3. Свод правил управления ИБ (стандарт ISO/IEC 27002:2013)
В 2000 году первая часть британского национального стандарта BS 7799—1 «Практические правила управления ИБ» была принята в качестве международного стандарта ISO/IEC 17799 «ИТ. Практические правила управления ИБ». В 2005 году на его основе был разработан новый международный стандарт ISO/IЕС 27002 «ИТ. Meтоды защиты. Свод норм и правил управления ИБ», который был опубликован в июле 2007 года. Последнее обновление стандарта состоялось 25 сентября 2013 года.
Стандарт предлагает рекомендации и основные принципы введения, реализации, поддержки и улучшения СУИБ в организации. Он может служить практическим руководством по разработке стандартов безопасности организации, для эффективной практики УИБ организаций и способствует укреплению доверия в отношениях между организациями.
Стандарт состоит из 14 разделов, посвященных мерам безопасности, которые все вместе содержат, в целом, 34 основные категории безопасности и 114 мер защиты:
1) политика ИБ (1);
2) организация ИБ (2);
3) безопасность, связанная с персоналом (3):
4) управление активами (3);
5) управление доступом (4);
6) криптография (1);
7) физическая и экологическая безопасность (2);
8) безопасность операций (7);
9) безопасность связи (2);
10) приобретение, разработка и поддержка ИС (3);
11) взаимоотношения с поставщиками (2);
12) управление инцидентами ИБ (1);
13) аспекты ИБ при управлении непрерывностью бизнеса (2);
14) соответствие требованиям (2).
Каждая основная категория безопасности включает в себя:
— цель ИБ;
— меры достижения этой цели.
Описание мер ИБ структурируется таким образом:
— меры и средства ИБ;
— рекомендации по их реализации.
1. Политика ИБ
1.1. Руководящие положения для ИБ
Цель: Реализовать требования политики ИБ и обеспечить поддержку для ИБ в соответствии с требованиями бизнеса и действующим законодательством.
Политика ИБ предполагает следующие мероприятия:
— документирование;
— пересмотр.
Документирование
Меры и средства
Политика ИБ документируется оформлением, утверждением, публикованием и доведением до персонала и внешних заинтересованных сторон.
Рекомендации по реализации
В лучшем случае, политика ИБ должна устанавливать ответственность руководства, а также излагать подход организации к УИБ.
Политика ИБ должна содержать требования:
— стратегии бизнеса;
— законодательства и договорных обязательств;
— защиты от существующих и потенциальных угроз ИБ.
Политика ИБ должна содержать положения по:
— определению ИБ, ее целей и принципов для руководства действиями по обеспечению ИБ;
— определению ответственности разных ролей с учетом специфики управления ИБ;
— изложения намерений руководства, поддерживающих цели и принципы ИБ в соответствии со стратегией и целями бизнеса;
— процессов управления изменениями и исключениями.
В худшем случае, политика ИБ должна поддерживаться специализированными политиками, направленными на внедрение управления ИБ и созданными специально для целевых групп внутри организации или выполнения конкретных задач.
Примерами таких задач могут быть:
— управление доступом;
— классификация активов;
— физическая и экологическая безопасность;
— следующие требования к пользователям:
• использование активов;
• чистый стол и чистый экран;
• политика коммуникаций;
• мобильные устройства и удалённая работа;
• ограничения на установку ПО;
— передача информации;
— защита от вредоносного ПО;
— управление техническими уязвимостями;
— управление средствами криптографии;
— безопасность коммуникаций;
— защита персональных данных;
— взаимоотношения с поставщиками.
Эти политики должна быть доведены до сведения персонала в рамках всей организации и сторонних организаций в актуальной, доступной и понятной форме путем проведения инструктажей и тренингов.
Если какие-либо политики ИБ должны применяться за пределами организации, в них не должна содержаться конфиденциальная информация.
В качестве названий политик ИБ могут использоваться такие термины, как стандарт, руководство или правила.
Пересмотр
Меры и средства
Политика ИБ должны быть пересмотрены через запланированные промежутки времени или в случае изменений с целью обеспечения ее постоянной пригодности, адекватности и эффективности.
Рекомендации по реализации
Политика ИБ должна иметь владельца, который утвержден руководством в качестве ответственного за разработку, пересмотр и оценку. Пересмотр заключается в оценке возможностей по улучшению политики ИБ организации и подхода к УИБ в ответ на изменения организационной среды, обстоятельств бизнеса, правовых условий или технической среды.
При пересмотре политики ИБ следует учитывать результаты пересмотров методов управления, для чего должны существовать определенные процедуры, в том числе график или период пересмотра.
2. Организация ИБ
Организацию ИБ определяют следующие составляющие:
— внутренняя организация;
— мобильные устройства и удалённая работа.
2.1. Внутренняя организация
Цель: Создать структуру управления для инициирования и управления внедрением и обеспечением ИБ в организации.
Внутренняя организация сферы ИБ предполагает следующие мероприятия:
— определение ответственности;
— разделение обязанностей;
— контакт с властями;
— контакт со специальными группами.
Определение ответственности
Меры и средства
Все ответственности в поле ИБ должны быть определены и закреплены.
Рекомендации по реализации
Закрепление ответственности должно соответствовать политике ИБ. Ответственности за защиту индивидуальных активов и осуществления процессов ИБ должны быть определены. Ответственности за действия по управлению рисками ИБ и, в частности, принятие остаточного риска должны быть определены. Эти ответственности должны быть дополнительно детализированы, при необходимости, для специфических мест и средств обработки информации.
Ответственные лица могут делегировать некоторые задачи безопасности другим. Впрочем они все равно несут за это ответственность, поэтому должны обеспечить правильное оформление такого делегирования.
Сферы ответственности должны быть зафиксированы.
В частности, необходимо учесть следующее:
— активы и процессы ИБ должны быть идентифицированы и определены;
— личная ответственность за каждый актив и процесс ИБ должна быть обозначена и ее детали задокументированы;
— уровни авторизации должны быть определены и задокументированы;
— назначенные быть ответственными в сфере ИБ должны быть компетентными и в курсе всех событий в этой сфере;
— координация и контроль аспектов ИБ взаимотношений с поставщиками должны быть идентифицированы и задокументированы.
Многие организации назначают отдельного менеджера по ИБ, возлагая на него всю ответственность за разработку и внедрение ИБ и поддержку актуальности мер и средств ИБ. Одной из распространенных практик является назначение владельца каждого актива, отвечающего за его безопасность.
Разделение обязанностей
Меры и средства
Противоречивые обязанности и зоны ответственности должны быть разделены для снижения возможностей несанкционированного изменения или неправильного использования активов организации.
Рекомендации по реализации
Следует четко обозначить, что никто не может получить доступ к использованию и модификации активов без идентификации и аутентификации. Инициация события должна быть отделена от его авторизации. Возможность сговора должна быть учтена при выборе мер защиты.
В маленьких организациях сложно обеспечить разделение обязанностей, но принцип разделения должен быть применен настолько, насколько это возможно.
Разделение обязанностей является методом снижения риска случайного или преднамеренного нанесения вреда активам организации.
Контакт с властями
Меры и средства
Необходимые контакты с органами власти должны поддерживаться.
Рекомендации по реализации
В организациях должны применяться процедуры, определяющие, когда и с какими инстанциями (например правоохранительными, пожарными и надзорными органами) необходимо вступить в контакт, и каким образом следует своевременно сообщать о выявленных инцидентах ИБ, если есть подозрение о возможности нарушения закона.
Организациям, подвергающимся атаке через Интернет, может потребоваться привлечение сторонней организации (например интернет-провайдера или оператора телекоммуникаций) для принятия мер защиты от атаки.
Контакт со специальными группами
Меры и средства
Должны поддерживаться надлежащие контакты со специальными группами или форумами специалистов в области ИБ, а также профессиональными ассоциациями.
Рекомендации по реализации
Членство в группах или форумах следует рассматривать как средство для:
— повышения знания о «передовом опыте» и достижений ИБ на современном уровне;
— обеспечения уверенности в том, что понимание проблем ИБ является современным и полным;
— получения раннего оповещения в виде предупреждений, информационных сообщений и патчей1, касающихся атак и уязвимостей;
— возможности получения консультаций специалистов по вопросам ИБ;
— совместного использования и обмена информацией о новых технологиях, продуктах, угрозах или уязвимостях;
— организация подходящих связей для обеспечения обработки инцидентов ИБ.
Соглашения об информационном обмене должны обеспечить улучшение кооперации и координации действий в сфере безопасности. Эти соглашения должны определить требования по защите конфиденциальной информации.
1 Патч — блок изменений для оперативного исправления или нейтрализации ошибки в исполняемой программе. чаще всего поставляемый (или размещаемый на сайте разработчика) в виде небольшой программы, вставляющей исправления в объектный код соответствующих модулей приложения.
ИБ при управлении проектом
Меры и средства
ИБ должна обеспечиваться при управлении проектом, независимо от его типа.
Рекомендации по реализации
ИБ должна быть интегрирована|интегрированной, комплексной| в метод управления проектом|структуры|, чтобы гарантировать, что|который| риски|рисковый| ИБ идентифицированы|опознает| и являются частью проекта. Это относится к любому проекту, независимо от его содержания.
Метод управления проектом при использовании должен требовать, чтобы|который|:
— цели|задача| ИБ входили в проектные цели|задачу|;
— оценка риска|рисковый| ИБ проводилась|ведет| на ранней стадии проекта, чтобы идентифицировать|опознать| необходимые меры защиты|контроль, управляет|;
— ИБ была частью всех фаз|стадии| используемой проектной методологии.
Требования|импликацию| ИБ должны обеспечиваться и пересматриваться регулярно во всех проектах. Ответственность за ИБ нужно определить и применить к ролям, определенным методами управления проектом.
2.2. Мобильные устройства и удалённая работа
Цель: обеспечить безопасность удалённой работы и использования мобильных устройств.
Этот раздел рассматривает обеспечение ИБ при использовании:
— мобильных устройств;
— удалённой работы.
Мобильные устройства
Меры и средства
Политика и меры безопасности должны обеспечить управление рисками, связанными с использованием мобильных устройств.
Рекомендации по реализации
При использовании мобильных устройств необходимо уделить внимание тому, чтобы не скомпрометировать бизнес-информацию. Политика мобильных устройств должна учитывать риски работы с мобильными устройствами в незащищенной среде.
Политика мобильных устройств должна рассматривать:
— регистрацию мобильных устройств;
— требования физической защиты;
— ограничения на установку ПО;
— требования к версиям ПО мобильных устройств и применению патчей;
— ограничения на подключение к информационным сервисам;
— управление доступом;
— криптографические средства;
— защита от вредоносного ПО;
— дистанционное выключение, удаление или блокировку;
— резервное копирование;
— использование веб-сервисов и веб-приложений.
Следует проявлять осторожность при использовании мобильных устройств в общедоступных местах, конференц-залах и других незащищенных местах. Необходимо обеспечить защиту от несанкционированного доступа или раскрытия информации, хранимой и обрабатываемой этими устройствами, например с помощью средств криптографии.
Мобильные устройства необходимо также физически защищать от краж, особенно когда их оставляют в автомобилях или других видах транспорта, гостиничных номерах, конференц-залах и местах встреч. Для случаев потери или кражи мобильных устройств должна быть установлена специальная процедура, учитывающая законодательные, страховые и другие требования безопасности организации.
Устройства, в котором переносится важная, чувствительная или критическая информация бизнеса, не следует оставлять без присмотра и, по возможности, для обеспечения безопасности устройства должны быть физически заблокированы или использованы специальные замки.
Необходимо провести обучение сотрудников, использующих мобильные устройства, с целью повышения осведомленности о дополнительных рисках, связанных с таким способом работы, и мерах защиты, которые должны быть выполнены.
Там, где политика мобильных устройств разрешает использование личных мобильных устройств, политика и связанные с ней меры безопасности должны предусмотреть:
— разделение личного и делового использования устройств с применением ПО, которое поддерживает разделение и защищает бизнес-данные на личном устройстве;
— предоставление доступа пользователей к бизнес-информации только после заключения трудового договора, определяющего их обязанности (физическая защита, обновление ПО и т. д.), отказ в собственности на бизнес-данные, разрешение на удаленное уничтожение организацией данных в случае кражи или потери устройства или после завершения срока использования сервиса. Эта политика разрабатывается с учетом законодательства о конфиденциальности.
Беспроводная коммуникация мобильных устройств похожа на другие типы сетевой коммуникации, но имеют важные отличия, которые надо учитывать при выборе мер защиты.
Типовые различия:
— некоторые протоколы беспроводной безопасности несовершенны и имеют известные недостатки;
— невозможность резервного копирования информации, хранящейся на мобильных устройствах, из-за ограниченной сетевой пропускной способности или отсутствия подключения мобильных устройств во время запланированного копирования.
Удалённая работа
Меры и средства
Должна быть принята политика и меры по обеспечению ИБ для защиты доступа к информации, ее обработки и хранения при удаленной работе.
Рекомендации по реализации
Организация, использующая удаленную работу, должна разработать политику, определяющую условия и ограничения такой работы. При этом необходимо принимать во внимание следующее:
— существующую физическую безопасность места удаленной работы, включая физическую безопасность здания и окружающей среды;
— предлагаемые условия удаленной работы;
— требования в отношении безопасности коммуникаций, учитывая потребность в удаленном доступе к внутренним системам организации, чувствительность информации, к которой будет осуществляться доступ, и чувствительность внутренней системы;
— внедрение доступа к виртуальному рабочему столу, предотвращающего обработку и хранение информации на личном оборудовании;
— угрозу несанкционированного доступа к информации или ресурсам со стороны других лиц, находящихся в месте удаленной работы, например членов семьи и друзей;
— использование домашних компьютерных сетей, а также требования или ограничения в отношении конфигурации услуг беспроводных сетей;
— политики и процедуры защиты прав интеллектуальной собственности, разработанной на личном оборудовании;
— доступ к личному оборудованию, который может быть запрещен законодательно (для определения безопасности машины или на время расследования);
— лицензионные соглашения в отношении ПО, что касается ответственности за лицензирование клиентского ПО на рабочих станциях, являющихся личной собственностью сотрудников или внешних организаций;
— требования в отношении антивирусной защиты и межсетевых экранов.
Руководства и соглашения должны содержать следующее:
— предоставление необходимого оборудования и материалов для удаленной работы, где используется личное оборудование, не контролируемое организацией;
— определение разрешенной работы, часов работы, внутренних систем и сервисов, задействованных при удаленной работе, и классификация обрабатывающейся информации;
— предоставление приемлемого коммуникационного оборудования, в том числе безопасного удаленного доступа;
— физическую безопасность;
— роли и директивы семейного и гостевого доступа к оборудованию и информации;
— обслуживание и поддержку аппаратного и программного обеспечения;
— предоставление страховки;
— процедуры резервного копирования и непрерывности бизнеса;
— аудит и мониторинг безопасности;
— аннулирование пользователя, его прав доступа и возврат оборудования после завершения удаленной работы.
3. Безопасность, связанная с персоналом
Безопасность, связанную с персоналом, обеспечивают мероприятия:
— перед приемом на работу;
— во время работы;
— при увольнении или изменении должности.
3.1. Перед приемом на работу
Цель: Гарантировать, что сотрудники и подрядчики понимают свою ответственность и подходят для должностей, на которые они рассматриваются.
Перед приемом на работу проводятся следующие мероприятия:
— проверка благонадежности;
— трудовой договор.
Проверка благонадежности
Меры и средства
Тщательная проверка всех кандидатов на работу должна проводиться согласно соответствующим законам, инструкциям и правилам этики в соответствии с требованиями бизнеса, классификацией информации, к которой будет осуществляться доступ, и предполагаемыми рисками.
