
съемные диски или кассеты;
распечатки программ;
тестовые данные;
системная документация.
Примечание. В некоторых средах возможно будет проще собрать все носители данных и надежно их удалить, чем пытаться выделить из них носители, на которых записана конфиденциальная информация.
Многие организации предлагают услуги по сбору и удалению бумажной документации, оборудования и носителей данных. Следует позаботиться о выборе подходящего подрядчика с соответствующим опытом работы, использующего надлежащие средства контроля безопасности.
Каждый случай удаления носителей конфиденциальной информации необходимо (по возможности) регистрировать в контрольном журнале для будущих справок.
При накоплении информации, подлежащей удалению, следует учитывать эффект аккумуляции, который может привести к тому, что большое количество несекретной информации становится более конфиденциальной, чем малое количество секретной информации.
Обмен данными и программами
Цель: Предотвратить потери, модификацию и несанкционированное использование данных.
Обмены данными и программами между организациями необходимо контролировать.
Такие обмены следует осуществлять на основе формальных соглашений. Должны быть установлены процедуры и стандарты для защиты носителей информации во время их транспортировки. Необходимо учитывать последствия для производственной деятельности и системы безопасности от использования электронного обмена данными и сообщениями электронной почты, а также требования к средствам управления безопасностью.
Соглашения об обмене данными и программами
Между организациями должны быть заключены формальные соглашения об обмене данными и программами (электронном или посредством курьеров), в том числе соглашения о хранении программного обеспечения (по необходимости). Та часть соглашения, которая касается безопасности, должна отражать степень важности производственной информации, участвующей в процессе обмена. В соглашениях должны быть заданы надлежащие условия безопасности, включая следующее:
а) управленческие обязанности по контролю и уведомлению о передаче и получении данных;
б) процедуры уведомления о передаче и получении данных;
в) минимум технических стандартов по упаковке и передаче информации;
г) стандарты по идентификации курьеров;
д) обязанности и обязательства в случае потери данных;
е) права собственности на данные и программы, а также обязанности по защите данных, соблюдении авторских прав на программное обеспечение и т.п. (см. Защита данных);
ж) технические стандарты на запись и чтение данных и программ;
з) специальные меры, требуемые для защиты особо важных данных, таких, как криптографические ключи.
Защита носителей информации во время транспортировки
Компьютерные носители данных могут быть уязвимы по отношению к несанкционированному доступу, использованию и повреждению во время транспортировки. Для защиты компьютерных носителей информации, транспортируемых из одной организации в другую, предлагаются следующие средства контроля:
а) Использование надежных курьеров и транспорт. Согласование списка курьеров, наделенных соответствующими полномочиями, с руководством и реализация процедуры идентификации курьеров.
б) Обеспечение надлежащей защиты содержимого упаковки от возможного физического повреждения во время транспортировки в соответствии с инструкциями производителей.
в) Принятие специальных мер (по необходимости) для защиты конфиденциальной информации от несанкционированного раскрытия или модификации.
Примеры:
а) использование контейнеров закрытого типа;
б) доставка посредством курьеров;
в) упаковка, защищенная от постороннего вмешательства (которая позволяет выявить попытки ее вскрытия);
г) в исключительных случаях разделение груза на несколько частей и их посылка разными маршрутами.
Защита электронного обмена данными
Для защиты электронного обмена данными (ЭОД) следует применять (по необходимости) специальные средства управления безопасностью, поскольку ЭОД с торговыми партнерами уязвим по отношению к несанкционированному перехвату и модификации. Кроме того возможно потребуется подтверждение передачи или получения данных. Необходимо также позаботиться о защите подключенных к сети компьютерных систем от угроз, которые исходят от электронного подключения.
Средства управления безопасностью операций по ЭОД должны быть согласованы с торговыми партнерами и поставщиками дополнительных сетевых услуг. Для обеспечения совместимости с промышленными стандартами, необходимо проконсультироваться со специалистами соответствующей ассоциацией по ЭОД.
Примечание. Руководство по использованию методов шифрования и аутентификации сообщений см. также Шифрование данных и Аутентификация сообщений.
Защита электронной почты
Для уменьшения риска, которому подвергаются производственные процессы и система безопасности, связанного с использованием электронной почты, следует применять (по необходимости) соответствующие средства контроля. Электронная почта все чаще используется для передачи информации между организациями, вытесняя традиционные виды связи, такие, как телексы и письма. Электронная почта отличается от традиционных видов связи, например, скоростью, структурой сообщений, степенью формальности и уязвимостью по отношению к перехвату. Для уменьшения риска, которому подвергаются производственные процессы и система безопасности, связанного с применением электронной почты, необходимо использовать надлежащие средства контроля. Предлагается рассмотреть следующие пункты:
а) уязвимость электронных сообщений по отношению к несанкционированному перехвату и модификации;
б) уязвимость данных, пересылаемых по электронной почте, по отношению к ошибкам, например, неправильная адресация или направление сообщений не по назначению, а также надежность и доступность сервиса в целом;
в) влияние изменения характеристик коммуникационной среды на производственные процессы, например, влияние повышенной скорости передачи данных или изменения системы адресации между организациями и отдельными лицами;
г) правовые соображения, такие, как необходимость проверки источника сообщений и др.;
д) последствия для системы безопасности от раскрытия содержания каталогов;
е) необходимость принятия защитных мер для контроля удаленного доступа пользователей к электронной почте.
Организации должны задать четкие правила, касающиеся статуса и использования электронной почты.
Защита систем электронного офиса
Для контроля риска, которому подвергаются производственные процессы и система безопасности, связанного с использованием систем электронного офиса, требуются четкие правила и рекомендации. Системы электронного офиса предоставляют возможность более быстрого распространения и коллективного использования производственной информации. Следует принять во внимание последствия для производственной деятельности и режима безопасности от использования таких систем. Предлагается рассмотреть следующие пункты:
а) необходимость исключения некоторых категорий конфиденциальной производственной информации, например, секретной информации, в случае, если система безопасности не обеспечивает надлежащий уровень защиты (см. Классификация информации);
б) необходимость определения четких правил и средств контроля для администрирования коллективно используемой информации, например, использование корпоративных электронных досок объявлений (см. Производственные требования к управлению доступом к системам);
в) необходимость ограничения доступа к персональной информации, относящейся к избранным лицам, например, к персоналу, работающему над конфиденциальными проектами;
г) пригодность (или непригодность) системы для поддержания производственных приложений;
д) категории персонала и подрядчиков или торговых партнеров, которым разрешено использовать систему и места, из которых можно получить доступ к ней (см. Безопасность доступа сторонних организаций);
е) необходимость ограничения доступа к избранным системам конкретным категориям пользователей;
ж) необходимость указания статуса пользователей, например, сотрудников организации или подрядчиков, в каталогах к сведению других пользователей;
з) правила, касающиеся периода сохранности и резервного копирования информации, хранимой в системе (см. Защита документации организации и Резервное копирование данных);
и) требования и процедуры перехода на аварийный режим (см. Планирование перехода на аварийный режим).
Раздел 7 Управление доступом к системам
Производственные требования к управлению доступом к системам
Цель: Обеспечить контроль доступа к производственной информации.
Доступ к компьютерным системам и данным необходимо контролировать исходя из производственных требований.
Такой контроль должен учитывать правила распространения информации и разграничения доступа, принятые в организации.
Документированная политика управления доступом к информации
Производственные требования к управлению доступом к системам необходимо определить и задокументировать. Для обеспечения надлежащего уровня контроля доступа к информационным сервисам и данным и его поддержания, следует четко сформулировать производственные требования к управлению доступом к системам для поставщиков услуг.
Каждый владелец производственного приложения должен четко сформулировать политику контроля доступа к данным, которая определяет права доступа каждого пользователя или группы пользователей. Эта политика должна учитывать следующее:
а) требования к безопасности отдельных производственных приложений;
б) правила распространения информации и раграничения доступа.
Примечание. Необходимо также принять во внимание соответствующее законодательство и договорные обязательства, касающиеся защиты доступа к данным и сервисам.
Следует рассмотреть возможность создания стандартных профилей полномочий доступа пользователей для общих категорий работ.
Управление доступом пользователей
Цель: Предотвратить несанкционированный доступ к компьютерным системам.
Для управления процессом предоставления прав доступа к информационным системам требуются формальные процедуры.
Эти процедуры должны включать в себя все стадии жизненного цикла управления доступом пользователей — от начальной регистрации новых пользователей до удаления учетных записей пользователей, которые больше не нуждаются в доступе к информационным сервисам. Особое внимание следует уделить необходимости управления процессом предоставления привилегированных прав доступа, которые позволяют пользователям обойти средства системного контроля.