Рекомендации по реализации
Проверка благонадежности должна осуществляться с учетом конфиденциальности, защиты персональных данных и трудового законодательства и включать, по возможности, следующее:
— независимую проверку подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа);
— проверку подлинности документов об образовании и профессиональной квалификации;
— проверку биографии кандидата (на предмет полноты и точности);
— наличие положительных рекомендаций, в частности, в отношении деловых и личных качеств претендента;
— более детальную проверку, например, кредитоспособности или наличия судимости.
Если кандидат претендует на специальную роль в сфере ИБ, организация должна удостовериться в том, что он имеет необходимую:
— компетенцию для выполнения роли;
— степень доверия, если роль критична для организации.
Если предполагаемая работа предоставляет доступ к средствам обработки информации, особенно, конфиденциальной, например, финансовой, организация должна провести дальнейшую, более детальную проверку кандидата.
Организация для процедур проверки должна определить критерии и ограничения, например, кто имеет право проверки, кто, когда и почему проводит проверку.
Процесс отбора должен также применяться и для подрядчиков. Соглашение между организацией и подрядчиком должно содержать ответственность за проведение отбора и процедуры уведомления о том, что отбор не закончен или его результаты дали повод для сомнений или опасений.
Информация обо всех кандидатах на должности в организации должна быть собрана и обработана в соответствии с действующим законодательством в этой юрисдикции. В зависимости от применяемого законодательства кандидаты должны быть заблаговременно уведомлены о действиях по отбору.
Трудовой договор
Меры и средства
Трудовой договор должен устанавливать ответственность сотрудника и подрядчика и организации в сфере ИБ.
Рекомендации по реализации
Условия работы сотрудников и подрядчиков должны отражать политику ИБ и, кроме того, разъяснять и устанавливать:
— необходимость подписания соглашения о конфиденциальности или неразглашении прежде, чем им будет предоставлен доступ к конфиденциальной информации;
— правовую ответственность и права, например в части законодательства о защите персональных данных или авторском праве;
— обязанности по классификации информации и управлению активами, связанными с информацией, средствами обработки информации и информационными сервисами;
— ответственность за обработку информации, получаемой от других фирм и сторонних организаций;
— действия, которые должны быть предприняты в случае несоблюдения требований ИБ.
Роли и ответственности в сфере ИБ должны быть доведены до кандидатов до их приема на работу.
Организация должна удостовериться, что сотрудники и подрядчики согласны с условиями ИБ в отношении вида и уровня получаемого доступа к активам, связанным с ИС и сервисами.
При необходимости ответственность, возлагаемая на сотрудника по условиям работы, должна сохраняться сотрудником в течение определенного периода времени и после увольнения из организации.
Организация в соответсвии со своим имиджем и репутацией может разработать кодекс поведения сотрудника и подрядчика, устанавливающий его обязанности в сфере ИБ в отношении конфиденциальности, защиты персональных данных, этики, допустимого использования оборудования и устройств организации.
3.2. Во время работы
Цель: Гарантировать, что все сотрудники и подрядчики осведомлены о своей ответственности и корректно выполняют свои обязанности в сфере ИБ.
Во время работы ИБ обеспечивают следующие составляющие:
— ответственность руководства;
— осведомленность в сфере ИБ;
— дисциплинарный процесс.
Ответственность руководства
Меры и средства
Руководство должно требовать от всех сотрудников и подрядчиков соблюдения правил ИБ в соответствии с установленными политиками и процедурами организации.
Рекомендации по реализации
Руководство обязано обеспечить уверенность в том, что сотрудники и подрядчики:
— осведомлены о своих ролях и обязанностях в сфере ИБ прежде, чем получили доступ к конфиденциальной информации или ИС;
— обеспечены рекомендациями по формулированию их предполагаемых ролей в сфере ИБ в рамках организации;
— заинтересованы следовать политике ИБ организации;
— достигли уровня осведомленности в сфере ИБ, соответствующего их ролям и обязанностям в организации;
— следуют условиям работы, которые включают политику ИБ организации и соответствующие методы работы;
— продолжают поддерживать соответствующие навыки и квалификацию и обучаются на регулярной основе;
— осведомлены о необходимости информирования любым способом о нарушениях политик и процедур ИБ.
Руководство должно демонстрировать поддержку политик, процедур и мер ИБ и быть образцом для подражания.
Осведомленность персонала
Меры и средства
Все сотрудники организации и, по возможности, подрядчики должны проходить соответствующее обучение и быть в курсе актуальных организационных политик и процедур, применимых к их функциям.
Рекомендации по реализации
Программа обучения должна преследовать цель осведомленности сотрудников и, по возможности, подрядчиков о своих обязанностях в сфере ИБ и мерах по их выполнению.
Программа обучения разрабатывается в соответствии с политиками и процедурами ИБ для изучения информации, которую надо защищать, и мер, которые ее должны защищать. Программа должна содержать ряд таких учебно-воспитательных мер, как акция (например, «День ИБ») и издание информационных буклетов и бюллетеней.
Программа должна планироваться, исходя из ролей сотрудников организации и, по возможности, желаемой в организации осведомленности подрядчиков. Все меры программы должны быть распланированы по времени, желательно регулярно, таким образом, чтобы они повторялись и охватывали новых сотрудников и подрядчиков. Программа должна также регулярно обновляться в соответствии с организационными политиками ипроцедурами и строиться с учетом извлечения уроков из инцидентов ИБ.
Обучение должно проходить в соответствии с программой. При обучении можно использовать разные способы и средства, включая аудиторные и дистанционные, веб-сайты, самостоятельные и другие.
Обучение в сфере ИБ должно также охватывать такие аспекты, как:
— утверждение приверженности руководства ИБ во всей организации;
— необходимость ознакомления с применяемыми правилами и обязательствами ИБ и их выполнения в соответствиис политиками, стандартами, законами, нормативами, контрактами и соглашениями;
— персональная ответственность за каждое свое действие и его отсутствие и общие ответственности за безопасность и защиту информации, принадлежащей организации и сторонним организациям;
— базовые процедуры ИБ (такие как оповещение об инциденте ИБ) и основные меры защиты (такие как аутентификация, антивирус, чистый рабочий стол);
— контактные источники дополнительной информации и консультация по мерам ИБ, включая дополнительные материалы по обучению в сфере ИБ.
Обучение должно происходить периодически. Те, кто получил новую должность или роль, к которой предъявляются другие требования ИБ, должны пройти обучение сначала с учетом новых требований (но не как новички) до начала выполнения своих ролей.
Организация должна разработать программу обучения таким образом, чтобы обучение было эффективным. Программа должна содержать разные формы обучения, например, лекционные и самостоятельные.
При составлении программы важно учитывать не только «что» и «как», но и «почему». Важно, чтобы сотрудники понимали цель ИБ и потенциальное позитивное и негативное влияние на организацию из-за их поведения.
Обучение в сфере ИБ может быть частью других процессов обучения или проведена во взаимодействии с ними, например в сфере ИТ или общей безопасности. Обучение должно соответствовать индивидуальным ролям, ответственностям и навыкам.
Оценка понимания сотрудников должна проводиться по завершении курса обучения для проверки уровня знаний.
Дисциплинарный процесс
Меры и средства
Должен существовать формальный и известный дисциплинарный процесс для принятия мер в отношении сотрудников, допустивших нарушение ИБ.
Рекомендации по реализации
Не следует начинать дисциплинарный процесс, не получив предварительного подтверждения того, что нарушение ИБ произошло.
Дисциплинарный процесс призван обеспечить уверенность в корректном и справедливом рассмотрении дел сотрудников, подозреваемых в совершении нарушений ИБ. Он должен обеспечивать дифференцированное реагирование, учитывающее такие факторы, как тип и тяжесть нарушения и его негативное влияние на бизнес, совершено ли нарушение впервые или повторно, получил ли нарушитель должную подготовку, законодательство, бизнес-контракты и другие требуемые факторы.
Дисциплинарный процесс должен использоваться как сдерживающий фактор для предотвращения нарушений сотрудниками политик и процедур ИБ и любых других нарушений ИБ организации. Преднамеренные нарушения требуют немедленных действий.
Дисциплинарный процесс может также стать мотивом или стимулом для уважительного отношения к требованиям ИБ.
3.3. Увольнение или изменение должности
Цель: Защищать интересы организации при увольнении или изменении должности сотрудника.
Увольнение или изменение обязанностей
Меры и средства
Ответственности и обязанности в сфере ИБ, которые остаются в силе после увольнения или изменения должности, должны быть определены, доведены до сотрудника или подрядчика и реализованы.
Рекомендация по реализации
Информирование об обязанностях при увольнении должно включать в себя актуальные требования ИБ и правовую ответственность и, при необходимости, обязанности, содержащиеся в соглашении о конфиденциальности, и условия трудоустройства, продолжающие действовать в течение определенного периода времени после увольнения сотрудника или подрядчика.
Ответственности и обязанности, которые остаются в силе после увольнения, должны быть включены в условия трудового договора сотрудника или контракта подрядчика.
Изменения обязанностей и условий труда должны приводить к расторжению существующего и заключению нового трудового договора, в котором будут установлены новые обязанности и условия труда.
4. Управление активами
Управление активами определяют следующие составляющие:
— ответственность за активы;
— безопасность активов;
— безопасность носителей информации.
4.1. Ответственность за активы
Цель: Определить активы организации и соответствующие ответственности по их защите.
Ответственность за активы обеспечивают следующие мероприятия:
— инвентаризация активов;
— принадлежность активов;
— использование активов;
— возврат активов.
Инвентаризация активов
Меры и средства
Организация должна идентифицировать активы, связанные с информацией и средствами для обработки информации, составить и вести их инвентарную опись.
Рекомендации по реализации
Организация должна идентифицировать все активы с учетом важности жизненного цикла информации и документа. Жизненный цикл информации состоит из создания, обработки, хранения, передачи, уничтожения и разрушения. Документация должна быть надлежащим образом внесена в существующие или новые описи.
Опись актива должна быть аккуратной, актуальной, последовательной и совместимой с другими описями.
Владение активом и классификация информации должны быть определены в отношении каждого актива.
Описи активов помогают обеспечивать уверенность в том, что активы организации эффективно защищены. Эти описи могут также потребоваться для других целей, таких как обеспечение безопасности труда, страховые или финансовые вопросы.
Принадлежность активов
Меры и средства
Активы, содержащиеся в описи, должны иметь владельцев.
Рекомендации по реализации
Физические лица, также как и другие субъекты, возложившие на себя одобренную руководством ответственность за жизненный цикл актива, квалифицируются как его владельцы.
Как правило, используется процесс временного назначения владения активом. Владение должно быть назначено, когда активы созданы и переданы организации. Владелец актива должен нести ответственность за надлежащее управление активом на протяжении всего его жизненного цикла.
Владелец актива должен:
— удостовериться, что активы инветаризированы;
— удостовериться, что активы надлежащим образом классифицированы и защищены;
— определять и пересматривать ограничения и классификации актива для важных активов с учетом применяемых правил разграничения доступа;
— принять надлежащие меры в случае уничтожения или разрушения актива.
В сложных ИС можно выделить группы активов, участвующих в обеспечении определенного сервиса. В этом случае владелец сервиса несет ответственность за обеспечение сервиса, включая работу этих активов.
Использование активов
Меры и средства
Правила использования информации и активов, связанных с информацией и средствами ее обработки, должны быть определены, задокументированы и внедрены.
Рекомендации по реализации
Сотрудники и представители внешних организаций, использующие или имеющие доступ к активам организации, должны быть осведомлены о требованиях ИБ в отношении активов организации, связанных с информацией, ресурсами и средствами ее обработки. Они должны нести ответственность за использование ими любых ресурсов для обработки информации и любое подобное использование в сфере их ответственности.
Возврат активов
Меры и средства
Все сотрудники организации и представители внешних организаций обязаны возвратить все активы организации, которые им были выданы, после окончания трудового договора, контракта или соглашения.
Рекомендации по реализации
Процесс увольнения должен быть формализован таким образом, чтобы включать в себя возврат ранее выданных физических и электронных активов, числящихся за организацией.
Если сотрудник или представитель внешней организации купил оборудование организации или пользуется личным оборудованием, при увольнении необходимо предусмотреть процедуры по возврату информации организации и надежному ее удалению на этом оборудовании.
Если сотрудник или представитель внешней организации знает важную информацию по обеспечению непрерывности операций, она быть задокументирована и передана организации.
Во время увольнения организация должна контролировать несанкционированное копирование соответствующей информации (например, интеллектуальной собственности) увольняемыми.
4.2. Безопасность информации
Цель: Обеспечить надлежащий уровень защиты информации в соответствии с ее важностью для организации.
Безопасность активов обеспечивают следующие мероприятия:
— классификация информации;
— маркировка информации;
— обработка активов.
Классификация информации
Меры и средства
Информация должна быть классифицирована с учетом правовых требований, ценности, критичности и чувствительности к несанкционированному разглашению или модификации.
Рекомендации по реализации
Классификации и меры защиты информации должны соответствовать требованиям бизнеса по распространению и ограничению информации с учетом правовых норм. Классификация активов может отличаться от классификации информации, которая хранится, обрабатывается и защищается активом, но при этом должна быть с нею согласована.
Владельцы информационных активов должны нести ответственность за их классификацию.
Схема классификации информации должна содержать правила и критерий пересмотра классификации с течением времени. Уровень защиты в схеме должен быть установлен путем анализа конфиденциальности, целостности и доступности и других требований к информации. Схема должна соответствовать правилам разграничения доступа.
Информация может перестать быть конфиденциальной по истечении некоторого периода времени и становится общедоступной. Эти аспекты необходимо принимать во внимание, поскольку присвоение более высокой категории может привести к реализации избыточных мер защиты и, как следствие, дополнительным расходам.
Каждый уровень должен иметь название в контексте применения схемы классификации.
Схема должна способствовать во всей организации тому, чтобы каждый мог классифицировать информацию и связанные с ней активы, иметь общее понимание требований защиты и применять надлежащую защиту.
Классификация должна быть включена в процессы организации и быть согласованной по всей организации. Результаты классификации должны показывать ценность активов в зависимости от их чувствительности и критичности для организации, например, конфиденциальности, целостности и доступности. Результаты классификации должны обновляться в соответствии с изменениями ценности, чувствительности и критичности активов на протяжении всего их жизненного цикла.
Классификацию проводят люди, работающие с информацией и четко осознающие, как ее обрабатывать и защищать. Создание информационных групп со схожей защитой требует и определяет процедуры ИБ, применимые для всей информации в каждой группе. Такой подход снижает необходимость оценки риска и поиска мер защиты в каждом конкретном случае.
Информация может перестать быть чувствительной или критичной после определенного периода времени, например, когда станет публичной. Такие аспекты надо принимать во внимание, поскольку избыточная классификация может приводить к внедрению ненужных мер защиты и дополнительным расходам, а недостаточная — подвергать опасности достижение бизнес-целей.
Схема классификации конфиденциальности информации может содержать, например, четыре следующих уровня:
— разглашение не приносит вреда;
— разглашение вызывает небольшое затруднение и оперативное неудобство;
— разглашение имеет серьезное короткое влияние на операции или тактические цели;
— разглашение имеет серьезное влияние на долговременные стратегические цели или подвергает деятельность организации риску.
Маркировка информации
Меры и средства
Соответствующий набор процедур маркировки информации должен быть разработан и внедрен в соответствии со схемой ее классификации, принятой в организации.
Рекомендации по реализации
Процедуры маркировки должны охватывать информацию и связанные с ней активы как в физической, так и в электронной форме. Маркировка должна отражать установленную схему классификацию. Метки должны быть легко распознаваемыми.
Процедуры должны указывать, где и как наносить метки с учетом видов доступа к информации или обработки активов в зависимости от типов носителя. Процедуры должны определять, когда маркировка не применяется, например, для неконфиденциальной информации, для снижения нагрузок.
Сотрудники и подрядчики должны быть осведомлены о процедурах маркировки.
Выходные данные ИС, содержащие информацию, классифицированную как чувствительную или критичную, должны иметь соответствующую классификационную метку.
Маркировка классифицированной информации является ключевым требованием для соглашений по распространению информации. Физические метки и метаданные являются общепризнаной формой маркировки.
Обработка активов
Меры и средства
Процедуры обработки активов должны быть разработаны и внедрены в соответствии со схемой классификации информации, принятой в организации.
Рекомендации по реализации
Процедуры должны быть установлены для обработки, хранения и передачи информации в соответствии с ее классификацией.
Необходимо рассмотреть следующие рекомендации:
— ограничения доступа в соответствии с требованиями защиты для каждого уровня классификации;
— ведение формальной записи авторизованных получателей активов;
— соответствие защиты любых копий информации уровню защиты исходной информации;
— хранение ИТ активов в соответствии с рекомендациями изготовителей;
— четкая маркировка всех копий носителей информации для авторизованного получателя.
Для каждого уровня классификации должны быть определены процедуры доступа и использования информационных активов, включающие безопасную обработку, хранение, передачу, присвоение и снятие грифа секретности, а также уничтожение. Сюда следует также отнести процедуры по обеспечению регистрации любого события, имеющего значение для ИБ, и хранению этих данных.
Сотрудники и представители внешних организаций, имеющие право доступа к активам организации, должны быть осведомлены о существующих ограничениях по использованию разных видов информационных активов в соответствии со схемой их классификации и маркировки, принятой в организации. Они должны нести ответственность за использование ими активов организации.
4.3. Безопасность носителей информации
Цель: Предотвратить несанкционированные действия с информацией, хранящейся на носителях информации.
Безопасность носителей информации обеспечивают следующие мероприятия:
— управление носителями;
— уничтожение носителей;
— транспортировка носителей.
Управление носителями
Меры и средства
Должны быть внедрены процедуры управления носителями информации в соответствии со схемой классификации, принятой в организации.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации:
— в случае ненужности содержание перезаписываемого носителя, который будет вынесен за пределы организации, необходимо уничтожить без возможности восстановления;
— при необходимости, носители, выносимые за пределы организации, должны требовать авторизацию, и запись таких выносов следует хранить для аудита;
— все носители информации должны храниться в сейфе, безопасной среде в соответствии с рекомендациями изготовителей;
— если конфиденциальность и целостность данных считается важным, для их защиты на носителе должны использоваться средства криптографии;
— для снижения риска потери данных на старом носителе, пока он еще читаемый, необходимо их перезаписать на новый носитель;
— множественные копии ценных данных должны храниться на разных носителях для снижения риска случайного повреждения или потери данных;
— должна вестись регистрация носителей для уменьшения возможности потери данных;
— сменные дисковые накопители разрешается использовать только в случае, обусловленном потребностями бизнеса;
— там, где необходимо использование носителей, запись информации на такой носитель должна мониториться.
Процедуры и уровни авторизации должны быть задокументированы.
Уничтожение носителей
Меры и средства
Если носитель больше не нужен, он должен быть надежно уничтожен в соответствии с формальной процедурой.
Рекомендации по реализации
Формальные процедуры надежного уничтожения носителей должны буть установлены для снижения риска утечки конфиденциальной информации посторонним лицам. Процедуры надежного уничтожения носителей, содержащих конфиденциальную информацию, должны соответствовать чувствительности этой информации.
Необходимо рассмотреть следующие рекомендации:
— носители, содержащие конфиденциальную информацию, должны храниться и уничтожаться надежно, например, путем сжигания и измельчения или стирания данных для другого применения внутри организации;
— должны существовать процедуры по выявлению носителей, которые необходимо уничтожить;
— проще принять меры по сбору и уничтожению всех носителей информации, чем выявлять носители с чувствительной информацией;
— многие организации предлагают сбор и сервисы уничтожения носителей, среди них надо выбрать ту, которая имеет адекватные меры защиты и квалификацию;
— уничтожение чувствительной информации должно регистрироваться, а запись храниться для аудита.
При сборе носителей для уничтожения необходимо учитывать эффект «перехода количества в качество», который может превратить большой объем нечувствительной информации в чувствительную.
Поврежденные устройства, содержащие чувствительные данные, могут потребовать оценку риска того, были ли они достаточно физически разрушены до того, как были выброшены или попали в ремонт.
Транспортировка носителей
Меры и средства
Носители должны быть защищены от несанкционированного доступа, неправильного использования или повреждения во время транспортировки.
Рекомендации по реализации
Для защиты носителей, содержащих информацию, при транспортировке необходимо учитывать следующие рекомендации:
— должен использоваться надежный транспорт или курьеры;
— список разрешенных курьеров необходимо согласовывать с руководством;
— необходимо разработать процедуры проверки благонадежности курьеров;
— упаковка должна быть прочной для защиты содержимого от физического повреждения, возможного при транспортировке и соответствовать рекомендациям изготовителей, например, защищать от экологических факторов, снижающих эффективность восстановления носителя, таких как высокая температура, влажность или электромагнитные поля;
— должны храниться записи, определяющие содержимое носителей, применяемую защиту, а также времени передачи курьерам и доставки адресату.
Информация может быть уязвимой для несанкционированного доступа, неправильного использования или повреждения в физическом транспорте, например, при отправлении почтой или курьером. В этом случае носители должны иметь сопроводительные документы.
Если конфиденциальная информация на носителе незашифрована, должна быть применена дополнительная физическая защита носителя.
5. Управление доступом
Управление доступом определяют следующие составляющие:
— правила разграничения доступа;
— управление доступом пользователей;
— ответственность пользователя;
— управление доступом к системе и приложениям.
5.1. Требования разграничения доступа
Цель: Ограничить доступ к информации и средствам обработки информации.
Требования по управлению доступом определяют следующие составляющие:
— правила разграничения доступа;
— доступ к сетям и сетевым сервисам.
Правила разграничения доступа
Меры и средства
Правила разграничения доступа должны быть разработаны, задокументированы и пересматриваться на основе требований ИБ и бизнеса.
Рекомендации по реализации
Владельцы активов должны определить надлежащие правила разграничения доступа, права доступа и ограничения для определенных пользовательских ролей по отношению к их активам с детализацией и строгостью разграничений, отражающих соответствующие риски ИБ.
Разграничения доступа являются как логическими, так и физическими, и должны рассматриваться вместе. Пользователи и провайдеры услуг должны четко обозначить требования бизнеса, которые должны удовлетворить разграничения доступа.
Правила должны учесть следующее:
— требования к безопасности прикладных программ бизнеса;
— политики распространения информации и авторизации, например, общепризнанные принципы и уровни ИБ и классификацию информации;
— согласованность между правами доступом и политиками классификации информации систем и сетей;
— требования законодательства и договорные обязательства по ограничению доступа к данным или услугам;
— управление правами доступа в распределенных и сетевых средах, которые распознают все типы возможных соединений;
— разделение ролей разграничения доступа, например, запрос доступа, авторизация доступа, администрирование доступа;
— требования к формальной авторизации прав доступа;
— требования к периодическому пересмотру управления доступом;
— аннулирование прав доступа;
— архивирование записей всех серьезных событий по использованию и управлению удостоверениями пользователей и секретной информацией автентификации;
— роли привилегированного доступа.
При разработке правил разграничения доступа необходимо учесть следующее:
— установление правил на основании предпосылки «Запрещено все, что не разрешено» вместо «Разрешено все, что не запрещено»;
— изменения информационных меток, инициированные автоматически средствами обработки информации и по усмотрению пользователя;
— изменения пользовательских разрешений, инициированные автоматически ИС и администратором;
— наличие правил, требующих определенного утверждения перед введением в действие и не требующих.
Правила разграничения доступа должны поддерживаться формальными процедурами и определять ответственности.
Разграничение ролевого доступа является тем подходом, которым пользуются многие организации для связывания прав доступа с бизнес-ролями.
Два общепризнанных принципа правил разграничения доступа:
— знание: наличие доступа только к информации, необходимой для выполнения задач (разные задачи/роли означают разную потребность знаний и следовательно разный профиль доступа);
— использование: наличие доступа только к средствам обработки информации, необходимым для выполнения задачи/работы/роли (ИТ оборудование, приложения, процедуры, кабинеты).
Доступ к сетям и сетевым сервисам
Меры и средства
Пользователям должен предоставляться доступ к сетям и сетевым сервисам, когда они имеют официальные полномочия на это.
Рекомендации по реализации
Следует сформулировать политику использования сетей и сетевых услуг.
В политике необходимо рассмотреть:
— сети и сетевые услуги, к которым разрешен доступ;
— процедуры авторизации для определения того, кому и к каким сетям и сетевым услугам разрешен доступ;
— процедуры и средства управления по защите доступа к сетевым подключениям и сетевым услугам;
— средства доступа к сетям и сетевым услугам (например, VPN или беспроводной сети);
— требования пользовательской аутентификации для доступа к разным сетевым сервисам;
— мониторинг использования сетевых сервисов.
Политика использования сетевых сервисов должна быть согласована с правилами разграничения доступа организации.
Неавторизованные и незащищенные подключения к сетевым сервисам могут повлиять на всю организацию. Такой контроль очень важен для сетевых подключений к чувствительным и критичным бизнес-приложениям или к пользователям в местах повышенного риска, например, публичных или удаленных регионах, находящихся вне зоны контроля и управления ИБ организации.
5.2. Управление доступом пользователей
Цель: Обеспечить авторизованный доступ пользователей и предотвратить неавторизованный доступ к системам и сервисам.
Управление доступом пользователей обеспечивают следующие мероприятия:
— регистрация и ее отмена;
— предоставление доступа;
— пересмотр прав доступа;
— удаление или изменение прав доступа.
Управление доступом пользователей обеспечивает также управление следующим:
— правами привилегированного доступа;
— паролями.
Регистрация и ее отмена
Меры и средства
Формальный процесс регистрации пользователя ее отмены должен быть внедрен для предоставления прав доступа.
Рекомендации по реализации
Процесс управления идентификаторами пользователя должен включать:
— использование уникальных идентификаторов пользователя, позволяющих отследить их действия и ответственность за них; использование распространенных идентификаторов должно быть разрешено только в случае оперативной или бизнес-необходимости, задокументировано и утверждено;
— немедленную деактивацию или удаление идентификаторов пользователя после его увольнения;
— периодическую идентификацию и деактивацию или удаление ненужных идентификаторов пользователя;
— гарантию того, что деактивированные идентификаторы не достались другим пользователям.
Разрешение или запрет доступа к информации и средствам ее обработки состоит из следующих двух этапов:
— создание и активация или деактивация идентификатора пользователя;
— активация или деактивация прав доступа идентификатора пользователя.
Предоставление доступа
Меры и средства
Формальный процесс предоставления доступа должен быть внедрен для назначения или отмены прав доступа для всех типов пользователя во всех системах и сервисах.
Рекомендации по реализации
Процесс предоставления доступа должен включать:
— получение полномочий от собственника ИС или сервиса для их использования;
— проверку того, что уровень предоставленного доступа соответствует правилам доступа и другим требованиям, например, разделения обязанностей;
— гарантию того, что права доступа не будут активированы (например, провайдером услуг) до завершения процедур авторизации;
— ведение централизованной записи прав доступа, предоставленных идентификатору пользователя для доступа к ИС и сервисам;
— изменение прав доступа пользователей, у которых изменилась роль или работа, и немедленную отмену или блокирование прав доступа пользователей после их увольнения;
— периодический пересмотр прав доступа вместе с собственниками ИС и сервисов.
Пересмотр прав доступа
Меры и средства
Владельцы активов должны пересматривать права доступа пользователей на регулярной основе.
Рекомендации по реализации
При пересмотре прав доступа должны учитываться следующие рекомендации:
— права доступа должны пересматриваться регулярно через определенные интервалы времени и после любых изменений, таких как повышение, понижение в должности или увольнение;
— права доступа пользователей должны пересматриваться и перераспределяться при переходе с одной должности на другую в пределах одной организации;
— полномочия привилигированных прав доступа должны пересматриваться чаще;
— присвоение привилегий должно регулярно проверяться, чтобы излишних привилегий никто не имел;
— изменения привилегированных учетных записей должны регистрироваться для периодического пересмотра.
Удаление или изменение прав доступа
Меры и средства
Права доступа к информации и средствам обработки информации всех сотрудников и представителей сторонней организации должны быть удалены по окончании их трудового договора, контракта или соглашения или откорректированы в случае каких-либо изменений.
Рекомендации по реализации
После увольнения права доступа к информации и активам, связанным со средствами обработки информации, должны быть удалены или блокированы. Изменение работы должно повлечь удаление тех прав доступа, которые не нужны на новой работе.
При удалении или изменении прав доступа необходимо учитывать как физические, так и логические аспекты доступа. Удаление или изменение прав доступа должно сопровождаться удалением, аннулированием или заменой ключей, карт идентификации, средств обработки информации или подписок.
Любая документация, определяющая права доступа сотрудников и подрядчиков, должна отражать удаление или изменения прав доступа.
Если увольняющийся сотрудник или представитель сторонней организации знает еще действующие пароли пользователей, они должны быть изменены после его увольнения или изменения условий трудового договора, контракта или соглашения.
Права доступа к информации и активам, связанным со средствами обработки информации, должны быть изменены или удалены до момента увольнения или изменения условий труда с учетом оценки следующих факторов риска:
— было ли увольнение или изменение условий труда инициировано сотрудником, представителем сторонней организации или руководством, и причина этого;
— текущие обязанности сотрудника, представителя сторонней организации или любого другого пользователя;
— ценность активов, доступных в настоящий момент.
В случае инициации увольнения руководством организации недовольные сотрудники или представители сторонней организации могут умышленно повредить информацию или средства ее обработки. Кроме того, увольняемые лица могут собирать информацию для последующего использования.
Управление правами привилегированного доступа
Меры и средства
Присвоение и использование прав привилегированного доступа должно ограничиваться и контролироваться.
Рекомендации по реализации
Присвоение прав привилегированного доступа должно контролироваться формальным процессом авторизации в соответствии с правилами разграничения доступа.
Необходимо рассмотреть следующие шаги:
— определение прав привилегированного доступа в отношении каждой системы или процесса, например, ОС, СУБД, приложения и пользователей, которым эти привилегии должны быть присвоены;
— права привилегированного доступа должны присваиваться пользователям на основании принципа их необходимости в соответствии с правилами разграничения доступа, т. е. минимума требований для их функциональных ролей;
— обеспечение процедуры авторизации и записи всех предоставленных привилегий; права привилегированного доступа не должны предоставляться до завершения процедуры авторизации;
— определение требований по сроку действия прав привилегированного доступа;
— идентификатор пользователя с правами привилегированного доступа должен отличаться от идентификаторов, выполняющих обычную работу, и не должен ее выполнять;
— полномочия пользователей с правами привилигированных доступа должны регулярно пересматриваться на предмет соответствия их обязанностям;
— обеспечение специальных процедур для предотвращения несанкционированного использования универсальных административных идентификаторов с учетом особенностей системной конфигурации;
— обеспечение конфиденциальности при совместном использовании пароля универсальных административных идентификаторов (например, частая смена паролей, особенно при увольнении или смене работы, их передача с помощью специальных механизмов).
Неправильное использование системных административных привилегий (любая функция или устройство ИС, предоставляющее возможность пользователю обойти системные или программные меры защиты) является главной причиной сбоев и отказов систем.
Управление паролями
Меры и средства
Присвоение секретной информации аутентификации (пароля) пользователей должно контролироваться посредством формального процесса управления.
Рекомендации по реализации
Формальный процесс управления должен включать следующие требования:
— пользователи должны подписать заявление о сохранении персонального пароля в тайне и хранить групповые пароли членов группы (например, при общем доступе); это подписанное заявление должно содержать сроки и условия трудоустройства;
— если пользователям необходимо самостоятельно управлять своими паролями, им следует первоначально предоставить безопасный временный пароль, который подлежит немедленной замене после входа в систему;
— должны быть созданы процедуры проверки личности пользователя прежде, чем ему будет предоставлен новый, сеансовый или временный пароль;
— временные пароли следует выдавать пользователям безопасным способом, необходимо исключить использование незащищенного (открытого) текста сообщений электронной почты;
— временные пароли должны быть уникальны для каждого пользователя и не должны быть легко угадываемыми;
— пользователи должны подтверждать получение паролей;
— пароли поставщика, установленные по умолчанию, необходимо изменить после инсталляции систем или ПО.