Регистрация пользователей
Для управления доступом ко всем многопользовательским информационным системам должна существовать формальная процедура регистрации и удаления учетных записей пользователей.
Доступ к многопользовательским информационным системам необходимо контролировать посредством формального процесса регистрации пользователей, который должен, например:
а) проверять, предоставлено ли пользователю разрешение на использование сервиса владельцем системы;
б) проверять, достаточен ли уровень доступа к системе, предоставленного пользователю, для выполнения возложенных на него функций (см. Документированная политика управления доступом к информации) и не противоречит ли он политике безопасности, принятой в организации, например, не компрометирует ли он принцип разделения обязанностей (см. Разделение обязанностей);
в) предоставлять пользователям их права доступа в письменном виде;
г) потребовать от пользователей подписания обязательства, чтобы показать, что они понимают условия доступа;
д) потребовать от поставщиков услуг, чтобы они не предоставляли доступ к системам до тех пор, пока не будут закончены процедуры определения полномочий;
е) вести формальный учет всех зарегистированных лиц, использующих систему;
ж) немедленно изымать права доступа у тех пользователей, которые сменили работу или покинули организацию;
з) периодически проверять и удалять пользовательские идентификаторы и учетные записи, которые больше не требуются;
и) проверять, не выданы ли пользовательские идентификаторы, которые больше не нужны, другим пользователям.
Управление привилегиями
Использование специальных привилегий (см. Инцидент в системе безопасности) следует ограничить и контролировать.
Примечание. Предоставление и использование излишних системных привилегий зачастую оказывается одним из основных факторов, способствующих нарушению режима безопасности систем (уязвимость).
Для многопользовательских систем, требующих защиты от несанкционированного доступа, предоставление привилегий необходимо контролировать посредством формального процесса определения полномочий следующим образом:
а) Идентифицировать привилегии, связанные с каждым программным продуктом, поддерживаемым системой, например, с операционной системой или СУБД, а также категории сотрудников, которым их необходимо предоставить.
б) Предоставить привилегии отдельным лицам только в случае крайней необходимости и в зависимости от ситуации, т.е. только когда они нужны для выполнения ими своих функций.
в) Реализовать процесс определения полномочий и вести учет всех предоставленных привилегий. Не следует предоставлять привилегии до окончания процесса определения полномочий.
г) Содействовать разработке и использованию системных программ, чтобы избежать необходимость предоставления привилегий пользователям.
д) Пользователи, которым предоставлены большие привилегии для специальных целей, должны использовать другой пользовательский идентификатор для обычной работы.
Управление пользовательскими паролями
В настоящее время пароли являются основным средством подтверждения полномочий доступа пользователей к компьютерным системам. Назначение паролей необходимо контролировать посредством формального процесса управления, требования к которому должны быть следующими:
а) Потребовать от пользователей подписания обязательства по хранению персональных паролей и паролей рабочих групп в секрете.
б) В тех случаях, когда пользователи дожны сами выбирать свои пароли, выдать им надежные временные пароли, которые они обязаны немедленно сменить. Временные пароли также выдаются в случае, когда пользователи забывают свои пароли. Временные пароли должны выдаваться только после положительной идентификации пользователя.
в) Передавать временные пароли пользователям надежным способом. Следует избегать передачу паролей через посредников или посредством незащищенных (незашифрованных) сообщений электронной почты. Пользователи должны подтвердить получение паролей.
Существуют другие технологии, например, проверка подлинности подписи, которые следует рассмотреть в том случае, если обеспечение более высокого уровеня безопасности оправдано.
Пересмотр прав доступа пользователей
Для обеспечения эффективного контроля за доступом к данным и информационным системам руководство должно реализовывать формальный процесс пересмотра прав доступа пользователей через регулярные промежутки времени. Такой процесс должен обеспечивать следующее:
а) пересмотр полномочий доступа пользователей через регулярные промежутки времени; рекомендуется период в 6 месяцев;
б) пересмотр разрешения на предоставление специальных привилегированных прав доступа через более короткие промежутки времени; рекомендуется период в 3 месяца;
в) проверка предоставленных привелигий через регулярные промежутки времени, чтобы не допустить получения пользователями несанкционированных привилегий.
Обязанности пользователей
Цель: Предотвратить несанкционированный доступ пользователей.
Крайне важным условием поддержания надлежащего режима безопасности является участие и помощь зарегистрированных пользователей.
Пользователи должны знать свои обязанности по обеспечению эффективного контроля доступа, особенно что касается использования паролей и защиты пользовательского оборудования.
Использование паролей
Пользователи должны следовать установленным процедурам поддержания режима безопасности при выборе и использовании паролей.
Пароли являются основным средством подтверждения полномочий доступа пользователей к компьютерным системам. Предлагаются следующие рекомендации по выбору и использованию паролей:
а) Назначать индивидуальные пароли для обеспечения подотчетности.
б) Хранить пароли в секрете.
в) Не записывать пароли на бумаге, если не представляется возможным ее хранение в защищенном месте.
г) Изменять пароли всякий раз, когда есть указания на возможную компрометацию систем или паролей.
д) Выбирать пароли, содержащие не менее шести символов.
е) При выборе паролей не следует использовать:
месяцы года, дни недели и т.п.;
фамилии, инициалы и регистационные номера автомобилей;
названия и идентификаторы организаций;
номера телефонов или группы символов, состоящие из одних цифр;
пользовательские идентификаторы и имена, а также идентификаторы групп и другие системные идентификаторы;
более двух одинаковых символов, следующих друг за другом;
группы символов, состоящие из одних букв.
ж) Изменять пароли через регулярные промежутки времени (приблизительно через 30 суток) и избегать повторное или «циклическое» использование старых паролей.
з) Чаще изменять пароли для привилегированных системных ресурсов, например, пароли доступа к определенным системным утилитам.
и) Изменять временные пароли при первом входе в системы.
и) Не включать пароли в сценарии автоматического входа в системы, например, в макросы или функциональные клавиши.
Если пользователям необходим доступ ко многим сервисам и платформам и от них требуется поддержание нескольких паролей, то им следует рекомендовать использовать один единственный надежный пароль (см. Система управления паролями) для входа во все системы, которые обеспечивают минимальный уровень защиты для хранения паролей.
Примечание 1. Рекомендуемый уровень защиты — использование алгоритма одностороннего шифрования пользовательских паролей.
Примечание 2. Руководство по разработке и выбору систем управления паролями см. также Система управления паролями.
Пользовательское оборудование, оставленное без присмотра
Пользователи должны обеспечить надлежащую защиту оборудования, оставленного без присмотра. Оборудование, установленное на рабочих местах пользователей, например, рабочие станции и файловые серверы, может потребовать специальной защиты от несанкционированного доступа в тех случаях, когда оно оставляется без присмотра на продолжительное время. Все пользователи и подрядчики должны знать требования к безопасности и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты. Предлагаются следующие рекомендации:
а) Завершить активные сеансы связи по окончанию работы, если их нельзя защитить посредством соответствующей блокировки.
б) Выйти из мэйнфреймов по окончании сеанса связи. Не ограничиваться только выключением ПК или терминала.
в) Защитить ПК или терминалы, которые не используются, с помощью блокировки с ключом или эквивалентного средства контроля, например, доступом по паролю.
Управление доступом к сети
Цель: Обеспечить защиту систем, объединенных в сеть.
Подключения к системам, объединенным в сеть, следует контролировать.
Это необходимо для того, чтобы подключенные пользователи и компьютерные системы не нарушали зашиту других сетевых сервисов. Средства контроля должны включать в себя следующее:
а) а. соответствующие интерфейсы между сетевыми сервисами;
б) надлежащие механизмы аутентификации удаленных пользователей и оборудования;
в) контроль доступа пользователей к информационным системам.
Предоставление ограниченных услуг
Доступ к сети и компьютерным системам, осуществляемый пользователем с конкретного терминала, должен предоставляться в соответствии с политикой управления доступом, принятой в организации (см. Документированная политика управления доступом к информации). В частности, пользователям следует предоставить только прямой доступ к сервисам, использование которых им разрешено.
Примечание. Данное средство контроля является особенно важным для сетевых подключений к конфиденциальным или критически важным производственным приложениям, а также для пользователей в зонах повышенного риска, например, в общедоступных местах или местах, находящихся вне пределов досягаемости администраторов безопасности организации.
Принудительная маршрутизация
В ряде случаев путь от пользовательского терминала к компьютерной системе необходимо контролировать. Современные сети предоставляют максимальные возможности для коллективного использования ресурсов и гибкость маршрутизации. Эти особенности также дают возможность несанкционированного доступа к производственным приложениям или незаконного использования информационных систем. Такой риск можно уменьшить, привлекая средства контроля для ограничения маршрута между пользовательским терминалом и компьютерными системами, доступ к которым пользователю разрешен, т.е. создавая принудительный маршрут.