Пароли являются наиболее распространенным типом секретной информации аутентификации и средством проверки личности пользователя. Другим типом секретной информации аутентификации являются криптографические ключи и другие данные, хранящиеся на «токенах» (смарт-картах), создающих коды аутентификации.
5.3. Ответственность пользователя
Цель: Сделать пользователя ответственным за хранение информации аутентификации (пароля).
Пользование паролем
Меры и средства
Пользователи должны выполнять установленный в организации порядок использования секретной информации аутентификации (пароля).
Рекомендации по реализации
Всем пользователям надо посоветовать следующее:
— хранить секретную информацию аутентификации в тайне, исключая возможность его разглашения даже друзьям;
— не записывать секретную информацию аутентификации (например, на бумаге, ручном устройстве, в виде файла), за исключением того случая, когда используется безопасное место и надежный метод хранения (например, сейф паролей);
— менять секретную информацию аутентификации при малейшем признаке компрометации;
— если в качестве секретной информации аутентификации используется пароль, выбрать качественный пароль с минимально достаточной длиной, который:
• легко запомнить;
• не содержит того, что можно легко угадать, или какую-либо персональную информацию (например, имена, номера телефонов, даты рождения и т. п.);
• неуязвим для словарных атак (т. е. не содержит слов, включенных в словари);
• не содержит подряд идущих одинаковых символов, только цифровых или только буквенных;
• если временный, сразу сменить при первом входе в систему;
— не делиться индивидуальной секретной информацией аутентификации пользователя;
— надлежащим образом защищать и хранить пароли, используемые в качестве секретной информации аутентификации в процедурах автоматического входа;
— не использовать одну и ту же секретную информацию аутентификации для бизнес и не бизнес-целей.
Применение технологии «единого входа» (Single Sign-On, SSO) или других инструментов управления секретной информацией аутентификации снижает ее объем и тем самым может повысить эффективность ее защиты. Однако эти инструменты могут усилить влияние от разглашения секретной информации аутентификации.
5.4. Управление доступом к системе и приложениям
Цель: Предотвратить несанкционированный доступ к системе и приложениям.
Управление доступом к системе определяют следующие составляющие:
— процедуры безопасного входа;
— система управления паролями;
Управление доступом к приложениям обеспечивают следующие мероприятия:
— ограничение доступа к информации;
— использование системного ПО;
— управление доступом к исходным кодам программ.
Процедуры безопасного входа
Меры и средства
Доступ к системе и приложениям должен контролироваться с помощью процедуры безопасного входа в соответствии с правилами разграничения доступа.
Рекомендация по реализации
Должно быть выбрано соответствующее средство аутентификации для подтверждения заявленной личности пользователя.
Если требуется строгая аутентификация и проверка личности, вместо паролей должны использоваться такие методы аутентификации, как средства криптографии, биометрии, смарт-карты или токены.
Процедура входа в систему или приложение должна минимизировать возможность несанкционированного доступа. Процедура входа должна разглашать минимум информации о системе и приложении, чтобы избежать какого-либо содействия неавторизованному пользователю.
Правильная процедура входа должна:
— не отображать наименований системы и приложений, пока процесс входа не будет успешно завершен;
— отображать общее предупреждение о том, что доступ к компьютеру могут получить только авторизованные пользователи;
— не предоставлять сообщений-подсказок в течение процедуры начала сеанса, которые могли бы помочь неавторизованному пользователю;
— подтверждать информацию начала сеанса только по завершении ввода всех исходных данных, а в случае ошибочного ввода не показывать, какая часть данных является правильной или неправильной;
— защищать от перебора попыток входа;
— регистрировать успешные и неуспешные попытки входа;
— повысить событие безопасности в случае выявления потенциальных попыток и реального нарушения мер защиты входа;
— отображать следующую информацию после завершения успешного входа:
• дату и время предыдущего успешного входа;
• детали любых неуспешных попыток входа, начиная с последнего успешного входа;
— не отображать введенный пароль;
— не передавать пароли открытым текстом по сети;
— завершать неактивные сессии после определенного периода неактивности, особенно в местах повышенного риска, таких как публичные или удаленные регионы, вне зоны управления безопасностью организации или на мобильных устройствах;
— ограничивать время соединения для обеспечения дополнительной безопасности для прикладных программ повышенного риска и уменьшения временных возможностей неавторизованного пользователя.
Пароль является обычным средством идентификации и аутентификации, основанным на тайне, известной только пользователю. То же самое может также достигаться средствами криптографии и протоколами аутентификации. Стойкость аутентификации пользователя должна соответствовать классификации информации, к которой осуществляется доступ.
Если пароли передаются открытым текстом в течение сеанса входа по сети, они могут быть перехвачены сетевой «sniffer» — программой (анализатором трафика).
Система управление паролями
Меры и средства
Системы управления паролями должны быть интерактивными и обеспечивать качество паролей.
Рекомендации по реализации
Система управления паролями должна:
— предписывать использование индивидуальных идентификаторов пользователя и паролей для установления ответственности;
— разрешать пользователям выбор и смену своих паролей и включать процедуру подтверждения ошибок ввода;
— предписывать использование качественных паролей;
— заставлять пользователей менять временные пароли при первом начале сеанса;
— предписывать регулярную смену паролей и по необходимости;
— вести учет ранее использованных паролей и предотвращать их повторное использование;
— не отображать пароли на экране при их вводе;
— хранить файлы паролей отдельно от прикладных системных данных;
— хранить и передавать пароли в защищенной форме.
Ограничение доступа к информации
Меры и средства
Доступ к информации и прикладным функциям системы должен ограничиваться в соответствии с правилами разграничения доступа.
Рекомендации по реализации
Ограничения доступа должно базироваться на индивидуальных требованиях бизнес-приложений в соответствии с определенными правилами разграничения доступа.
Для обеспечения ограничения доступа необходимо рассмотреть следующее:
— создание пунктов меню управления доступом к прикладным функциям системы;
— контроль, к каким данным может получить доступ конкретный пользователь;
— контроль прав доступа пользователей, например, чтение, запись, удаление, изменение;
— контроль прав доступа других прикладных программ;
— ограничение информации, содержащейся в выходных данных;
— внедрение мер защиты физического или логического доступа для изоляции чувствительных прикладных программ, прикладных данных или систем.
Использование системного программного обеспечения
Меры и средства
Использование системного программного обеспечения (далее — ПО), способного обойти меры защиты системы и приложения, должно быть ограничено и строго контролироваться.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации:
— использование процедур идентификации, аутентификации и авторизации для системного ПО;
— отделение системного ПО от прикладного;
— ограничение использования системного ПО минимальным числом доверенных авторизованных пользователей;
— авторизация на специальное использование системного ПО;
— ограничение доступности системного ПО, например, на время внесения санкционированных изменений;
— регистрация всех использований системного ПО;
— определение и документирование уровней полномочий в отношении системного ПО;
— удаление или блокирование ненужного системного ПО;
— запрет доступа к системному ПО для пользователей, имеющих доступ к приложениям в системах, где требуется разделение обязанностей.
Контроль доступа к исходному коду программы
Меры и средства
Доступ к исходному коду программы должен быть ограничен.
Рекомендации по реализации
Доступ к исходному коду программы и связанным с ним элементам (таким как оформление, рекомендации, планы проверки и планы утверждения) должны четко контролироваться для предотвращения появления несанкционированной функциональности и избежания неумышленных изменений, а также для конфиденциальности интеллектуальной собственности. Это можно достигнуть путем контролируемого централизованного хранения исходного кода программы, желательно в библиотеках исходного кода программ.
Чтобы снизить возможность искажения компьютерных программ, необходимо рассмотреть следующие рекомендации:
— по возможности, следует избегать хранения библиотек исходного кода программ в операционных системах;
— управление исходным кодом программы и его библиотеками следует осуществлять в соответствии с установленными процедурами;
— персонал поддержки не должен иметь неограниченный доступ к библиотекам исходного кода программ;
— обновление библиотек исходного кода программ и связанных с ним элементов, а также предоставление исходного кода программистам должны осуществляться только после получения ими соответствующих полномочий;
— распечатки (листинги) программ следует хранить в безопасной среде;
— в журнале аудита должны фиксироваться все обращения к библиотекам исходного кода программ;
— поддержку и копирование библиотек исходного кода программ следует осуществлять в соответствии с четкими процедурами контроля изменений.
Если исходный код программы необходимо опубликовать, должны быть приняты дополнительные меры защиты его целостности (например, цифровая подпись).
6. Криптография
6.1. Средства криптографии
Цель: Обеспечить корректное и эффективное использование криптографии для защиты конфиденциальности, достоверности и/или целостности информации.
Управление средствами криптографии определяют следующие составляющие:
— политика использования средств криптографии;
— управление ключами.
Политика использования средств криптографии
Меры и средства
Политика использования средств криптографии для защиты информации должна быть разработана и внедрена.
Рекомендации по реализации
При разработке политики криптографии необходимо учитывать следующее:
— позицию руководства по использованию средств криптографии во всей организации, включая общие принципы защиты бизнес-информации;
— основанный на оценке риска требуемый уровень защиты, который должен быть определен с учетом типа, стойкости и качества требуемого криптоалгоритма;
— использование шифрования для защиты нформации, передаваемой с помощью мобильных устройств или сменных носителей или по линиям связи;
— подход к управлению ключами, включающему методы по защите криптоключей и восстановлению зашифрованной информации в случае потери, компрометации или повреждения ключей;
— роли и ответственности, например, кто отвечает за:
• внедрение политики;
• управление ключами, включая генерацию ключей;
— стандарты, которые должны быть приняты для эффективной реализации во всей организации (какое решение используется для каких бизнес-процессов);
— влияние использования зашифрованной информации на меры защиты, предназначенные для проверки содержимого (например, обнаружения вирусов).
При внедрении политики криптографии должны быть учтены правила и национальные ограничения, применяемые к использованию средств криптографии в разных частях мира и перемещению через границы зашифрованной информации.
Средства криптографии могут использоваться для достижения разных целей ИБ, например:
— конфиденциальности — шифрованием чувствительной или критичной информации как хранимой, так и передаваемой;
— целостности / достоверности — использованием цифровых подписей или кодов аутентификации сообщений для проверки целостности или аутентичности хранимой или передаваемой чувствительной или критичной информации;
— неотказуемости — использованием методов криптографии для получения подтверждения того, что событие или действие имело место;
— аутентификации — использованием методов криптографии для удостоверения пользователей и других системных объектов, запрашивающих доступ к системным пользователям, объектам и ресурсам или работающих с ними.
Выбор надлежащих средств криптографии должен рассматриваться как часть обширного процесса оценки риска и выбора мер защиты. Эта оценка может быть использована для определения соответствия средства криптографии, какой тип защиты надо применить и для какой цели и бизнес-процесса.
Политика использования средств криптографии необходима для обеспечения максимума преимуществ и минимума рисков от их использования, а также для предотвращения неправильного использования.
Управление ключами
Меры и средства
Политика использования, защиты и срока действия криптоключей должна быть разработана и внедрена на протяжении всего их жизненного цикла.
Рекомендации по реализации
Политика должна содержать требования по управлению криптоключами на протяжении всего их жизненного цикла, включая генерацию, хранение, архивирование, получение, распределение, изъятие и уничтожение ключей.
Криптоалгоритмы, длины ключа и правила использования должны выбираться, исходя из наилучшего практического опыта. Соответствующее управление ключами требует безопасных процессов для генерации, хранения, архивирования, получения, распределения, изъятия и уничтожения криптоключей.
Все криптоключи должны быть защищены от модификации и утери. Кроме того, секретный и личный ключи требуют защиты от несанкционированного использования, а также разглашения. Оборудование для генерации, хранения и архивирования ключей должно быть защищено физически.
Система управления ключами должна быть основана на согласованном множестве стандартов, процедур и безопасных методов для:
— генерации ключей для различных криптосистем и приложений;
— изготовления и получения сертификатов открытых ключей;
— рассылки ключей предполагаемым пользователям, включая обучение активации ключей после получения;
— хранения ключей, включая обучение авторизованных пользователей получению доступа к ключам;
— замены или обновления ключей, включая правила и сроки замены ключей;
— действий в отношении скомпрометированных ключей;
— аннулирования ключей, включая порядок изъятия и деактивации, например, при компрометации ключей или увольнении пользователя (в каком случае ключи должны быть также архивированы);
— восстановления ключей, которые были утеряны или испорчены;
— резервного копирования или архивирования ключей;
— уничтожения ключей;
— регистрации и аудита действий, связанных с управлением ключами.
Для снижения вероятности неправильного использования ключей их даты активации и деактивации должны быть определены таким образом, чтобы они использовались только на протяжении того времени, которое определено политикой управления ключами.
7. Физическая и экологическая безопасность
Физическую и экологическую безопасность определяют следующие составляющие:
— зоны безопасности;
— безопасность оборудования.
7.1. Зоны безопасности
Цель: Предотвратить несанкционированный физический доступ, повреждение и вмешательство в информацию и средства обработки информации.
Зоны безопасности определяют следующие составляющие:
— периметр физической безопасности;
— работа в зонах безопасности;
— зоны доставки и погрузки/разгрузки.
— управление физическим доступом;
— защита помещений и оборудования;
— защита от окружающей среды.
Периметр физической безопасности
Меры и средства
Периметры физической безопасности должны быть определены и использованы для защиты зон, содержащих чувствительную или критичную информацию или средства ее обработки.
Рекомендация по реализации
В отношении периметров физической безопасности необходимо рассматривать и реализовывать следующие рекомендации:
— должны быть определены периметры безопасности, а размещение и надежность каждого из периметров должны зависеть от требований безопасности активов, находящихся в пределах периметра, и результатов оценки риска;
— периметры здания или помещений, где расположены средства обработки информации, должны быть физически прочными (т. е. не должно быть никаких промежутков в периметре или мест, через которые можно было бы легко проникнуть);
внешние стены помещений должны иметь твердую конструкцию, а все внешние двери должны быть соответствующим образом защищены от несанкционированного доступа контрольными механизмами (например, шлагбаумом, сигнализацией, замками т. п.);
двери и окна помещений в отсутствие сотрудников должны быть заперты, и внешняя защита должна быть предусмотрена для окон, особенно если они находятся на уровне земли;
— должна существовать зона регистрации посетителей или другие меры для контроля физического доступа в помещения или здания; доступ в помещения и здания должен предоставляться только уполномоченному персоналу;
— должны быть установлены физические барьеры для предотвращения несанкционированного физического доступа и экологического загрязнения;
— все пожарные выходы в периметре безопасности должны оборудоваться аварийной сигнализацией, мониториться и тестироваться вместе со стенами, чтобы создать требуемый уровень устойчивости в соответствии с действующими стандартами;
— должны быть установлены необходимые системы обнаружения вторжения, соответствующие действующим стандартам, и регулярно тестироваться на предмет охвата всех внешних дверей и доступных окон, неохваченные зоны необходимо ставить на круглосуточную сигнализацию; охвачены должны быть также и такие зоны, как компьютерный кабинет или комнаты связи;
— необходимо физически изолировать средства обработки информации, управляемые организацией, от таких же средств, управляемых сторонними организациями.
Физическая безопасность может достигаться созданием одного или нескольких физических барьеров вокруг помещений и средств обработки информации организации. Использование множества барьеров дает дополнительную защиту, поскольку нарушение одного барьера не приводит к немедленной компрометации безопасности.
Зона безопасности может включать оффис или несколько помещений, окруженных общим внутренним физическим барьером безопасности. Внутри периметра безопасности могут потребоваться дополнительные барьеры и периметры контроля физического доступа между зонами с разными требованиями безопасности.
Специальное внимание надо уделить безопасности физического доступа в здания, содержащие активы многих организаций.
Работа в зонах безопасности
Меры и средства
Процедуры работы в зонах безопасности должны быть разработаны и внедрены.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации:
— о существовании зоны безопасности и проводимых там работах персонал должен быть осведомлен только в случае необходимости;
— необходимо избегать неконтролируемой работы в зонах безопасности из соображений безопасности и предотвращения возможности злонамеренных действий;
— пустующие зоны безопасности необходимо физически запирать и периодически просматривать;
— использование фото-, видео-, аудио— и другого записывающего оборудования, такого как камеры мобильных устройств, должно быть запрещено, если только на это не получено специальное разрешение.
Соглашения о работе в зонах безопасности включает контроль работы сотрудников и представителей сторонних организаций в зоне безопасности, охватывающий все действия в этой зоне.
Зоны доставки и погрузки/разгрузки
Меры и средства
Такие места доступа, как зоны доставки и погрузки/разгрузки и другие, где посторонние лица могут попасть в помещения, должны контролироваться и, при возможности, изолироваться от средств обработки информации во избежание несанкционированного доступа.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации:
— доступ к зоне доставки и погрузки/разгрузки из-вне здания должен быть ограничен только уполномоченным персоналом;
— зона доставки и погрузки/разгрузки не должна предоставлять персоналу поставщика при погрузке и разгрузке доступа к другим частям здания;
— должна быть обеспечена безопасность внешних дверей зоны доставки и погрузки/разгрузки в то время, когда внутренние двери открыты;
— поступающий материал должен быть проверен на наличие взрывчатки, химикатов и других вредных материалов прежде, чем будет вынесен из зоны доставки и погрузки/разгрузки;
— поступающий материал должен регистрироваться при въезде на площадку в соответствии с процедурами управления активами;
— по возможности, ввозимые и вывозимые грузы должны быть физически разделены;
— поступающий материал должен быть проверен на предмет фальсификации на маршруте. О выявлении такого факта необходимо немедленно доложить службе безопасности.
Управление физическим доступом
Меры и средства
Зоны безопасности должны быть защищены средствами контроля, обеспечивающими доступ только уполномоченного персонала.
Рекомендация по реализации
Следует принимать во внимание следующие рекомендации:
— дата и время входа и выхода посетителей должны регистрироваться, и всех посетителей необходимо сопровождать, за исключением случаев заблаговременного согласования;
доступ следует предоставлять только для выполнения определенных задач, а также необходимо инструктировать посетителей на предмет требований безопасности и действий в случае аварийных ситуаций;
идентификацию посетителей необходимо осуществлять надлежащим образом;
— доступ к зонам, где обрабатывается или хранится конфиденциальная информация, должен ограничиваться только уполномоченными лицами путем применения соответствующих средств контроля, например, механизма двухфакторной аутентификации, такого как карта доступа и секретный персональный идентификационный номер (PIN);
— необходимо вести и мониторить записи регистрации любого доступа в защищенном физическом и электронном контрольном журнале;
— необходимо требовать, чтобы все сотрудники, подрядчики и представители сторонних организаций носили ту или иную форму видимого идентификатора и незамедлительно уведомляли сотрудников службы безопасности о замеченных несопровождаемых посетителях и лицах, не носящих видимого идентификатора;
— доступ в зоны безопасности или к средствам обработки конфиденциальной информации персоналу служб поддержки сторонних организаций следует предоставлять только при необходимости; такой доступ должен быть санкционирован и мониториться;
— права доступа в зоны безопасности следует регулярно пересматривать, обновлять и аннулировать при необходимости.
Защита помещений и оборудования
Меры и средства
Физическая безопасность оффисов, помещений и оборудования должна быть спроектирована и внедрена.
Рекомендации по реализации
В отношении защиты оффисов, помещений и оборудования необходимо учитывать следующие рекомендации:
— ключевое оборудование должно быть расположено в местах, где ограничен доступ посторонних лиц;
— здания, по возможности, должны давать минимум информации об их предназначении, не должны иметь явных признаков снаружи и внутри, позволяющих установить наличие деятельности по обработке информации;
— оборудование должно иметь такую конфигурацию, чтобы исключить просматривание и прослушивание конфиденциальной информации в выходных данных; электромагнитное поле также надо рассмотреть соответствующим образом;
— справочники и внутренние телефонные книги, указывающие на местоположение средств обработки конфиденциальной информации, не должны быть доступными для посторонних лиц.
Защита от окружающей среды
Меры и средства
Физическая защита от стихийных бедствий, умышленных атак или общественных беспорядков должна быть спроектирована и внедрена.
Рекомендации по реализации
Следует проконсультироваться у специалиста по вопросу предотвращения ущерба от пожара, наводнения, землетрясения, взрыва, общественного беспорядка и других естественных и искусственных бедствий.
7.2. Безопасность оборудования
Цель: Предупредить потерю, порчу, хищение или компрометацию активов и прерывание деятельности организации.
Безопасность оборудования определяют следующие составляющие:
— размещение и защита оборудования;
— вспомогательное оборудование;
— кабельная безопасность;
— обслуживание оборудования.
— перемещение активов;
— безопасность активов вне территории организации;
— безопасное уничтожение активов;
— безопасность оборудования без присмотра;
— политика чистого рабочего стола и экрана.
Размещение и защита оборудования
Меры и средства
Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от внешних угроз и возможности несанкционированного доступа.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации для защиты оборудования:
— оборудование следует размещать таким образом, чтобы свести к минимуму доступ в рабочие зоны;
— средства обработки информации, содержащей чувствительные данные, следует размещать таким образом, чтобы уменьшить риск просмотра информации посторонними лицами во время их работы;
— средства хранения следует защищать от несанкционированного доступа;
— для снижения общего уровня требуемой защиты необходимо выделить элементы, требующие специальной защиты;
— меры защиты должны быть внедрены таким образом, чтобы свести к минимуму риск физических и экологических угроз, например, хищение, пожар, взрывы, задымление, затопление, запыление, вибрация, химическое воздействие, помехи в линиях электроснабжения и коммуникаций, электромагнитное излучение и вандализм;
— необходимо установить правила приема пищи, питья и курения вблизи средств обработки информации;
— следует проводить мониторинг состояния окружающей среды по выявлению неблагоприятных условий, таких как температура и влажность, для функционирования средств обработки информации;
— на всех зданиях должна быть установлена защита от молнии, а на входе всех линий электроснабжения и коммуникации — фильтры защиты от молнии;
— оборудование, расположенное в промышленной среде, следует защищать специальными средствами, такими как защитные пленки для клавиатуры;
— оборудование, обрабатывающее конфиденциальную информацию, должно быть защищено от утечки информации из-за электромагнитного излучения.
Вспомогательное оборудование
Меры и средства
Оборудование должно быть защищено от сбоев электропитания и других нарушений, вызванных отказами в работе вспомогательного оборудования.
Рекомендации по реализации
Вспомогательное оборудование (например, связи, электро-, водо-, газоснабжения, канализации, вентиляции, кондиционирования) должно:
— соответствовать рекомендациям изготовителя оборудования и правовым требованиям;
— регулярно оцениваться на предмет поддержки развития бизнеса и взаимодействия с другим вспомогательным оборудованием;
— регулярно проверяться и тестироваться на предмет уверенности в их должном функционировании;
— при необходимости иметь сигнализацию выявления неисправности;
— при необходимости иметь несколько каналов с разной физической маршрутизацией.
Аварийные выключатели и краны электро-, водо-, газоснабжения и другого оборудования необходимо расположить около запасных выходов и помещений, в которых оно находится.
Дополнительное резервирование для сетевых коммуникаций может быть обеспечено по нескольким маршрутам более, чем от одного провайдера.
Кабельная безопасность
Меры и средства
Кабели электропитания и телекоммуникаций, поддерживающие обмен данными и информационные сервисы, должны быть защищены от перехвата, помехи или повреждения.
Рекомендации по реализации
Следует рассмотреть для кабельной безопасности следующие рекомендации:
— линии электропитания и телекоммуникаций средств обработки информации должны, по возможности, располагаться под землей или иметь адекватную альтернативную защиту;
— кабели электропитания и телекоммуникаций должны быть разделены, чтобы избежать взаимных помех;
— для чувствительных или критичных систем дальнейшие меры защиты должны включать:
• использование бронированного кабелепровода и закрытие комнат и боксов на контрольных и конечных точках;
• использование электромагнитного экранирования для защиты кабелей;
• проведение технических чисток и физических проверок кабелей на предмет подключения устройств перехвата;
• контроль доступа к коммутационным панелям и кабельным помещениям.
Обслуживание оборудования
Меры и средства
Оборудование должно правильно обслуживаться для обеспечения его непрерывной доступности и целостности.
Рекомендации по реализации
Следует рассмотреть для обслуживания оборудования следующие рекомендации:
— оборудование должно обслуживаться в соответствии с рекомендуемой поставщиком периодичностью и техническими регламентами;
— техническое обслуживание и ремонт оборудования должны проводиться только уполномоченным персоналом;
— следует хранить записи обо всех неисправностях и всех видах технического обслуживания;
— при планировании технического обслуживания необходимо учитывать, будет ли оно проводиться персоналом организации или за ее пределами; при необходимости, конфиденциальная информация из оборудования должна быть удалена, или специалисты по техническому обслуживанию должны иметь соответствующий допуск;
— все техническое обслуживание, предусмотренное полисом страховки, должно быть выполнено;
— перед введением оборудования в эксплуатацию после технического обслуживания оно должно быть проверено на наличие несанкционированных изменений и некорректной работы.
Перемещение активов
Меры и средства
Оборудование, информация или ПО не должны перемещаться за пределы организации без предварительного разрешения.
Рекомендации по реализации
Необходимо учитывать следующие рекомендации:
— сотрудники и представители сторонних организаций, имеющие право разрешать перемещение активов за пределы организации, должны быть определены;
— сроки отсутствия активов должны быть установлены и проверены на соответствие при их возврате;
— при необходимости факты перемещения активов за пределы организации и их возврата следует регистрировать;
— личность, роль и принадлежность кого-либо, кто обрабатывает или использует активы, должна быть задокументирована, и эта документация возвращена вместе с оборудованием, информацией или ПО.
Выборочные проверки для выявления несанкционированного перемещения активов могут также выявить несанкционированные записывающие устройства, оружие и т. п. и предотвратиь их ввоз или вывоз. Такие проверки должны проводиться в соответствии с действующим законодательством и нормативами. Лица, осуществляющие проверки, должны быть осведомлены о своих полномочиях, которые должны соответствовать правовым и нормативным требованиям.
Безопасность удаленных активов
Меры и средства
Безопасность удаленных активов, т. е. находящихся за пределами организации, должна быть обеспечена с учетом разнообразных рисков такой их эксплуатации.
Рекомендации по реализации
Использование удаленного оборудования для обработки и хранения информации должно быть санкционировано руководством. Это касается оборудования, являющегося собственностью организации, а также личного оборудования, которое используется от имени организации.
Необходимо учесть следующие рекомендации для защиты удаленных активов:
— оборудование и носители, вынесенные за пределы организации, не следует оставлять без присмотра в общедоступных местах;
— необходимо всегда соблюдать инструкции изготовителей по защите оборудования, например, по защите от воздействия сильных электромагнитных полей;
— следует определить и обеспечить соответствующие меры безопасности для удаленных мест, таких как работа на дому, удаленная работа и временные сайты, исходя из оценки риска, например, запираемые шкафы для хранения документов, политика чистого рабочего стола, защита доступа к компьютерам и защищенная связь с офисом;
— журнал регистрации фактов передачи удаленного оборудования между разными лицами и сторонними организациями должен содержать цепочки поставок оборудования, в том числе ответственных за оборудование лиц и организаций.
Риски, например, повреждения, хищения или подслушивания, могут быть разными для разных мест и должны учитываться при выборе наиболее подходящих мер защиты.
Оборудование для обработки и хранения информации включает в себя все виды персональных компьютеров, органайзеров, мобильных телефонов, смарт-карт, бумаги или другие виды, используемые для работы на дому или выносимые за пределы организации.
Предотвращению риска может способствовать запрет удаленной работы или использования портативного ИТ оборудования для определенных сотрудников.
Безопасное уничтожение оборудования
Меры и средства
Все элементы оборудования, содержащие носители информации, перед уничтожением или повторным использованием должны быть проверены на предмет уничтожения или безопасной перезаписи чувствительных данных и лицензионного ПО.
Рекомендации по реализации
Оборудование перед уничтожением или повторным использованием должно быть проверено на наличие носителей информации.
Носители, содержащие конфиденциальную и защищенную авторскими правами информацию, должны быть физически разрушены, или информация должна быть разрушена, удалена или перезаписана с помощью не стандартного удаления или форматирования, а специальных методов, делающих исходную информацию невосстановимой.
Поврежденное оборудование, содержащее чувствительные данные, может потребовать оценку риска того, было ли оно достаточно физически разрушено до того, как было выброшено или попало в ремонт. Информация может быть скомпрометирована при неправильном уничтожении или повторном использовании оборудования.
Наряду с безопасной чисткой диска риск разглашения конфиденциальной информации при утилизации или перераспределении оборудования снижает шифрование целого диска при выполнении следующих условий:
— процесс шифрования достаточно сильный и охватывает весь диск (включая свободное пространство, файлы подкачки и т. п.);
— длина ключей достаточна для противодействия атакам перебора;
— ключи шифрования содержатся в тайне (например, не хранятся на самом диске).
Методы безопасной перезаписи носителей могут быть разными в зависимости от технологии носителей. Инструменты перезаписи следует проверять на предмет соответствия технологии носителей.
Безопасность оборудования без присмотра
Меры и средства
Пользователи должны гарантировать, что оставленное без присмотра оборудование защищено надлежащим образом.
Рекомендация по реализации
Пользователи должны быть осведомлены о требованиях безопасности и процедурах защиты оборудования без присмотра, а также своих обязанностях по обеспечению этой защиты.
Пользователям рекомендуется:
— завершать активные сеансы по окончании работы, если отсутствует соответствующий механизм блокировки, например, защищенная паролем экранная заставка;
— выйти из приложений и сетевых сервисов, если они не нужны;
— защитить компьютеры или мобильные устройства от несанкционированного использования с помощью блокировки клавиатуры или эквивалентной меры защиты, например, парольного доступа.
Политика чистого стола и экрана
Меры и средства
Должна быть внедрена политика чистого рабочего стола для документов и съемных носителей информации и политика чистого экрана для средств обработки информации.
Рекомендации по реализации
Политика чистого рабочего стола и экрана должна учитывать классификации информации, правовые и нормативные требования, соответствующие риски и культурные аспекты организации. Необходимо рассмотреть следующие рекомендации:
— носители (бумажные или электронные), содержащие чувствительную или критичную бизнес-информацию, когда они не используются, следует запирать (лучше всего, в сейфе или кабинете), особенно, если в оффисе никого нет;
— компьютеры и терминалы, оставленные без присмотра, следует выключать или защищать механизмом блокировки экрана или клавиатуры, контролируемого паролем, токеном или схожим механизмом аутентификации пользователя;
— необходимо предотвратить несанкционированное использование фотокопировальной и другой воспроизводящей технологии (например, сканеров, цифровых камер);
— документы, содержащие чувствительную или классифицированную информацию, необходимо немедленно изымать из принтеров.
Рекомендуется использовать принтеры с функцией ПИН-кода, когда только инициаторы печатания могут забрать из принтера готовый документ и вставить следующий.
8. Безопасность операций
Безопасность операций определяют следующие составляющие:
— операционные процедуры;
— контроль системного ПО;
— защита от вредоносного ПО;
— мониторинг и логи.
— резервное копирование;
— управление техническими уязвимостями;
— проведение аудита ИС.