Цель такой принудительной маршрутизации — предотвратить нежелательное «отклонение» пользователей от маршрута между пользовательским терминалом и системами, доступ к которым пользователю разрешен. Для этого обычно требуется реализация ряда средств контроля в нескольких точках пути. Принцип состоит в том, чтобы ограничить возможности выбора маршрута в каждой точке сети посредством предопределенных вариантов.
Примерами такого ограничения пути являются:
а) предоставление выделенных линий связи или телефонных номеров;
б) автоматическое подключение портов к определенным прикладным системам или шлюзам безопасности;
в) ограничение возможностей выбора маршрута с помощью системы меню и подменю для отдельных пользователей;
г) предотвращение неограниченного «блуждания» по сети.
В основе требований к принудительной маршрутизации должна лежать политика управления доступом, принятая в организации (см. Документированная политика управления доступом к информации).
Аутентификация пользователей
Несанкционированный доступ к производственным приложениям может быть осуществлен посредством внешнего подключения к компьютерам организации через общедоступные сети или сети, не принадлежащие организации. Поэтому необходима аутентификация подключений, осуществляемых удаленными пользователями через общедоступные (или не принадлежащие организации) сети.
Аутентификация может выполняться на уровне компьютера, поддерживающего приложение, или на сетевом уровне. Для определения необходимого уровня аутентификации, возможно потребуется оценка рисков и непосредственного ущерба от реализации угроз для организации.
Как на сетевом уровне, так и на уровне компьютера аутентификацию удаленных пользователей можно осуществлять с помощью, например, систем оперативного реагирования на проблемы и шифрования линии связи. Использование выделенных частных линий связи или средства проверки сетевых адресов пользователей также дает уверенность в источнике подключений.
Аутентификация узлов сети
Несанкционированный доступ к производственному приложению может быть осуществлен посредством автоматического подключения удаленного компьютера, поэтому необходимо аутентифицировать подключения удаленных компьютерных систем. Это особенно важно если подключение осуществляется через открытую сеть, находящуюся вне пределов досягаемости администраторов безопасности организации.
Аутентификацию можно выполнять на уровне компьютера, поддерживающего приложение, или на сетевом уровне. Для определения требований к аутентификации удаленных систем, возможно потребуется оценка рисков и непосредственного ущерба от реализации угроз для организации. На сетевом уровне аутентификация удаленной системы может быть осуществлена посредством аутентификации узлов сети с помощью, например, систем оперативного реагирования на проблемы или шифрования линии связи. Использование выделенных частных линий связи или средств проверки сетевых адресов пользователей также дает уверенность в источнике подключений.
Примечание. Аутентификация узлов сети может также служить в качестве альтернативного, менее дорогостоящего средства аутентификации групп удаленных пользователей в случае, когда они подключены к защищенной, совместно используемой компьютерной системе (см. Аутентификация пользователей).
Защита удаленного диагностического порта
Доступ к диагностическим портам необходимо контролировать.
Многие компьютеры оснащены портами для диагностики удаленного, коммутируемого подключения, используемые специалистами по техническому обслуживанию. Если такие диагностические порты не защищены, то их можно использовать для несанкционированного доступа. Поэтому их следует защитить с помощью надлежащих механизмов безопасности, например, посредством блокировки с ключом, и процедуры, которая гарантирует, что эти порты становятся доступными только после получения санкции от администратора компьютерной системы на доступ специалистов по техническому обслуживанию программно-аппаратного обеспечения.
Сегментация сетей
В ряде случаев может возникнуть необходимость в разбиении крупных сетей на отдельные сегменты.
По мере формирования деловых партнерских отношений, которые могут потребовать объединение и коллективное использование компьютеров и сетевых сервисов, вычислительные сети все больше и больше выходят за пределы традиционных границ организации. Такое расширение границ может увеличить риск несанкционированного доступа к функционирующим компьютерным системам, подключенным к сети, некоторые из которых могут потребовать защиты от других пользователей сети вследствие их уязвимости или важности для организации. В таких случаях необходимо рассмотреть возможность привлечения средств контроля для разделения групп пользователей и компьютеров.
Один из методов управления безопасностью крупных сетей состоит в их разбиении на несколько логических сегментов, каждый из которых защищен межсетевым экраном в пределах заданного периметра безопасности. Тогда доступ к сегментам сети можно контролировать с помощью шлюзов безопасности, привлекая надлежащие средства контроля маршрута и подключения (см. Контроль сетевых подключений и Управление сетевой маршрутизацией).
В основе критериев разбиения сетей на сегменты должна лежать политика управления доступом, принятая в организации и соответствующие требования (см. Производственные требования к управлению доступом к системам). Кроме того, эти критерии должны учитывать относительную стоимость и последствия от внедрения подходящей технологии сетевой маршрутизации и шлюзов для производительности систем (см. Контроль сетевых подключений и Управление сетевой маршрутизацией).
Примечание. Каждый сегмент сети может иметь свою собственную политику безопасности и администраторов безопасности.
Контроль сетевых подключений
Для удовлетворения требований политики управления доступом к определенным производственным приложениям, коллективно используемые сети, особенно те из них, которые выходят за пределы границ организации, могут потребовать реализации средств контроля для ограничения возможности подключения пользователей. Такой контроль может быть осуществлен посредством межсетевых шлюзов, которые фильтруют передаваемые по сети данные с помощью предопределенных таблиц и правил. В основе ограничений на подключение пользователей должна лежать политика управления доступом к производственным приложениям (см. Производственные требования по управлению доступом к системам).
Примерами таких ограничений являются:
пересылка только электронной почты;
односторонняя передача файлов;
двухсторонняя передача файлов;
интерактивный доступ;
доступ к сети только в определенное время суток или в определенную дату.
Управление сетевой маршрутизацией
Совместно используемые сети, особенно те из них, которые выходят за пределы границ организации, могут потребовать привлечения средств контроля маршрутизации для подключения компьютерных систем и информационные потоки не нарушали политику управления доступом к производственным приложениям (см. Производственные требования к управлению доступом к системам).
Примечание. Это средство контроля особенно важно для сетей, доступ к которым имеют сторонние (не принадлежащие организации) пользователи.
Средства управления маршрутизацией должны быть основаны на механизмах проверки адреса источника данных и назначения. Такие средства можно реализовать на программном или аппаратном уровне. Те, кто реализует средства контроля должны хорошо знать сильные стороны используемых механизмов.
Защита сетевых сервисов
Существует целый ряд общедоступных и коммерческих сетевых сервисов, некоторые из которых предлагают дополнительные услуги. Сетевые сервисы могут иметь уникальные (возможно сложные) защитные характеристики. Организации, пользующиеся сетевыми сервисами, должны потребовать от своих поставщиков сетевых услуг четкого описания атрибутов безопасности всех используемых сервисов и определить последствия от нарушения режима безопасности для конфиденциальности, целостности, и доступности (см. Информационная безопасность) производственных приложений.
Управление доступом к компьютерам
Цель: Предотвратить несанкционированный доступ к компьютерам.
Доступ к компьютерным системам необходимо контролировать.
Такой доступ следует предоставлять только зарегистрированным пользователям. Компьютерные системы, обслуживающие многих пользователей, должны быть способны делать следующее:
а) идентифицировать и проверять подлинность личности пользователей, а также по необходимости терминал или местонахождение каждого зарегистрированного пользователя;
б) фиксировать случаи успешного и безуспешного доступа к системам;
в) предоставить систему управления паролями, которая обеспечивает выбор надежных паролей;
г) по необходимости ограничить время подключения пользователей.
Существуют также более мощные и дорогостоящие системы управления доступом, такие, как системы оперативного реагирования на проблемы. Использование таких систем оправдано в случае высокого риска нарушения режима безопасности организации.
Автоматическая идентификация терминалов
Для аутентификации подключений к конкретным узлам сети следует рассмотреть возможность автоматической идентификации терминалов. Автоматическая идентификация терминалов — это средство, которое можно использовать для тех приложений, для которых важно, чтобы сеанс связи можно было инициировать только с конкретного терминала. Идентификатор, присвоенный терминалу, можно использовать для указания того, разрешено ли конкретному терминалу инициировать сеанс связи или производить определенные действия. Для обеспечения безопасности терминального идентификатора, возможно потребуется физическая защита терминала.
Примечание. Существует также ряд других методов аутентификации пользователей (см. Аутентификация пользователей).