8.1. Операционные процедуры
Цель: Обеспечить правильное и безопасное использование средств обработки информации.
Операционные процедуры обеспечивают следующие мероприятия:
— документирование процедур;
— управление изменениями;
— управление мощностью;
— разделение сред разработки, тестирования и эксплуатации.
Документирование процедур
Меры и средства
Операционные процедуры должны быть задокументированы и доступны для всех пользователей, которые в них нуждаются.
Рекомендации по реализации
Задокументированные процедуры должны быть подготовлены для функциональных действий, связанных со средствами обработки и передачи информации, таких как компьютерные процедуры запуска и завершения, резервное копирование, техническое обслуживание, работа с носителями, управление обработкой почты и безопасность.
Операционные процедуры должны определять эксплуатационные инструкции, включающие:
— инсталляцию и конфигурацию систем;
— обработку и управление информацией, как автоматизированное, так и ручное;
— резервное копирование;
— требования в отношении графика работ, включая взаимозависимости с другими системами, время начала первой и время завершения последней процедуры;
— инструкции по обработке ошибок или других чрезвычайных ситуаций, которые могут возникнуть в процессе выполнения задач, включая ограничения на использование системного ПО;
— необходимые контакты поддержки, в том числе внешней, на случай неожиданных эксплуатационных или технических проблем;
— специальные инструкции по управлению выводом данных и работе с носителями информации, например, использование специальных бланков или управление выводом конфиденциальных данных, включая процедуры безопасного уничтожения выходных данных в случае невыполнения задач;
— перезапуск системы и процедуры восстановления на случай системного сбоя;
— управление информацией, содержащейся в контрольных и системных журналах;
— процедуры мониторинга.
Управление изменениями
Меры и средства
Изменения в организации, бизнес-процессах и средствах обработки информации, влияющих на ИБ, должны контролироваться.
Рекомендации по реализации
В частности, необходимо рассмотреть следующие аспекты:
— определение и регистрацию существенных изменений;
— планирование и тестирование изменений;
— оценку возможных влияний таких изменений, включая влияния на ИБ;
— формальную процедуру утверждения предлагаемых изменений;
— проверку соответствия требованиям ИБ;
— подробное информирование об изменениях всех заинтересованных лиц;
— процедуры возврата в исходный режим, включая прерывание и последующее восстановление в случае неудачных изменений и непредвиденных обстоятельств;
— процесс чрезвычайного изменения для активации быстрого и контролируемого внедрения изменений, необходимых для решения инцидента.
Необходимо следовать формальным процедурам и обязанностям управления для достаточного контроля всех изменений. Журнал аудита, содержащий всю соответствующую информацию, должен сохраняться.
Неадекватный контроль изменений в системах и средствах обработки информации является общей причиной нарушений системы и безопасности. Изменения эксплуатационной среды, особенно при переводе системы из стадии разработки в стадию эксплуатации, могут влиять на надежность приложений.
Управление мощностью
Меры и средства
Использование ресурсов должно контролироваться, регулироваться и прогнозироваться в соответствии с будущими требованиями мощности для обеспечения требуемой производительности системы.
Рекомендации по реализации
Требования мощности должны быть определены с учетом бизнес-критичности связанных систем. Следует осуществлять мониторинг и регулирование системы для обеспечения и, при необходимости, повышения ее доступности и эффективности. Должны быть внедрены поисковые системы контроля для выявления проблем с течением времени.
Прогнозирование требований к производительности должно учитывать новые требования бизнеса и новые системные требования, а также современные и будущие тенденции возможностей обработки информации.
Особое внимание необходимо уделять любым ресурсам, требующим длительного времени на закупку или больших расходов, поэтому руководителям следует контролировать использование ключевых системных ресурсов. Они должны определять тенденции в использовании, в частности, бизнес-приложений или инструментов управления ИС.
Руководство должно использовать эту информацию для определения и предотвращения потенциальных узких мест и зависимости от персонала, который может нанести ущерб безопасности системы или сервисов, а также планирования соответствующих действий.
Обеспечение достаточной мощности должно достигаться ее увеличением или снижением ее потребности. Примерами такого снижения могут быть:
— удаление устаревших данных (чистка диска);
— вывод из эксплуатации приложений, систем, баз данных;
— оптимизация групповых процессов и режимов;
— оптимизация логики приложения и запросов базы данных;
— запрет или ограничения трафика для ресурсоемкого сервиса, если он не критичен для бизнеса (например, потоковое видео).
Для целевых критичных систем следует разработать и задокументировать план управления мощностью.
Разделение сред разработки, тестирования и эксплуатации
Меры и средства
Среды разработки, тестирования и эксплуатации должны быть разделены для снижения рисков несанкционированного доступа к эксплуатационной среде или ее изменений.
Рекомендации по реализации
Уровень разделения сред разработки, тестирования и эксплуатации должен быть определен и обеспечен для предотвращения эксплуатационных проблем.
Необходимо рассмотреть следующие вопросы:
— правила перевода ПО между состояниями разработки и эксплуатации должны быть определены и задокументированы;
— разработка и эксплуатация ПО должна осуществляться на разных системах или компьютерных процессорах в различных доменах или директориях;
— изменения в эксплуатируемых системах и приложениях должны тестироваться в среде тестирования прежде, чем будут применены в них;
— тестирование не должно проводиться в эксплуатируемых системах, кроме исключительных случаев;
— составители, редакторы и другие инструменты или системные программы разработки не должны быть доступны в эксплуатируемых системах без необходимости;
— пользователи должны применять разные профили пользователя для эксплуатируемых и тестируемых систем, а в экранных меню должны показываться соответствующие идентификационные сообщения, чтобы уменьшить риск или ошибку;
— критичные данные не должны копироваться в среду системы тестирования, пока не будут внедрены эквивалентные меры защиты в систему тестирования.
Разрабатывающий и тестирующий персонал, имеющий доступ к эксплуатируемой системе и ее информации, может внести в нее несанкционированные и непроверенные коды или другие эксплуатационные данные. В некоторых системах это может привести к совершению мошенничества или внесению вируса, который может вызвать серьезные эксплуатационные проблемы.
Разрабатывающий и тестирующий персонал также представляет угрозу для конфиденциальности эксплуатационной информации. Если действия по разработке и тестированию осуществляются в одной компьютерной среде, они могут привести к непредвиденным изменениям ПО или информации.
Поэтому разделение сред разработки, тестирования и эксплуатации целесообразно для снижения риска непредвиденного изменения или несанкционированного доступа к эксплуатационному ПО и бизнес-данным.
8.2. Контроль системного ПО
Цель: Обеспечить целостность операционных систем (далее — ОС).
Установка системного ПО
Меры и средства
Должны быть внедрены процедуры контроля установки системного ПО
Рекомендация по реализации
Для контроля изменений системного ПО необходимо рассмотреть следующие рекомендации:
— обновление ПО, приложений и программных библиотек ОС должны выполнять обученные администраторы, имеющие соответствующие полномочия от руководства;
— ОС должны содержать утвержденный исполняемый код и компиляторы;
— приложения и системное ПО следует внедрять только после всестороннего и успешного тестирования; тесты должны охватывать пригодность, безопасность, влияние на другие системы, удобство использования и проводиться на отдельных системах; все соответствующие библиотеки программных исходных кодов должны быть обновлены;
— должна использоваться система контроля конфигурации для контроля всего внедренного ПО и системной документации;
— следует внедрить стратегию отката перед осуществлением изменений;
— должен вестись журнал аудита всех обновлений используемых программных библиотек;
— предыдущие версии приложений ПО следует хранить на случай непредвиденных обстоятельств;
— старые версии ПО дожны архивироваться вместе со всей требуемой информацией о параметрах, процедурах, деталях конфигурации и поддерживающем ПО до окончания срока архивного хранения.
Поставляемое разработчиком системное ПО должно содержаться на том уровне, который поддерживает поставщик. Со временем разработчик ПО перестает поддерживать его старейшие версии. Организации следует рассмотреть риски использования неподдерживаемого ПО.
Любое решение о переходе на новую версию ПО надо принимать с учетом бизнес-требований для изменения и безопасности версии, например, появление в связи с этим новой функциональности ИБ или каких-то серьезных проблем ИБ. Исправления ПО надо применять тогда, когда они могут устранить или уменьшить недостатки ИБ.
8.3. Защита от вредоносного ПО
Цель: Обеспечить защиту информации и средств ее обработки от вредоносного ПО.
Меры защиты от вредоносного ПО
Меры и средства
Должны быть внедрены меры обнаружения, предотвращения и исправления для защиты от вредоносного ПО совместно с осведомленностью пользователей.
Рекомендации по реализации
Защита от вредоносного ПО должна базироваться на ПО его обнаружения и исправления, осведомленности в сфере ИБ и соответствующих средствах управления системным доступом и изменением. Необходимо рассмотреть следующие рекомендации:
— создание формальной политики запрета на использование неразрешенного ПО;
— внедрение средств обнаружения или предотвращения использования неразрешенного ПО (например, ведения «белого списка»);
— внедрение средств обнаружения или предотвращения использования известных и подозреваемых вредоносных сайтов (например, ведения «черного списка»);
— создание формальной политики защиты от рисков, связанных с получением файлов и ПО с помощью внешних сетей или других носителей, показывающей, какие меры защиты следует принять;
— уменьшение уязвимостей, которые могут использоваться вредоносным ПО, например, с помощью управления техническими уязвимостями;
— проведение регулярных пересмотров ПО и содержания системных данных, поддерживающих критичные бизнес-процессы; необходимо формальное расследование наличия любых неразрешенных файлов или несанкционированных изменений;
— установка и регулярное обновление ПО обнаружения и исправления вредоносного ПО по сканированию компьютеров и носителей информации в качестве меры предосторожности или на регулярной основе;
следует проводить сканирование на наличие вредоносного ПО перед использованием:
• любых файлов, полученных с помощью сетей или других носителей;
• электронных почтовых прикрепленных файлов и загрузок;
• веб-сайтов;
— определение процедур и обязанностей по защите от вредоносного ПО в системах, обучение их использованию, оповещение и восстановление после вредоносных атак;
— подготовка соответствующиих планов по обеспечению непрерывности бизнеса в части восстановления после вредоносных атак, включая все необходимые меры по резервному копированию и восстановлению данных и ПО;
— внедрение процедур регулярного сбора информации, таких как подписка на почтовые рассылки или проверка веб-сайтов, предоставляющих информацию о новом вредоносном ПО;
— внедрение процедур проверки информации, касающейся вредоносного ПО, и обеспечение точности и информативности предупредительных бюллетней;
руководство должно быть уверено, что для разделения фальшивого и реального ПО используются квалифицированные источники, например, авторитетные журналы, Интернет-сайты или поставщики, создающие ПО по защите от вредоносного ПО;
все пользователи должны быть осведомлены о фальшивках и действиях при их получении;
— изоляция от окружающей среды реального катастрофического влияния.
8.4. Резервировное копирование
Цель: Обеспечить защиту от потери данных.
Резервируемая информация
Меры и средства
Резервные копии информации, ПО и образов систем должны создаваться и регулярно тестироваться в соответствии с утвержденной политикой резервного копирования.
Рекомендация по реализации
Политика резервного копирования должна быть установлена для определения требований организации по резервному копированию информации, ПО и систем. Политика должна определить требования по хранению и защите.
Адекватные средства резервного копирования должны обеспечить восстановление всей важной информации и ПО после разрушения или повреждения носителей.
При составлении плана резервного копирования необходимо рассмотреть следующие вопросы:
— обеспечение точных и полных записей резервных копий и документирование процедур восстановления;
— объем (полное или выборочное) и частота резервного копирования должны отражать требования бизнеса организации, безопасности связанной информации и критичность информации для непрерывности бизнеса;
— хранение резервных копий в удаленном месте, на надежном расстоянии, достаточном, чтобы избежать любого повреждения из-за разрушения в основном месте;
— обеспечение соответствующего уровня физической и экологической защиты резервируемой информации в соответствии со стандартами, применяемыми в основном месте;
— регулярное тестирование носителей резервируемой информации для обеспечения, при необходимости, их аварийного использования, которое надо объединять с тестом процедур восстановления и проверкой в отношении требуемого времени восстановления;
тестирование способности восстановления данных должно осуществляться на выделенных для этой цели носителях, не перезаписывая исходных носителей на случай нарушения процесса резервного копирования или восстановления и причинения непоправимого повреждения или потери данных;
— в ситуациях, когда конфиденциальность играет важную роль, резервные копии необходимо защищать шифрованием.
Операционные процедуры должны контролировать уничтожение резервных копий и выполнение планового резервного копирования для обеспечения его полноты в соответствии с политикой резервного копирования.
Меры резервного копирования индивидуальных систем и сервисов должны регулярно тестироваться на предмет соответствия требованиям планов непрерывности бизнеса. Для критичных систем и сервисов меры резервного копирования должны охватытвать всю системную информацию, приложения и данные, необходимые для полного восстановления системы на случай разрушения.
8.5. Протоколирование и мониторинг
Цель: Записывать события и получать фактические данные.
Протоколирование и мониторинг обеспечивают следующие мероприятия:
— протоколирование событий;
— защита логов;
— ведение логов пользователей;
— синхронизация часов.
Протоколирование событий
Меры и средства
Журналы (логи) событий, в которые записываются действия пользователей, ошибки и события ИБ, должны вестить, сохраняться и регулярно пересматриваться.
Рекомендации по реализации
Логи должны включать, при необходимости:
— идентификаторы пользователей;
— системные действия;
— даты, время и детали ключевых событий, например начало и завершение сеанса;
— идентичность и местоположение устройства, по возможности, и идентификатор системы;
— регистрацию успешных и отклоненных попыток доступа к системе;
— регистрацию успешных и отклоненных попыток доступа к данным или другим ресурсам;
— изменения конфигурации системы;
— использование привилегий;
— использование системного и прикладного ПО;
— файлы, к которым был получен доступ, и вид доступа;
— сетевые адреса и протоколы;
— сигналы тревоги системы управления доступом;
— активация и деактивация систем защиты, таких как антивирусы и системы обнаружения вторжения;
— запись операций, сделанных пользователем в приложениях.
Протоколирование событий является фундаментом для автоматических систем мониторинга, создающих объединенные отчеты и сигналы безопасности системы.
Логи событий могут содержать критичную информацию и персональные данные, поэтому должны быть надлежащим образом защищены.
По возможности, системные администраторы не должны иметь полномочий стирать или деактивировать логи своих действий.
Защита логов
Меры и средства
Средства протоколирования и информация в логах должны быть защищены от фальсификации и несанкционированного доступа.
Рекомендации по реализации
Меры защиты направлены на предотвращение несанкционированных изменений в логах и эксплуатационных проблем со средствами протоколирования, включающих:
— изменения типов записываемых сообщений;
— редактирование или удаление файлов логов;
— недостаточность объема памяти носителя файл лога, что может привести к отказу записи события или перезаписи последних событий.
Некоторые журналы аудита необходимо архивировать как часть политики хранения записей или в связи с требованиями сбора и хранения правовых доказательств.
Системные логи часто содержат большой объем информации, большинство из которой не нужно для мониторинга ИБ. Поэтому следует определить значительные события для целей мониторинга ИБ, автоматическое копирование соответствующих типов сообщения во второй лог или использование приемлемого системного ПО или инструментов аудита для выполнения опроса и рационализации файла.
Системные логи нуждаются в защите, поскольку если данные в них будут модифицированы или уничтожены, они могут создать фальшивые данные по безопасности.
Логи пользователя
Меры и средства
Действия пользователей (администраторов) системы должны протоколироваться, и логи сохраняться и регулярно пересматриваться.
Рекомендации по реализации
Учетные записи привилегированного пользователя дают возможность для управления логами средств обработки информации, поэтому важно защищать и пересматривать логи для поддержания ответственности привилегированного пользователя.
Система обнаружения вторжения, не управляемая администраторами системы и сети, может использоваться для мониторинга действий по администрированию системы и сети.
Синхронизация часов
Меры и средства
Часы всех систем обработки информации внутри организации или домена безопасности должны быть синхронизированы с единым эталонным источником времени.
Рекомендации по реализации
Внешние и внутренние требования по представлению, синхронизации и точности времени должны быть задокументированы. Эти требования могут быть правовыми, нормативными, договорными требованиями, соответствием стандарту или требованиями для внутреннего мониторинга. В организации должно быть определено стандартное эталонное время.
Подход организации к получению эталонного времени из внешнего источника и достоверной синхронизации внутренних часов должен быть задокументирован и внедрен.
Корректная установка компьютерных часов важна для обеспечения точности логов аудита, которые могут потребоваться для расследований или как доказательство в случае судебного или дисциплинарного разбирательства. Неточные логи аудита могут затруднить такие расследования и навредить достоверности такого доказательства.
Часы, корректируемые по радиовещанию с помощью национальных атомных часов, могут использоваться как главные часы для систем протоколирования. Сетевой протокол времени может использовать все серверы для синхронизации главных часов.
8.6. Управление техническими уязвимостями
Цель: Предотвратить использование технических уязвимостей.
Управление техническими уязвимостями обеспечивают следующие мероприятия:
— обработка технических уязвимостей;
— ограничение на установку ПО.
Обработка технических уязвимостей
Меры и средства
Информация о технических уязвимостях используемых ИС должна быть получена своевременно, незащищенность организации от уязвимостей оценена и приняты соответствующие меры для обработки связанных с ними рисков.
Рекомендации по реализации
Актуальная и полная инвентаризация активов является необходимым условием эффективного управления техническими уязвимостями. Информация, необходимая для поддержки управления техническими уязвимостями, включает в себя разработчика ПО, номера версии, текущее состояние развертывания (например, какое ПО на какую систему устанавливается) и сотрудников организации, ответственных за ПО.
Идентификация потенциальных технических уязвимостей должна вызвать соответствующее и своевременное действие.
Для обеспечения процесса эффективного управления техническими уязвимостями необходимо выполнить следующие рекомендации:
— в организации необходимо определить и установить роли и обязанности, связанные с управлением техническими уязвимостями, включая мониторинг и оценку риска уязвимостей, исправление ПО (патчинг), слежение за активами и любые требуемые координирующие функции;
— следует определять для ПО и другой технологии информационные ресурсы, которые будут использоваться для выявления значимых технических уязвимостей и обеспечения осведомленности о них; эти ресурсы должны обновляться с учетом изменений в инвентарной описи или нахождения новых или применимых ресурсов;
— необходимо определить временные параметры реагирования на уведомления о потенциально значимых технических уязвимостях;
— после выявления потенциальной технической уязвимости организация должна определить связанные с ней риски и действия, которые необходимо предпринять; эти действия должны включать исправление уязвимых систем или другие меры защиты;
— в зависимости от того, насколько срочно необходимо рассмотреть техническую уязвимость, предпринимаемое действие следует осуществлять в соответствии с мерами по управлению изменениями или процедурами реагирования на инцидент ИБ;
— при наличии возможности установки легального патча следует оценить риски, связанные с его установкой (риски от уязвимости сравнить с риском установки патча);
— перед установкой патчи следует тестировать и оценивать на предмет их эффективности и отсутствия недопустимых побочных эффектов; если нет патчей, следует рассмотреть другие меры защиты, такие как:
• отключение сервисов или возможностей, связанных с уязвимостью;
• адаптирование или добавление средств контроля доступа, например, сетевые экраны или границы;
• расширенный мониторинг для выявления актуальных атак;
• повышение осведомленности об уязвимости;
— следует вести журнал аудита для всех предпринятых процедур;
— следует регулярно проводить мониторинг и оценку процесса управления техническими уязвимостями на предмет его эффективности и действенности;
— в первую очередь надо обращать внимание на системы с высоким уровнем риска;
— процесс управления техническими уязвимостями должен быть совмещен с действиями по управлению инцидентом ИБ, чтобы данные по уязвимостям передавались группе реагирования на инцидент и обеспечивались технические процедуры в случае появления инцидента;
— следует определить процедуру для случая, когда для выявленой уязвимости невозможно найти контрмеру. В этом случае организация должна оценить риски, связанные с этой уязвимостью и предпринять соответствующие поисковые и корректирующие действия.
Управление техническими уязвимостями может быть частью управления изменениями и таким образом взять на себя часть процедур и процессов управления изменениями.
Как правило, разработчики ПО вынуждены реализовывать патчи как можно быстрее. Поэтому иногда патчи могут неадекватно решать проблему и создавать побочные негативные эффекты. Также в некоторых случаях после установки патча бывает сложно ее отменить.
При невозможности адекватного тестирования патчей перед их установкой следует осуществить оценку связанных с этим рисков с учетом опыта, накопленного другими пользователями.
Ограничение на установку ПО
Меры и средства
Правила установки ПО пользователями должны быть разработаны и внедрены.
Рекомендации по реализации
Организация должна определить и внедрить строгую политику того, какие типы ПО могут устанавливать пользователи.
Следуе применить принцип наименьшей привилегии. При наличии определенных привилегий пользователи могут устанавливать ПО. Организация должна определить, какие типы установки ПО разрешены (например, обновления и безопасные патчи для существующего ПО) и какие запрещены (например, ПО для персонального использования и ПО, происхождение которого неизвестно или подозрительно). Такие привилегии должны предоставляться на основании ролей связанных с этим пользователей.
Неконтролируемая установка ПО на компьютерные устройства может привести к появлению уязвимостей и последующей утечке информации, потере целостности или другим инцидентам ИБ или нарушению прав интеллектуальной собственности.
8.7. Проведение аудита ИС
Цель: Минимизировать влияние аудиторских действий на действующие системы.
Контроль аудита систем
Меры и средства
Аудиторские требования и действия по проверке действующих систем должны быть тщательно спланированы и согласованы, чтобы минимизировать сбои в бизнес-процессах.
Рекомендации по реализации
Аудиторские действия при проверке эксплуатируемых ИС не должны приводить к сбоям бизнес-процессов. Для этого необходимо учесть следующие рекомендации:
— аудиторские требования в отношении доступа к системам и данным следует согласовать|согласиться| с соответствующим руководством;
— контекст технических аудиторских тестов следует согласовать|согласиться| и контролировать|управлять, контролировать|;
— аудиторские тесты должны| иметь ограничение доступа к ПО и данным в виде «только для чтения»;
— другие виды доступа, кроме «только для чтения», должны быть разрешены| только для изолированных копий системных файлов, которые следует стереть после завершения аудита|проверка, ревизия| или обеспечить|предоставляет| соответствующей защитой в случае обязательства их хранения согласно требований аудиторской документации;
— требования специальной или дополнительной|аддиционной| обработки следует определить|опознать| и согласовать|согласиться|;
— аудиторские тесты, которые могут повлиять на возможности системы|готовность|, нужно проводить|запустить| в нерабочее время;
— все факты доступа|подход, припадок, прирост, приступ, проход| нужно контролировать и протоколировать, чтобы остался документальный след|хвост|.
От автора
В 1969 году была основана Ассоциация аудита и контроля ИС «ISACA» (Information System Audit and Control Association), которая в настоящее время объединяет около 20 тысяч членов из более чем 100 стран. Ассоциация координирует деятельность более чем 12 тысяч аудиторов ИС. Официальный сайт: www.isaca.org.
Основная декларируемая цель ассоциации — это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами ИС.
В помощь профессиональным аудиторам, администраторам и заинтересованным пользователям ассоциацией и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт «CoBiT».
«CoBiT» (Control оbjectives for information and related technologies — Контрольные объекты информационных и смежных технологий) — это открытый стандарт, первое издание которого в 1996 году было продано в 98 странах по всему миру и облегчило работу профессиональных аудиторов в сфере информационных технологий.
Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно, на современном уровне получить представление и управлять целями и задачами, решаемыми ИС. Стандарт учитывает все особенности информационных систем любого масштаба и сложности.
Основополагающее правило, положенное в основу «CoBiT»: ресурсы ИС должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией. Версию 4.1 стандарта на украинском языке можно скачать на сайте «ISACA».
9. Безопасность связи
Безопасность связи обеспечивают следующие мероприятия:
— управление сетевой безопасностью;
— передача информации.
9.1. Управление сетевой безопасностью
Цель: Обеспечить защиту информации в сетях и поддерживающих средствах обработки информации.
Управление сетевой безопасностью определяют следующие составляющие:
— сетевые меры защиты;
— безопасность сетевых сервисов;
— разделение в сетях.
Сетевые меры защиты
Меры и средства
Сети должны управляться и контролироваться для защиты информации в системах и приложениях.
Рекомендации по реализации
Следует внедрить меры защиты для обеспечения безопасности информации в сетях и защиты подключенных сервисов от несанкционированного доступа. В частности, необходимо рассмотреть следующие вопросы:
— следует установить обязанности и процедуры управления сетевым оборудованием;
— следует разделить, при необходимости, ответственность за сетевые операции и компьютерные операции;
— специальные меры защиты следует внедрить для обеспечения конфиденциальности и целостности данных, передаваемых по общедоступным сетям или беспроводным сетям, а также для поддержки подключенных систем и приложений, доступности сетевых сервисов и подключенных компьютеров;
— соответствующее протоколирование и мониторинг должны применяться для записи и определения действий, связанных или имеющих значение для ИБ;
— управляющие действия должны тщательно координироваться для оптимизации сервиса и согласованного внедрения мер защиты в инфраструктуру обработки информации;
— системы должны проходить в сети аутентификацию;
— подключения системы к сети должны ограничиваться.
Безопасность сетевых сервисов
Меры и средства
Механизмы безопасности, уровни сервиса и управленческие требования должны быть определены и включены в соответствующие соглашения.
Рекомендации по реализации
Следует определить и регулярно мониторить способность провайдера сетевого сервиса безопасно управлять согласованными сервисами, а также согласовать право на аудит.
Следует определить меры безопасности, необходимые для особых сервисов, таких как особенности безопасности, уровни сервиса и управленческие требования. Организация должна удостовериться, что провайдеры сетевого сервиса выполнили эти меры.
Сетевые сервисы включают обеспечение подключений, личные сетевые сервисы и сети платных услуг (англ. value added network, VON) и управленческие решения по сетевой безопасности, такие как сетевые экраны и системы обнаружения вторжения. Диапазон таких сервисов простирается от простого неуправляемого траффика до комплексных платных услуг.
Особенностями безопасности сетевых сервисов могут быть:
— технология безопасности сетевых сервисов, такая как аутентификация, шифрование, контроль сетевого подключения;
— технические параметры безопасного подключения к сетевым сервисам в соответствии с правилами безопасности и сетевого подключения;
— при необходимости, процедуры использования сетевого сервиса, ограничивающие доступ к сетевым сервисам и приложениям.
Разделение в сетях
Меры и средства
Группы информационных услуг, пользователей и ИС должны быть разделены в сетях.
Рекомендации по реализации
Одним из методов управления безопасностью больших сетей является их разделение на разные сетевые домены. Домены выбираются на базе доверенных уровней (например, домен публичного доступа, домен рабочего стола, домен сервера), среди объектов организации (например, кадры, финансы, маркетинг) и каких-то комбинаций (например, домен сервера, подключающийся к многим объектам организации). Для разделения также можно использовать разные физические сети и разные логические сети (например, виртуальные частные сети — англ. Virtual Private Network, VPN).
Периметр каждого домена следует хорошо определить. Доступ между сетевыми доменами допускается при условии наличия контроля периметра в виде «шлюза» (например, сетевой экран, фильтрующий маршрутизатор). Критерий разделение сетей внутри доменов и доступа через «шлюзы» должен базироваться на оценке требований безопасности каждого домена. Оценка должна проводиться в соответствии с правилами разграничения доступа, требованиями доступа, ценностью и классификацией информации и учитывать относительную стоимость и влияние на производительность применяемой технологии «шлюза».
Беспроводная сеть требует специального обращения из-за сложности определения ее периметра. Для чувствительных сред весь беспроводной доступ следует рассматривать как внешние подключения и отделить этот доступ от внутренних сетей «шлюзом», который в соответствии с политикой контроля сети будет предоставлять беспроводной доступ к внутренним сетям.
Аутентификации, шифрования и современных технологий контроля пользовательского уровня сетевого доступа, стандартов беспроводной сети может быть достаточно для осуществления прямого подключения к внутренней сети организации.
Сети часто выходят за пределы организации и как форма бизнес-сотрудничества требуют взаимосвязи и обмена устройствами сети и обработки информации. Такое распространение может повысить риск несанкционированного доступа к ИС организации, использующим сеть и требующим защиты от пользователей другой сети из-за чувствительности или критичности.
9.2. Передача информации
Цель: Поддерживать безопасность информации, передаваемой внутри организации и в любую стороннюю организацию.
Передачу информации определяют следующие составляющие:
— политика передачи информации;
— соглашения о передаче информации;
— электронный обмен информацией;
— соглашение о неразглашении.
Политики передачи информации
Меры и средства
Должны быть разработаны формальные политики, процедуры и меры безопасности для защиты передачи информации по всем типам средств связи.
Рекомендации по реализации
При использовании средств связи для передачи информации процедуры и меры безопасности должны содержать следущие элементы:
— процедуры защиты передаваемой информации от перехвата, копирования, модификации, ложной маршрутизации и разрушения:
— процедуры обнаружения вредоносного ПО, которое может передаваться при использовании электронных коммуникаций, и процедуры защиты от него;
— процедуры защиты передаваемой чувствительной электронной информации в форме прикрепленного файла;
— политику или руководящие принципы приемлемого использования средств связи;
— обязанности персонала, подрядчика или других пользователей не должны компрометировать организацию, например, дискредитация, запугивание, самозванство, пересылка письма «счастья», несанкционированная покупка и т. п.;
— использование средств криптографии, например, для защиты конфиденциальности, целостности и аутентичности информации;
— руководящие принципы сохранения и уничтожения всей бизнес-переписки, включая сообщения, в соответствии с национальным и региональным законодательством и нормативами;
— контроль и ограничения использования средств коммуникаций, например, автоматической пересылки электронной почты на внешние адреса;
— напоминание сотрудникам о принятии мер предосторожности, чтобы не раскрыть конфиденциальную информацию;
— неоставление сообщений, содержащих конфиденциальную информацию, на автоответчиках, поскольку они могут быть воспроизведены неуполномоченными лицами, храниться в общих системах или некорректно храниться из-за попадания не туда;
— напоминание сотрудникам о проблемах использования факсимильных аппаратов или сервисов, а именно:
• несанкционированный доступ к хранилищам встроенного сообщения для получения сообщения;
• умышленное и неумышленное программирование машин для отправки сообщения на специальные номера;
• отправка документов и сообщений на неправильный номер из-за попадания не туда или неправильно записанных номеров.
В дополнение сотрудникам следует напоминать, что они не должны вести конфиденциальные разговоры в публичных местах или незащищенных офисах и местах встреч и по незащищенным каналам связи.
Передача информации может происходить с использованием разных типов средств коммуникаций, включая электронную почту, голос, факсимиле и видео.
Передача ПО может происходить с использованием разных типов носителей, включая загрузку из Интернета и покупку у разработчиков, продающих готовую продукцию.
Соглашения о передаче информации
Меры и средства
Соглашения должны обеспечить безопасную передачу бизнес-информации между организацией и сторонними организациями.
Рекомендация по реализации
Соглашения о передаче информации должны включать следующее:
— обязанности руководства по контролю и уведомлению о передаче, рассылке и получению информации;
— процедуры обеспечения отслеживаемости и неотказуемости;
— минимальные требования технических стандартов упаковки и передачи информации;
— эскроу соглашения (хранятся у третьего лица и вступают в силу только при выполнении определенного условия);
— стандарты идентификации курьера;
— обязанности и ответственности в случае инцидентов ИБ, таких как потери данных;
— использование согласованной системы маркировки чувствительной или критичной информации, обеспечивающей ее немедленное понимание и соответствующую защиту;
— технические стандарты записи и считывания информации и ПО;
— любые специальные меры защиты, требуемые для защиты чувствительных элементов, например, криптография;
— поддержка цепочки поставок транзитной информации;
— применимые уровни контроля доступа.