Процедуры входа в систему с терминала
Доступ к информационным сервисам следует осуществлять с помощью надежной процедуры входа в системы.
Процедура входа в компьютерную систему (logon) должна сводить риск несанкционированного доступа к минимуму, поэтому она должна давать минимум информации о системе, чтобы избежать оказания излишней помощи незарегистрированному пользователю. Хорошая процедура входа в систему должна выполнять следующие функции:
а) не выводить на экран идентификаторы системы или приложения до тех пор, пока не завершится процесс входа в систему;
б) выводить на экран общее предупреждение о том, что только зарегистрированные пользователи имеют право доступа к компьютеру;
в) не предоставлять справочную информацию во время выполнения процедуры входа в систему, которая могла бы оказать помощь незарегистрированному пользователю;
г) проверять достоверность регистрационной информации только по завершении ввода всех данных. При возникновении сбойной ситуации система не должна указывать, какая часть введенных данных правильная или неправильная;
д) ограничить разрешаемое количество неудавшихся попыток входа в систему (рекомендуется три попытки), прежде чем принять меры:
по регистрации неудавшейся попытки;
по принудительному введению временной задержки между дальнейшими попытками входа в систему;
по разрыву канала связи;
е) разорвать канал связи и не давать справочную информацию после отвергнутой попытки входа в систему;
ж) задать минимальную и максимальную продолжительность процедуры входа в систему. При ее привышении система должна прервать процедуру входа;
з) выводить на экран следующую информацию по завершении успешного входа в систему:
дату и время предыдущей успешной попытки входа в систему;
подробности о неудавшихся попытках входа в систему, предпринятых с момента последнего успешного входа в нее.
Идентификаторы пользователей
Для отслеживания действий отдельных лиц, всем пользователям необходимо присвоить уникальные персональные идентификаторы. Пользовательские идентификаторы не должны указывать на уровень привилегий пользователя (см. Управление привилегиями), например, администратор, наблюдатель и т.п.
В исключительных ситуациях, в случае явных преимуществ для организации, можно использовать общий пользовательский идентификатор для группы пользователей или конкретного задания. Такие случаи должны быть утверждены руководством и задокументированы. Для обеспечения подотчетности могут потребоваться дополнительные средства контроля.
Система управления паролями
Для аутентификации пользователей необходимо использовать эффективную систему управления паролями. Пароли являются основным средством подтверждения полномочий доступа пользователя к компьютерной системе. Системы управления паролями должны предоставлять эффективное, интерактивное средство обеспечения надежных паролей (Руководство по использованию паролей приведено в 7.3.1).
Примечание. Некоторые приложения требуют назначения пользовательских паролей независимым лицом, наделенным соответствующими полномочиями. В большинстве случаев пароли выбираются и поддерживаются самими пользователями.
Хорошая система управления паролями должна:
а) по необходимости принуждать пользователей к применению индивидуальных паролей для обеспечения подотчетности;
б) по необходимости позволять пользователям выбирать и изменять свои собственные пароли, а также включать процедуру их подтверждения, чтобы избежать ошибок при их наборе;
в)
задать минимальное количество символов в паролях;
Примечание. Рекомендуется шесть символов.
г)
принуждать пользователей к изменению паролей через регулярные промежутки времени в тех случаях, когда они сами поддерживают свои пароли;
Примечание. Рекомендуется интервал в несколько дней по умолчанию.
д) по необходимости принуждать привилегированных пользователей, например тех, кто имеет доступ к системным утилитам, к более частому изменению паролей;
е) заставлять пользователей изменять временные пароли при первом входе в систему в тех случаях, когда они сами выбирают свои пароли (см. Управление пользовательскими паролями);
ж) вести учет предыдущих пользовательских паролей, например, за последние 12 месяцев и предотвращать их повторное использование пользователями;
з) не выводить пароли на экран при их наборе на клавиатуре;
и) хранить файлы паролей отдельно от основных данных прикладной системы;
и) хранить пароли в зашифрованном виде, использовать односторонний алгоритм шифрования;
к) изменять пароли, заданные поставщиком программного обеспечения по умолчанию, после его инсталляции;
л) в идеале проверять, выбрал ли пользователь надежный пароль, например, посредством проверки, не основан ли пароль на следующих данных:
месяцы года, дни недели и т.п.;
названия и идентификаторы организаций;
пользовательские идентификаторы, имена пользователей, идентификаторы групп и другие системные идентификаторы;
более чем два одинаковых символа, следующие друг за другом;
группы символов, состоящие из одних цифр или одних букв.
Сигнал тревоги, предупреждающий о принуждении, для защиты пользователей
Необходимо рассмотреть возможность использования сигнала тревоги, предупреждающий о принуждении, для тех пользователей, которые могут быть мишенью для принуждения (см. Сигнал тревоги, предупреждающий о принуждении).
Решение о том, использовать ли такой сигнал тревоги или нет, следует принимать исходя из оценки рисков. Для реагирования на сигнал тривоги необходимо определить обязанности и процедуры.
Время простоя терминалов
Для бездействующих терминалов в зонах повышенного риска, например, в общедоступных местах или местах, находящихся вне пределов досягаемости администраторов безопасности организации, или обслуживающих системы повышенного риска, необходимо установить время простоя для предотвращения доступа незарегистрированных пользователей. Средство установления времени простоя должно очищать экран терминала и завершать сеансы связи с приложениями и сетевыми сервисами после заданного периода бездействия. Время простоя должно задаваться исходя из риска нарушения режима безопасности пользовательского терминала.
Примечание. Некоторые ПК можно обеспечить средством установления времени простоя терминала, которое позволяет очистить экран и предотвратить несанкционированный доступ, однако оно не позволяет завершить сеанс связи с приложениями и сетевыми сервисами.
Ограничение времени подключения
Дополнительную защиту приложений повышенного риска можно обеспечить посредством ограничения времени подключения. Ограничение разрешаемого периода подключения терминала к компьютерным системам позволяет уменьшить вероятность несанкционированного доступа. Применение такого средства контроля следует рассмотреть для компьютерных систем, поддерживающих конфиденциальные приложения, особенно для систем с терминалами, установленными в зонах повышенного риска, например, в общедоступных местах или местах, находящихся вне пределов досягаемости администраторов безопасности организации. Примерами таких ограничений являются:
а) использование предопределенных интервалов времени разрешенного доступа, например, для пакетной передачи файлов, или регулярных интерактивных сеансов связи небольшой продолжительности;
б) ограничение времени подключения обычными часами работы организации, если не требуется работа в сверхурочное время.
Управление доступом к приложениям
Цель: Предотвратить несанкционированный доступ к информации, хранимой в компьютерных системах.
Для управления доступом к прикладным системам и данным, необходимо использовать логические средства контроля доступа.
Логический доступ к компьютерным программам и данным следует предоставлять только зарегистрированным пользователям. Прикладные системы должны:
а) контролировать доступ пользователей к данным и приложениям в соответствии с политикой управления доступом, принятой в организации;
б) обеспечивать защиту программ-утилит, которые способны обойти средства контроля систем и приложений от несанкционированного доступа;
в) не нарушать защиту других систем, с которыми они разделяют информационные ресурсы.
Ограничение доступа к информации
Пользователям прикладных систем, в том числе обслуживающему персоналу следует предоставлять доступ к данным и приложениям в соответствии с политикой управления доступом к информации (см. Документированная политика управления доступом к информации), принятой в организации, исходя из индивидуальных потребностей в производственных приложениях. Чтобы удовлетворить требования политики управления доступом, необходимо рассмотреть следующие средства контроля:
а) предоставление системы меню для контроля доступа к приложениям;
б) ограничение знания пользователями данных и функций прикладных систем, доступ к которым им не разрешен, посредством соответствующего редактирования пользовательской документации;
в) контроль полномочий доступа пользователей, например, прав на чтение, запись, удаление, выполнение;
г) гарантирование того, что выходные данные от прикладных систем, поддерживающих конфиденциальную информацию, содержат только необходимые данные и посылаются только на терминалы и компьютеры, доступ к которым разрешен, включая периодический анализ таких выходных данных для обеспечения удаления ненужной информации.
Использование системных утилит
Большинство компьютерных систем поддерживают одну или несколько системных программ-утилит, которые способны обойти средства контроля системы и приложений. Необходимо ограничить и тщательно контролировать использование таких системных утилит. Предлагается использовать следующие средства контроля (по возможности):
а) защита системных утилит с помощью паролей;
б) изоляция системных утилит от прикладного программного обеспечения;
в) предоставление доступа к системным утилитам минимальному числу надежных, зарегистрированных пользователей;
г) предоставление разрешения на специальное использование системных утилит;
д) ограничение доступности системных утилит, например, временем внесения санкционированного изменения;
е) регистрация всех случаев использования системных утилит;
ж) определение и документирование уровней полномочий доступа к системным утилитам;
з) удаление всех ненужных утилит и системных программ.
Управление доступом к библиотекам исходных текстов программ
Для сведения риска повреждения компьютерных программ к минимуму, необходимо осуществлять жесткий контроль за доступом к библиотекам исходных текстов программ (см. также Средства защиты от вирусов):
а) Не следует хранить библиотеки исходных текстов программ в рабочих системах (по возможности).
б) Необходимо назначить библиотекаря программ для каждого приложения.
в) Обслуживающий персонал не должен иметь неограниченный доступ к библиотекам исходных текстов программ.
г) Не следует хранить разрабатываемые или сопровождаемые программы в рабочих библиотеках исходных текстов программ.
д) Обновление библиотек исходных текстов программ и выдача текстов программ программистам должны производиться только назначенным библиотекарем после получения санкции на доступ к приложению от руководителя обслуживающего персонала.
е) Распечатки программ следует хранить в защищенном месте (см. Защита системной документации).
ж) Необходимо фиксировать все случаи доступа к библиотекам исходных текстов программ в контрольном журнале.
з) Устаревшие версии исходных текстов программ следует архивировать с четким указанием точной даты и времени их использования вместе со всем вспомогательным программным обеспечением и информацией об управлении выполнением заданий, определением данных и процедур.
и) Сопровождение и копирование библиотек исходных текстов программ необходимо осуществлять в соответствии со строгими процедурами управления процессом внесения изменений (см. Процедуры управления процессом внесения изменений).
Изоляция уязвимых систем
Уязвимые системы могут потребовать выделенную (изолированную) вычислительную среду. Некоторые прикладные системы настолько уязвимы по отношению к возможной потере данных, что требуют специального обращения.
Уязвимость может указывать на необходимость запуска приложения на выделенном компьютере или разделения ресурсов только с надежными прикладными системами. Приложение также может не иметь никаких ограничений. Предлагаются следующие рекомендации:
а) Уязвимость прикладной системы должна быть явно определена ее владельцем и задокументирована (см. Распределение обязанностей по обеспечению информационной безопасности).
б) В случае, когда уязвимое приложение запускается в коллективно используемой среде, необходимо идентифицировать прикладные системы, с которыми оно будет разделять ресурсы, и согласовать их использование с владельцем этого приложения.
Слежение за доступом к системам и их использованием
Цель: Выявить несанкционированные действия.
Для обеспечения соответствия политике управления доступом и стандартам необходимо следить за системами.
Это необходимо для того, чтобы определить эффективность принятых мер и обеспечить соответствие модели политики управления доступом (см. Документированная политика управления доступом к информации).
Регистрация событий
Все чрезвычайные ситуации и события, связанные с нарушением режима безопасности, необходимо регистрировать в контрольном журнале. Записи в таком журнале следует хранить в течение заданного промежутка времени для оказания помощи в будущих расследованиях и осуществлении контроля за доступом. Кроме отвергнутых попыток входа в системы, целесообразно также регистрировать случаи успешного доступа к ним. Контрольный журнал должен включать следующие данные:
идентификаторы пользователей;
дата и время входа и выхода из системы;
идентификатор или местонахождение терминала (по возможности).
Слежение за использованием систем
Необходимо установить процедуры слежения за использованием систем.
Такие процедуры требуются для обеспечения выполнения пользователями только явно разрешенных процессов. Уровень контроля, требуемый для отдельных систем, следует определить с помощью независимой оценки рисков. Необходимо рассмотреть следующие пункты:
неудачные попытки доступа к системам;
анализ сеанса входа в систему на предмет выявления несанкционированного использования или восстановленных пользовательских идентификаторов;
выделение и использование ресурсов с привилегированным доступом;
отслеживание отдельных действий;
использование конфиденциальных ресурсов.
Все действия, связанные со слежением за системами, должны быть формально разрешены руководством.
Синхронизация системных часов
Для обеспечения точности контрольных журналов, которые могут потребоваться для расследований или в качестве свидетельства во время судебных разбирательств и при наложении дисциплинарных взысканий, важно правильно установить системные часы компьютеров. Неточные контрольные журналы могут помешать таким расследованиям и подорвать доверие к такому свидетельству.
В тех случаях, когда компьютер или коммуникационное устройство поддерживает часы реального времени, необходимо их установить в соответствии с принятым стандартом, например, на Гринвичское среднее время или местное стандартное время. Поскольку некоторые часы, как известно, уходят со временем, необходимо иметь процедуру их проверки и коррекции в случае значительного ухода.
Раздел 8 Разработка и сопровождение информационных систем
Требования к безопасности систем
Цель: Обеспечить встроенность средств защиты в информационные системы.
Требования к безопасности должны быть определены и согласованы до разработки информационных систем.
Средства защиты оказываются значительно более дешевыми и эффективными, если их встроить в прикладные системы на стадиях задания требований и проектирования. Все требования к безопасности, включая необходимость перехода на аварийный режим для продолжения обработки информации, следует определить на стадии задания требований к проекту, а также обосновать, согласовать и задокументировать их в рамках общего плана работ по созданию информационной системы.
Анализ и задание требований к безопасности
Анализ требований к безопасности следует проводить на стадии анализа требований к каждому проекту разработки систем. При формулировании производственных требований к новым системам или модернизации существующих систем, необходимо задать требования к средствам управления безопасностью. Такие требования обычно сосредоточены на автоматических средствах контроля, встраивыемых в системы, однако следует также рассмотреть необходимость использования вспомагательных «ручных» средств управления безопасностью. Эти соображения следует также принять во внимание при качественной оценке пакетов программ для производственных приложений.
Требования к безопасности и средства управления ею должны отражать ценность информационных ресурсов для организации, а также возможные последствия от нарушения режима безопасности или отсутствия средств защиты для производственных процессов.
Основу анализа требований к безопасности составляют:
рассмотрение необходимости обеспечения конфиденциальности, целостности и доступности информационных ресурсов (см. Введение);
определение возможностей использования различных средств контроля для предотвращения и выявления случаев нарушения защиты, а также восстановления работоспособности систем после их выхода из строя и инцидентов в системе безопасности.
В частности, при проведении такого анализа следует рассмотреть необходимость:
а) управления доступом к информации и сервисам, включая требования к разделению обязянностей и ресурсов (см. Разделение обязанностей, Разделение программных средств разработки и рабочих программ и Раздел 7. Управление доступом к системам);
б) регистрации значительных событий в контрольном журнале для целей повседневного контроля или специальных расследований, в том числе как свидетельство при проведении переговоров с подрядчиками и другими лицами (см. Регистрация событий);
в) проверки и обеспечения целостности жизненно важных данных на всех или избранных стадиях их обработки (см. Проверка достоверности внутренней обработки данных и Аутентификация сообщений);
г) защиты конфиденциальных данных от несанкционированного раскрытия, в том числе возможное использование средств шифрования данных в специальных случаях (см. Шифрование данных);
д) выполнения требований инструкций и действующего законодательства, а также договорных требований, в том числе составление специальных отчетов для удовлетворения определенных правовых требований (см. Выполнение правовых требований);
е) снятия резервных копий с критически важных производственных данных (см. Резервное копирование данных);
ж)
восстановления систем после их отказов, особенно для систем с повышенными требованиями к доступности;
Примечание. Процедуры перехода на аварийный режим следует определить на стадии задания требований (см. Вопросы планирования бесперебойной работы организации).
з) защиты систем от внесения несанкционированных дополнений и изменений (см. Средства защиты от вирусов и Раздел 7. Управление доступом к системам);
и) предоставления возможности безопасного управления системами и их использования сотрудникам, не являющимся специалистами (но имеющих надлежащую подготовку) (см. Обучение пользователей);
и) обеспечения соответствия систем требованиям аудиторов, например, посредством использования таких средств, как встроенные программы-утилиты для выборочного контроля и независимое программное обеспечение для повторения критически важных вычислений.
Средства управления безопасностью, встроенные в компьютерные системы, могут быть скомпрометированы, если обслуживающий их персонал и пользователи не будут их знать. Поэтому необходимо явно определить эти средства контроля в соответствующей документации.
Примечание. Руководство возможно захочет воспользоваться независимо оцененными и сертифицированными программными продуктами, если это потребуется для уменьшения риска нарушения режима безопасности и удовлетворения производственных требований организации.
Безопасность в прикладных системах
Цель: Предотвратить потерю, модификацию и несанкционированное использование пользовательских данных в прикладных системах.
При проектировании прикладных систем необходимо встроить в них надлежащие средства управления безопасностью, в том числе средства регистрации событий в контрольном журнале.
Проектирование и эксплуатация систем должны соответствовать общепринятым промышленным стандартам обеспечения надежной защиты, определенным в настоящих практических правилах.
Примечание. Следует также принять во внимание соответствующее законодательство и договорные обязательства.
Системы, которые поддерживают или оказывают влияние на исключительно уязвимые, ценные или критически важные информационные ресурсы организации, могут потребовать принятия дополнительных мер противодействия. Такие меры следует определить исходя из рекомендаций специалиста по безопасности с учетом идентифицированных угроз нарушения защиты и возможных последствий от их реализации для организации.
Проверка достоверности входных данных
Чтобы обеспечить правильный ввод данных в прикладные системы необходимо проверять их на достоверность. Предлагаются следующие средства контроля:
а) проверки с целью выявления следующих ошибок:
величины, выходящие за заданные пределы;
неправильные символы в полях данных;
пропущенные или неполные данные;
превышенные верхние и нижние пределы на объем вводимых данных;
несанкционированные или противоречивые управляющие данные;
б) периодический анализ содержания ключевых полей или файлов данных для подтверждения их достоверности и целостности;
в) осмотр печатной входной документации на предмет внесения несанкционированных изменений во входные данные (необходимо получить разрешение на внесение всех изменений во входные документы);
г) процедуры реагирования на ошибки, связанные с проверкой достоверности входных данных;
д) определение обязанностей всех сотрудников, участвующих в процессе ввода данных.
Проверка достоверности внутренней обработки данных
Данные, которые были правильно введены в прикладную систему, могут быть повреждены в результате ошибок обработки или преднамеренных действий. Чтобы выявить такие случаи повреждения данных, необходимо встроить средства проверки в системы. Требуемые для этого средства контроля определяются характером приложения и последствиями от повреждения данных для организации.
Примерами средств проверки, которые можно встроить в системы, являются:
а) контроль сеанса связи и пакетной обработки для согласования файлов данных о платежном балансе после проведения операций с ними;
б) контроль платежного баланса для сверки начального сальдо с предыдущим конечным сальдо:
контроль за выполнением операций;
подведение итогов по обновлению файлов;
контроль за выполнением программ;
в) проверка достоверности данных, сгенерированных системой (см. Проверка достоверности входных данных);
г) проверка целостности данных и программ, пересылаемых между центральным и удаленными компьютерами (см. Аутентификация сообщений);
д) подведение итогов по обновлению файлов.
Шифрование данных
Для конфиденциальных данных, требующих особой защиты, необходимо рассмотреть возможность их шифрования. Шифрование - это процесс преобразования информации в зашифрованный текст для обеспечения ее конфиденциальности и целостности во время передачи или при хранении. В этом процессе используется алгоритм шифрования и информация о секретном ключе, которая известна только зарегистрированным пользователям. Уровень защищенности, обеспечиваемый процессом шифрования, зависит от качества алгоритма и секретности ключа.
Шифрование может потребоваться для защиты конфиденциальной информации, которая уязвима по отношению к несанкционированному доступу, как во время ее передачи, так и при хранении. Для определения необходимости шифрования данных и требуемого уровня защищенности необходимо провести оценку риска нарушения режима безопасности. Чтобы выбрать подходящие программные продукты с надлежащим уровнем защищенности и разработать надежную систему управления ключами, следует обратиться за советом к специалистам.
Примечание. Отнесение техники шифрования к «стратегическому сырью» зачастую приводит к жесткому государственному контролю над экспортом, импортом, использованием и передачей программных продуктов, поддерживающих функцию шифрования.
Аутентификация сообщений
Аутентификация сообщений — это метод, используемый для выявления несанкционированных изменений, внесенных в передаваемые электронные сообщения, или их повреждения. Его можно реализовать на аппаратном или программном уровне с помощью физического устройства аутентификации сообщений или программного алгоритма.
Возможность аутентификации сообщений следует рассмотреть для тех приложений, для которых жизненно важным является обеспечение целостности сообщений, например, электронные передачи информации о денежных средствах или другие электронные обмены данными. Для определения необходимости аутентификации сообщений и выбора наиболее подходящего метода ее реализации необходимо провести оценку риска нарушения режима безопасности.
Аутентификация сообщений не предназначена для защиты содержания сообщений от перехвата. Для этих целей подходит шифрование данных, которое можно также использовать для аутентификации сообщений.
Примечание. Электронная подпись — это специальный вид аутентификации сообщений, обычно основанный на методах шифрования с открытым ключом, который обеспечивает аутентификацию отправителя, а также гарантирует целостность содержимого сообщения.
Защита файлов прикладных систем
Цель: Обеспечить надежную реализацию проектов разработки информационных систем и их поддержку.
Доступ к системным файлам необходимо контролировать.
Поддержание целостности прикладных систем должно быть обязанностью пользователя или группы разработки, которой прикладная система или программное обеспечение принадлежит.
Контроль рабочего программного обеспечения
Следует осуществлять жесткий контроль за реализацией программного обеспечения в рабочих системах. Чтобы свести риск повреждения рабочих систем к минимуму, необходимо реализовать следующие средства контроля:
а) Обновление рабочих библиотек программ должен осуществлять только назначенный библиотекарь после получения санкции на доступ к приложению от руководителя персонала, обслуживающего информационные системы (см. Управление доступом к библиотекам исходных текстов программ).
б) В рабочих системах следует хранить только выполняемые программы (по возможности).
в) Выполняемые программы не следует запускать на рабочих системах до тех пор, пока они не пройдут тестирование и не будут приняты пользователями, а соответствующие библиотеки исходных текстов программ не будут обновлены.
г) Необходимо фиксировать все случаи обновления рабочих библиотек программ в контрольном журнале.
д) Предыдущие версии программ следует сохранить — мера предосторожности при чрезвычайных ситуациях.
Защита системных тестовых данных
Тестовые данные необходимо защищать и контролировать. Тестирование систем и их приемка обычно требуют значительные объемы тестовых данных, которые близки к реальным данным настолько, насколько это возможно. Необходимо избегать использовния реальных баз данных, содержащих персональные данные. Прежде чем использовать такие данные, их необходимо обезличить. Для защиты реальных данных при их использовании для целей тестирования, предлагаются следующие средства контроля:
а) Процедуры управления доступом, которые применяются для рабочих прикладных систем, должны также применяться для тестируемых прикладных систем.
б) Необходимо получить отдельное разрешение всякий раз, когда реальные данные копируются в тестируемую прикладную систему.
в) Реальные данные следует удалить из тестируемой прикладной системы сразу после завершения процесса тестирования.
г) Случаи копирования реальных данных необходимо регистрировать в контрольном журнале.
Безопасность в среде разработки и рабочей среде
Цель: Обеспечить защиту прикладного программного обеспечения и данных.
Среду разработки и рабочую среду необходимо жестко контролировать.
Администраторы, отвечающие за прикладные системы, должны также отвечать за защиту среды разработки и рабочей среды. Они должны анализировать все изменения, которые предлагается внести в системы, чтобы гарантировать, что они не нарушат безопасность системы или рабочей среды.
Процедуры управления процессом внесения изменений
Чтобы свести риск повреждения информационных систем к минимуму, следует осуществлять жесткий контроль за внесением изменений в них. Для этого требуются формальные процедуры управления процессом внесения изменений. Эти процедуры должны гарантировать, что безопасность и процедуры управления ею не будут скомпрометированы, что программистам, отвечающих за поддержку систем, предоставлен доступ только к тем компонентам системы, которые необходимы для их работы, и что получено формальное разрешение на внесение изменений. Такой процесс должен включать в себя следующее:
а) регистрацию согласованных уровней полномочий, в том числе:
служба приема запросов на внесение изменений группой, обслуживающей информационные системы;
полномочия пользователей на подачу запросов на внесение изменений;
уровни полномочий пользователей на принятие подробных предложений;
полномочия пользователей на принятие вносимых изменений;
б) принятие изменений, предлагаемых только зарегистрированными пользователями;
в) проверку средств управления безопасностью и процедур обеспечения целостности на предмет их компрометации внесенными изменениями;
г) выявление всех компьютерных программ, файлов данных, баз данных и аппаратных средств, которые требуют внесения поправок;
д) утверждение подробных предложений до начала работы;
е) обеспечение принятия предлагаемых изменений зарегистрированными пользователями до их внесения;
ж) обновление системной документации по завершении процесса внесения каждого изменения, а также архивирование или уничтожение старой документации;
з) осуществление контроля над версиями всех обновляемых программ;
и) регистрацию всех запросов на внесение изменений в контрольном журнале.
Технический анализ изменений, вносимых в операционную систему
Необходимость во внесении изменений в операционную систему возникает периодически, например, инсталляция новой версии, предоставляемой поставщиком. В таких случаях следует проводить анализ прикладных систем на предмет возможного нарушения режима безопасности, проистекающий от таких изменений. Этот процесс должен включать в себя следующее:
а) проверка процедур контроля приложений и обеспечения их целостности на предмет компрометации вследствие внесения изменений в операционную систему;
б) обеспечить включение в ежегодный план поддержки проверку и тестирование систем, связанные с изменениями, вносимыми в операционную систему, а также выделить для этого необходимые финансовые средства;
в) обеспечить своевременное уведомление сотрудников о предлагаемых изменениях в операционной системе для проведения надлежащего анализа до их внесения.
Ограничения на внесение изменений в пакеты программ
Не рекомендуется вносить изменения в пакеты программ. По возможности следует использовать пакеты програм, предоставляемые поставщиками, без их модификации. В тех случаях, когда возникает необходимость во внесении изменений в пакеты программ, следует рассмотреть следующие пункты:
а) риск компрометации встроенных средств контроля и процессов обеспечения целостности;
б) необходимость получения согласия поставщика;
в) возможность получения требуемых изменений от поставщика в рамках стандартного обновления программ;
г) возможность взятия организацией ответственности за дальнейшее сопровождение программного обеспечения в результате внесенных изменений.
Если изменения считаются крайне необходимыми, то следует сохранить исходное программное обеспечение, а изменения внести в четко определенную копию. Эти изменения необходимо полностью задокументировать так, чтобы их можно было вносить в будущие обновленные версии программ в случае необходимости.
Раздел 9 Планирование бесперебойной работы организации
Вопросы планирования бесперебойной работы организации
Цель: Составить планы для предотвращение перебоев в работе организации.
Для защиты критически важных производственных процессов от последствий крупных аварий и катастроф необходимо иметь планы обеспечения бесперебойной работы организации.
Должен существовать процесс разработки и реализации надлежащих планов для быстрого восстановления критически важных производственных процессов и сервисов в случае серьезных перебоев в работе организации. Такие перебои могут быть вызваны, например, природными катастрофами, авариями, отказами оборудования, преднамеренными действиями и потерей предоставляемых услуг.
Процесс планирования бесперебойной работы организации должен включать в себя меры по идентификации и уменьшению рисков, ликвидации последствий от реализации угроз и быстрому возобновлению основных работ.
Процесс планирования бесперебойной работы организации
Для разработки и реализации планов обеспечения бесперебойной работы организации необходимо иметь соответствующий процесс.
Такой процесс должен предусматривать идентификацию и уменьшение рисков умышленных или случайных угроз, которым подвергаются жизненно важные сервисы. Необходимо разработать планы поддержания непрерывности производственной деятельности после отказа или повреждения жизненно важных сервисов или систем. Процесс планирования бесперебойной работы организации должен включать в себя следующее:
а) идентификацию критически важных производственных процессов и их ранжирование по приоритетам;
б) определение возможного воздействия аварий различных типов на производственную деятельность;
в) определение и согласование всех обязанностей и планов действий в чрезвычайных ситуациях;
г) документирование согласованных процедур и процессов;
д) надлежащую подготовку персонала к выполнению согласованных процедур и процессов в чрезвычайных ситуациях;
е) тестирование планов;
ж) пересмотр и обновление планов.
Процесс планирования должен быть в первую очередь сосредоточен на поддержании работоспособности критически важных производственных процессов и сервисов, включая требования к укомплектованию персоналом и другие требования, не связанные с обработкой информации, а не только на процедурах перехода на аварийный режим для компьютерных систем.
Система планирования бесперебойной работы организации
Чтобы обеспечить согласованность всех уровней планирования и определить приоритеты для тестирования и реализации, необходимо иметь единую систему планов. В каждом плане обеспечения бесперебойной работы организации следует четко задать условия его активации, а также указать сотрудников, отвечающих за реализацию каждого пункта плана. Новые планы не должны противоречить установленным процедурам реагирования на чрезвычайные ситуации, например, планам эвакуации, и принятым процедурам перехода на аварийный режим для компьютерных и коммуникационных систем.
Вообще говоря, могут потребоваться разные уровни планирования, поскольку каждый уровень сосредоточен на своей задаче, а в его реализации могут участвовать разные группы по восстановлению систем после аварий. Модель системы планирования бесперебойной работы организации включает в себя следующие четыре компонента:
а) процедуры реагирования на чрезвычайные ситуации, описывающие меры, которые надлежит принять сразу после крупного инцидента, подвергающего опасности работу организации и/или жизнь персонала;
б) процедуры перехода на аварийный режим, описывающие меры, которые надлежит принять для временного перевода основных работ и сервисов в другие места;
в) процедуры возобновления работы организации, описывающие меры, которые надлежит принять для возобновления нормальной полноценной производственной деятельности организации, обычно на основном месте;
г) график испытаний, который определяет, как и когда будет проведено тестирование плана.
Каждый уровень планирования и каждый индивидуальный план должны иметь конкретных испольнителей. Обязанность по реализации процедур реагирования на чрезвычайные ситуации, планов «ручного» перехода на аварийный режим и планов возобновления нормальной работы организации следует возложить на соответствующего владельца производственного процесса. Обязанность по реализации процедур перехода на аварийный режим для альтернативных технических сервисов, таких, как компьютерные и коммуникационные системы, обычно возлагается на поставщиков услуг.
Тестирование планов обеспечения бесперебойной работы организации
Многие планы обеспечения бесперебойной работы организации терпят неудачу при их тестировании вследствие неправильных исходных допущений, просчетов или изменений, внесенных в оборудование, и персонала. Поэтому эти планы необходимо регулярно тестировать, чтобы обеспечить их эффективность. Такие тесты должны гарантировать, что все члены группы по восстановлению систем после аварий и другие сотрудники, имеющие к этому отношение, будут постоянно помнить о плане.
Следует составить график проведения испытаний плана обеспечения бесперебойной работы организации. Такой график должен указывать, как и когда будет тестироваться каждый элемент плана.
Рекомендуется поэтапный подход к тестированию, основанный на проведении частых испытаний отдельных компонентов плана. Это должно обеспечить действенность и эффективность плана на протяжении года. Кроме того такой подход позволяет избежать частого проведения исчерпывающих испытаний полного плана.
Обновление планов обеспечения бесперебойной работы организации
Планы обеспечения бесперебойной работы организации быстро устаревают вследствие изменений в производственных процессах и организации, поэтому их необходимо регулярно обновлять. Регулярное обновление планов крайне важно для защиты денежных средств, вложенных в разработку исходного плана, и обеспечения его эффективности. Примерами изменений, которые могут потребовать обновления планов, являются:
приобритение нового оборудования или модернизация функционирующих систем;
новая технология выявления и контроля проблем, например, обнаружение пожаров;
новая технология контроля за окружающей средой;
кадровые или организационные изменения;
смена подрядчиков или поставщиков;
изменение адресов или телефонных номеров;
изменения, внесенные в производственные процессы;
изменения, внесенные в пакеты прикладных программ;
изменения в рабочих процедурах;
изменения в законодательстве.
Необходимо назначить ответственных лиц для идентификации и внесения изменений в планы. Необходимость в отдельных изменениях следует пересматривать по крайней мере ежемесячно. Это процесс должен быть подкреплен кратким ежегодным анализом полного плана.
Чтобы гарантировать, что последствия от вносимых изменений определены и доведены до сведения сотрудников до обновления плана, требуется формальный метод контроля за внесением изменений.
Раздел 10 Выполнение требований
Выполнение правовых требований
Цель: Избежать нарушения правовых обязательств и обязательств по соблюдению уголовного и гражданского права, а также обеспечить выполнение требований к информационной безопасности.
На разработку, сопровождение и использование информационных систем могут быть наложены правовые и договорные требования к безопасности.
Все правовые и договорные требования, имеющие отношение к безопасности, необходимо определить в явном виде и задокументировать для каждой информационной системы. Необходимо также определить и задокументировать конкретные средства контроля, меры противодействия и обязанности для выполнения этих требований.
При задании конкретных правовых требований следует обратиться за советом к консультантам организации, занимающимся правовыми вопросами. Следует учесть, что требования законодательства в разных странах разные.
Контроль за копированием ПО, защищенного законом об авторском праве
Следует принять во внимание ограничения, накладываемые действующим законодательством на использование материалов, защищенных законом об авторском праве.
Правовые и договорные требования могут наложить ограничения на копирование программ. В частности, от пользователей могут потребовать, чтобы они применяли только те программы, которые разработаны организацией, или лицензионное программное обеспечение.
Программные продукты обычно поставляются в соответствии с лицензионным соглашением, которое ограничивает их использование определенными машинами и может ограничить процесс копирования созданием только резервных копий. Необходимо учитывать следующее:
а) Политика организации должна запрещать копирование материала, защищенного законом об авторском праве, без согласия его владельца;
б) Пользователям должно быть рекомендовано не нарушать эту политику посредством копирования программ с одной машины на другую без письменной санкции их владельца.
в) Копирование патентованного программного обеспечения или программ организации для использования на компьютерах, которые не принадлежат организации, для целей, не связанных с основной рабочей деятельностью, может также привести к нарушению закона об авторском праве и политики организации.
г) В тех случаях, когда необходимо инсталлировать программный продукт на дополнительных машинах, следует включить соответствующий пункт в лицензионное соглашение или закупить дополнительные копии.
д) Необходимо регулярно проверять использование программного обеспечения и вести надлежащий учет.
Нарушение закона об авторском праве может привести к судебным разбирательствам и даже к возбуждению уголовного дела.
Защита документации организации
Важные для организации документы необходимо защищать от потери, уничтожения и подделки. Некоторые документы могут потребовать хранения в защищенном месте для удовлетворения правовых требований, а также для поддержки основных производственных работ.
Примечание. Примерами этого являются документы, которые могут потребоваться в качестве свидетельства того, что организация работает в соответствии с правовыми нормами, или для обеспечения надлежащей защиты от возможных гражданских или уголовных исков, или для подтверждения финансового состояния организации по отношению к держателям акций, партнерам и аудиторам.
Целесообразно уничтожить документацию, которая храниться дольше предписываемого законом времени, в случае, когда это не будет иметь пагубные последствия для работы организации.
Для выполнения этих обязательств организация должна предпринять следующее:
а) Подготовить инструкции по хранению и обращению с документацией и информацией, а также их уничтожению.
б) Составить план-график, в котором определяются основные типы документов и сроки их хранения.
в) Проводить инвентаризацию всех источников основной информации.
г) Реализовать надлежащие меры по защите основной документации и информации от потери, уничтожения и подделки.
Защита данных
Во многих странах персональные данные (о лицах, которых можно идентифицировать по ним), хранимые или обрабатываемые на компьютере, попадают под законодательство о защите информации. В Великобритании действует закон о защите данных от 1984 года. Примерами других стран, где действует такое законодательство, являются большинство стран Западной Европы и Северной Америки, а также Австралия, Новая Зеландия, Израиль и Япония.
Соблюдение законодательства о защите информации требует определенное структурирование руководства и контроль. Это зачастую достигается посредством назначения сотрудника, отвечающего за защиту данных, который дает рекомендации администраторам, пользователям и поставщикам услуг по распределению обязанностей и использованию конкретных процедур. В круг обязанностей владельца данных должны входить доведение предложений о хранении персональной информации на компьютере до сведения сотрудника, отвечающего за защиту данных, и обеспечение знания и понимание принципов защиты информации, определенных в действующем законодательстве.
В законе о защите данных от 1984 года излагаются восемь принципов, которые применимы ко всем системам, обрабатывающим персональную информацию. Они перечислены ниже:
Первый принцип
Необходимо предоставлять доступ к информации, содержащейся в персональных данных, и обрабатывать персональные данные на законном основании и в соответствии с принципами справедливости.
Второй принцип
Персональные данные следует хранить только для определенных, законных целей.
Третий принцип
Персональные данные, хранимые для тех или иных целей, не следует использовать или раскрывать способом, который несовместим с этими целями.
Четвертый принцип
Персональные данные, хранимые для тех или иных целей, должны быть адекватны этим целям и не должны быть избыточными по отношению к ним.
Пятый принцип
Персональные данные должны быть точными и по необходимости свежими.
Шестой принцип
Персональные данные, хранимые для тех или иных целей, не следует хранить дольше, чем это необходимо для этих целей.
Седьмой принцип
Сотрудник должно иметь право:
а) а. через разумные промежутки времени и без задержек:
получать информацию от пользователя данных о том, хранит ли он персональные данные, субъектом которых является данный сотрудник;
доступа к таким данным, хранимых пользователем;
б) по необходимости исправлять или стирать такие данные.
Восьмой принцип
Следует принять надлежащие меры по защите персональных данных от несанкционированного доступа, их изменения, раскрытия и уничтожения, а также от их случайной потери или уничтожения.
Предотвращение незаконного использования информационных ресурсов
Информационные ресурсы организации предоставляются для производственных целей. Их использование должно быть санкционировано руководством. Использование этих ресурсов для целей, не связанных с основной работой организации, или для несанкционированных целей без утверждения руководства и процедур учета следует рассматривать как незаконное использование информационных ресурсов. При выявлении таких случаев с помощью средств отслеживания действий или других средств, их следует довести до сведения соответсвующего руководства для наложения дисциплинарных взысканий.
Многие страны приняли или находяться в процессе принятия законодательства о защите от незаконного использования компьютеров. Использование компьютера для незаконных целей можно считать уголовным преступлением. Поэтому крайне важно, чтобы все пользователи получили письменную санкцию на доступ, который им разрешается. Сотрудников организации и пользователей со стороны следует предупредить, что они не имеют право доступа, кроме случаев, которые формально санкционированы и задокументированы.
Примечание. В Великобритании закон о незаконном использовании компьютеров от 1990 года вводит следующие уголовные преступления: несанкционированный доступ с целью совершения более серьезного преступления и несанкционированная модификация компьютерных данных.
Проверка безопасности информационных систем
Цель: Обеспечить соответствие систем политике и стандартам безопасности организации.
Безопасность информационных систем необходимо регулярно проверять.
Такие проверки следует проводить исходя из соответствующей политики безопасности, а технические платформы и информационные системы необходимо проверять на соответствие принятым стандартами обеспечения безопасности.
Соответствие политике безопасности
Все подразделения организации следует регулярно проверять, чтобы обеспечить соответствие принятой политике и стандартам безопасности. Проверке подлежат:
а) информационные системы и их поставщики;
б) информация и владельцы данных;
в) пользователи;
г) руководство.
Владельцы информационных систем (см. Ответственность за ресурсы) должны организовывать регулярные проверки своих систем на соответствие принятой политике безопасности, стандартам и другим требованиям к их защите.
Примечание. Текущий контроль за использованием систем описан в документе Слежение за доступом к системам и их использованием.
Техническая проверка на соответствие стандартам безопасности
Информационные ресурсы необходимо регулярно проверять на соответствие стандартам обеспечения безопасности. Техническая проверка на такое соответствие включает в себя осмотр рабочих систем, чтобы гарантировать правильную реализацию средств управления безопасностью программного и аппаратного обеспечения. Этот вид проверки требует обращения за технической помощью к специалистам. Такая проверка должна проводиться опытным системным инженером вручную или автоматически с помощью пакета программ, который создает технический отчет для последующей обработки техническим специалистом.
Такие проверки должны проводиться только компетентными законными лицами или под их наблюдением.
Аудит систем
Цель: Свести вмешательство в процесс аудита систем к минимуму.
Необходимо иметь средства контроля для защиты рабочих систем и средств аудита во время их проверки.
Защита также требуется для обеспечения целостности средств аудита и предотвращения их несанкционированного использования.
Средства аудита систем
Для сведения риска возникновения сбоев в производственных процессах к минимуму требования к аудиту и работы, связанные с проверкой рабочих систем, следует аккуратно запланировать и согласовать. Предлагается рассмотреть следующее:
а) Требования к аудиту систем должны быть согласованы с соответствующим руководством.
б) Масштаб проверок необходимо согласовать и контролировать.
в) Проверки должны быть ограничены доступом к данным и программам только на чтение.
г) Другие типы доступа (отличные от доступа только на чтение) должны быть разрешены для отдельных копий системных данных, которые необходимо стереть по завершении процесса аудита.
д) Необходимо явно идентифицировать информационные ресурсы для проведения проверок и сделать их доступными.
е) Необходимо определить требования к специальной или дополнительной обработке и согласовать их с поставщиками услуг.
ж) Все случаи доступа следует отслеживать и фиксировать в контрольном журнале для справок.
з) Все процедуры, требования и обязанности необходимо задокументировать.
Защита средств аудита систем
Доступ к средствам аудита систем, т.е. к программам и файлам данных необходимо защищать, чтобы предотвратить их возможное несанкционированное использование или компрометацию. Такие средства следует изолировать от разрабатываемых и рабочих систем, и их не следует хранить в библиотеках магнитных лент и на рабочих местах пользователей, если они не обеспечены надлежащей дополнительной защитой.