Следует установить и поддерживать политики, процедуры и стандарты по защите информации и физических носителей во время транзита, которые должны быть отражены в соглашениях о передаче информации.
Содержание ИБ в любом соглашении должно отражать чувствительность содержащейся бизнес-информации.
Соглашения могут быть электронными и ручными и иметь форму формальных контрактов. Специальный механизм передачи конфиденциальной информации должен быть совместимым со всеми организациями и типами соглашений.
Электронный обмен сообщениями
Меры и средства
Информация электронного сообщения должна иметь соответствующую защиту.
Рекомендации по реализации
Необходимо учитывать следующие рекомендации ИБ:
— защита сообщений от несанкционированного доступа, модификации или отказа сервиса, соизмеримая со схемой классификации;
— обеспечение правильной адресации и транспортировки;
— надежность и доступность сервиса;
— законодательные требования, например, по использованию ЭЦП;
— получение одобрения до использования внешних общедоступных услуг, таких как мгновенный обмен сообщениями, социальные сети или разделение файлов;
— строгие уровни аутентификации доступа со стороны общедоступных сетей.
Существует много типов электронного обмена сообщениями, такими как электронная почта, обмен данными и социальные сети, играющие роль в бизнес-коммуникациях.
Соглашение о неразглашении
Меры и средства
Требования к соглашениям о конфиденциальности или неразглашении, отражающие потребности организации в защите информации, следует определить, регулярно пересматривать и задокументировать.
Рекомендации по реализации
Соглашение о конфиденциальности или неразглашении (англ. Non-Disclosure Agreement, NDA) должно отражать требования защиты конфиденциальной информации с применением существующих правовых понятий. Организации следует заключать NDA как со своими сотрудниками, так и с представителями сторонних организаций. Его содержание должно учитывать тип сторонней организации и возможного доступа к конфиденциальной информации или ее обработки.
Чтобы определить требования NDA, необходимо учесть следующие факторы:
— определение информации, подлежащей защите (например, конфиденциальная информация);
— предполагаемый срок действия NDA, включая случаи, когда конфиденциальность потребуется на неопределенный срок;
— необходимые действия при окончании срока действия NDA;
— обязанности и действия подписавших NDA лиц по предотвращению несанкционированного разглашения информации;
— владение информацией, коммерческой тайной и интеллектуальной собственностью и как это касается защиты конфиденциальной информации;
— разрешенное использование конфиденциальной информации и права подписавших NDA лиц по ее использованию;
— право на аудит и мониторинг деятельности, связанной с конфиденциальной информацией;
— условия возврата или уничтожения информации в случае приостановления действия NDA;
— план действий на случай нарушения NDA.
NDA должно соответствовать действующему законодательству и нормативам.
Требования NDA следует пересматривать периодически и в случае изменений, вляющих на эти требования.
NDA защищает информацию организации и обозначает обязанности подписавших его лиц по защите, использованию и неиспользованию информации с учетом своих полномочий и ответственности.
10. Покупка, разработка и сопровождение ИС
Покупка, разработка и сопровождение ИС определяют следующие составляющие:
— требования безопасности ИС;
— ИБ при разработке ИС;
— тестовые данные.
10.1. Требования безопасности ИС
Цель: Обеспечить, что ИБ является неотъемлемой частью ИС в течение всего жизненного цикла. Это также включает требования к ИС, которые предоставляют сервисы в общедоступных сетях.
Требования безопасности ИС определяют следующие составляющие:
— анализ требований ИБ;
— ИБ сервисов в общедоступных сетях;
— ИБ транзакций прикладных сервисов.
Анализ требований ИБ
Меры и средства
Требования ИБ должны быть включены в требования для новых ИС или по усовершенствованию действующих ИС.
Рекомендации по реализации
Требования ИБ следует определять разными методами, такими как использование соответствующих требований политик и нормативов, моделирование угроз, анализ инцидентов или испоьзование порогов уязвимости. Результаты определения должны документироваться и анализироваться всеми заинтересованными сторонами.
Требования ИБ и меры защиты должны отражать деловую ценность информации и потенциальный ущерб бизнесу вследствие неадекватности ИБ.
Определение и управление требованиями ИБ и связанными с этим процессами следует включать на ранних стадиях в проекты ИС. Раннее рассмотрение требований ИБ, например, на стадии проектирования может привести к более эффективным и экономически выгодным решениям.
Требования ИБ должны также содержать:
— уровень доверия, предъявляемый заявленной личности пользователей, в соответствии с требованиями пользовательской аутентификации;
— процессы подготовки и полномочий доступа, как для бизнес-пользователей, так и для привилегированных или технических пользователей;
— информирование пользователей и операторов об их обязанностях и ответственностях;
— необходимости требуемой защиты активов, в частности, доступности, конфиденциальности, целостности;
— требования, вытекающие из бизнес-процессов, такие как протоколирование и мониторинг транзакций, требования неотказуемости;
— требования, предъявляемые средствами безопасности, такими как интерфейсы протоколирования и мониторинга или систем обнаружения утечки данных.
Для приложений, обеспечивающих сервисы в общедоступных сетях и транзакции, должны быть рассмотрены специальные средства защиты.
В случае приобретения готовых продуктов необходимо соблюдение формальной процедуры покупки и тестирования. В договорах с поставщиками также должны учитываться требования ИБ.
Если защитная функциональность в предлагаемой продукции не удовлетворяет специальному требованию, то необходимо пересмотреть порождаемый этим риск и связанные с этим меры защиты прежде, чем ее покупать. Следует оценить и внедрить доступное руководство по конфигурации безопасности продукции, объединяющее окончальное множество ПО/сервисов системы.
Следует определить критерий принятия продукции, например, по ее функциональности, гарантирующей выполнение определенных требований безопасности. Продукция перед покупкой должна быть оценена по этому критерию. Дополнительная функциональность должна быть изучена для гарантии того, что она не принесет неприемлемых дополнительных рисков.
ИБ сервисов в общедоступных сетях
Меры и средства
Информация прикладных сервисов, проходящая через общедоступные сети, должна быть защищена от мошенничества, договорного спора и несанкционированного раскрытия и модификации.
Рекомендации по реализации
Необходимо, чтобы ИБ прикладных сервисов в общедоступных сетях содержала следующее:
— уровень доверия каждого участника требует от каждого другого участника удостоверения личности, например, с помощью аутентификации;
— процессы авторизации, связанные с тем, кто должен утверждать содержание ключевых документов сделок;
— обеспечение полного информирования взаимодействующих партнеров о своих полномочиях для подготовки и использования сервиса;
— определение и выполнение требований конфиденциальности, целостности, доказательств отправки и получения ключевых документов, неотказуемости от договоров, например, связанных с тендерами и договорными процессами;
— уровень доверия к целостности ключевых документов;
— требования защиты любой конфиденциальной информации;
— конфиденциальность и целостность любых заказных сделок, платежной информации, детали адреса доставки и подтверждения получений;
— степень проверки платежной информации, предоставленной заказчиком;
— выбор наиболее подходящей расчетной формы платежа для защиты от мошенников;
— уровень защиты конфиденциальности и целостности сведений о заказе;
— предотвращение потери или дублирования сведений о сделке;
— ответственность, связанная с любыми фиктивными сделками;
— страховые требования.
Многие их этих рекомендаций можно выполнить с помощью средств криптографии в соответствии с действующим законодательством.
Договоренности партнеров о применении сервиса следует задокументировать в соглашении, в котором зафиксировать согласованные условия сервиса, включая детали авторизации.
Следует рассмотреть требования сопротивляемости атакам, которые могут содержать требования по защите включенных прикладных серверов или доступности сетевых подключений для предоставления сервиса.
Приложения, функционирующие в общедоступных сетях, попадают в зону сетевых угроз, таких как мошенничество, договорные споры и публичная огласка информации. Поэтому детальная оценка рисков и надлежащий выбор мер защиты является обязательным.
Требуемые меры защиты часто включают в себя методы криптографии для аутентификации и безопасной передачи данных. Прикладные сервисы для снижения рисков могут использовать безопасные методы аутентификации, например, криптографию открытых ключей и цифровые подписи.
ИБ транзакций сервисов
Меры и средства
Информация транзакций прикладных сервисов должна быть защищена, чтобы предотвратить неполную передачу, неправильную маршрутизацию, несанкционированное изменение, раскрытие, дублирование или воспроизведение сообщения.
Рекомендации по реализации
Необходимо, чтобы ИБ транзакций прикладных сервисов содержала следующее:
— использование электронных подписей каждым участником сделки;
— все аспекты сделки, т. е. обеспечение уверенности в том, что:
• пароли всех пользователей проверены и действительны;
• сделка остается конфиденциальной;
• приватность всех участников сохраняется;
— каналы связи между всеми участниками зашифрованы;
— протоколы, используемые для связи между всеми участниками, защищены;
— детали сделки хранятся за пределами общедоступной среды, например, в хранилище внутренней сети организации, и не хранятся на носителе, доступном из Интернета;
— там, где используются услуги доверенного органа (например, с целью применения цифровых подписей или цифровых сертификатов), ИБ является встроенной и неотъемлемой частью всего процесса управления сертификатом/подписью от начала до конца.
Степень применяемых мер защиты должна быть сопоставимой с уровнем риска, связанным с каждой формой транзакции прикладного сервиса. Транзакции должны соответствовать правовым и нормативным требованиям, под юрисдикцией которых они совершаются и хранятся.
10.2. ИБ при разработке ИС
Цель: Обеспечить разработку и внедрение ИБ в рамках жизненного цикла разработки ИС.
ИБ при разработке ИС определяют следующие составляющие:
— политика ИБ при разработке;
— управление изменением ИС;
— анализ приложений после изменений ОП;
— ограничение изменений пакетов программ.
ИБ при разработке ИС обеспечивают следующие меры:
— разработка безопасных систем;
— безопасность среды разработки;
— аутсорсинг разработки;
— тестирование безопасности;
— приёмное тестирование.
Политика ИБ при разработке
Меры и средства
В организации должны быть установлены и применены правила разработки ПО и ИС для разработок внутри организации.
Рекомендации по реализации
Безопасная разработка является требованием для создания безопасного сервиса, архитектуры, ПО и системы. В политике безопасной разработки необходимо предусмотреть следующие аспекты:
— безопасность среды разработки;
— руководство по безопасности жизненного цикла разработки ПО:
• безопасность методологии разработки ПО;
• правила написания безопасного кода для каждого используемого языка программирования;
— требования безопасности в фазе проектирования;
— контрольные точки безопасности на этапах проектирования;
— безопасные хранилища;
— безопасность контроля версии;
— требуемые знания по безопасности ПО;
— способность разработчиков избегать, находить и фиксировать уязвимости.
Следует использовать безопасные методы программирования как для новых разработок, так и повторного использования сценариев кодирования, если применяемые для разработки стандарты невозможно изучить или не соответствуют лучшим практикам.
Следует изучить стандарты безопасного кодирования и, по возможности, использовать. Разработчиков следует обучить их использованию и проверять их использование путем тестирования и анализа кодирования.
Если разработка находится в аутсорсинге, организация должна убедиться, что аутсорсинговая организация применяет эти правила для безопасной разработки.
Разрабатываться могут также внутренние приложения, такие как офисные приложения, сценарии, браузеры и базы данных.
Управление изменением ИС
Меры и средства
Изменениями в системах в течение жизненного цикла разработки следует управлять, используя формальные процедуры управления.
Рекомендации по реализации
Формальные процедуры управления изменениями должны документироваться и обеспечивать уверенность в целостности систем, приложений и продуктов с самых ранних стадий разработки на протяжении всех последующих сопровождающих усилий.
Внедрение новых систем и серьезных изменений в действующие системы должно следовать формальному процессу документирования, детализации, тестирования, контроля качества и управляемой реализации.
Этот процеес должен включать оценку риска, анализ влияний изменений и конкретизацию необходимых мер безопасности. Этот процесс должен давать уверенность, что существующие процедуры безопасности и управления не скомпрометированы, программисты получили доступ только к тем частям системы, которые необходимы им для работы, и формальное соглашение и разрешение на любое изменение получено.
При практической возможности следует обеспечить интеграцию процедур управления изменениями ОС и приложений.
Процедуры управления изменениями должны включать (но не ограничиваться):
— ведение учета согласованных уровней полномочий;
— обеспечение изменений, введенных уполномоченными пользователями;
— анализ мер защиты и процедур целостности на предмет уверенности того, что они не скомпрометированы изменениями;
— идентификация всех субъектов ПО, информации, баз данных и аппаратных средств, требующих изменений;
— идентификация и выбор критического кода безопасности для минимизации вероятности проявления известных слабых мест безопасности;
— получение формального одобрения на детальные предложения по изменениям перед началом работы;
— одобрение уполномоченного пользователя всех изменений до их реализации;
— обновление комплекта системной документации после завершения каждого изменения, архивирование или удаление старой документации;
— управление версиями ПО для всех обновлений;
— изменение операционной документации и процедур пользователя происходит настолько, насколько это необходимо;
— внедрение изменений в согласованное время и без нарушений бизнес-процессов.
Изменение ПО может привести к изменению среды и наоборот.
Передовой опыт рекомендует проведение тестирования нового ПО в среде, отделенной от сред разработки и производства. Это позволяет контролировать новое ПО и дает дополнительную защиту операционной информации, которая используется для тестирования.
Автоматическое обновление системы обеспечивает быстроту и удобство этого процесса, но повышает риск для целостности и доступности системы. Автоматическое обновление не следует применять в критичных системах, поскольку оно может вызвать нарушение критичный приложений.
Анализ приложений после изменений операционной платформы
Меры и средства
После изменений операционной платформы следует провести анализ и тестирование критичных бизнес-приложений на предмет отсутствия негативного влияния на деятельность и безопасность организации.
Рекомендации по реализации
Этот процесс должен охватывать:
— анализ прикладных программ и процедур целостности на предмет отсутствия нарушений после изменений операционной платформы:
— своевременное поступление уведомлений об изменениях, чтобы дать возможность перед их реализацией провести соответствующие тесты и анализы:
— внесение соответствующих изменений в планы обеспечения непрерывности бизнеса.
Операционные платформы включают в себя ОС, базы данных и межплатформенное ПО (взаимодействия системного и прикладного ПО).
Ограничение изменений пакетов программ
Меры и средства
Модификации программных пакетов должны не одобряться, а ограничиваться минимально необходимыми изменениями, и все изменения строго контролироваться.
Рекомендации по реализации
Насколько возможно, пакеты ПО, поддерживаемые поставщиком, должны использоваться без модификации. В случае необходимости модификации пакета программ, следует учитывать следующее:
— риск компрометации встроенных средств контроля и процедур целостности;
— необходимость получения согласия поставщика ПО;
— возможность получения требуемых изменений от поставщика в качестве стандартной программы обновления;
— последствия в случае, если организация в результате внесенных изменений станет ответственной за дальнейшее сопровождение ПО;
— совместимость с другим ПО при использовании.
При необходимости изменений их следует вносить в созданную копию ПО, а оригинальное ПО сохранить без изменений. Следует внедрить процесс управления обновлениями ПО, чтобы быть уверенным, что самые последние патчи и обновления приложений установлены во всем разрешенном ПО.
Все изменения должны быть полностью протестированы и задокументированы так, чтобы их можно было повторно использовать, при необходимости, для будущих обновлений ПО. Если требуется, модификации должны быть протестированы и утверждены независимым экспертом.
Разработка безопасных систем
Меры и средства
Принципы разработки безопасных систем должны быть установлены, задокументированы, поддерживаться и применяться при реализации ИС.
Рекомендации по реализации
Процедуры разработки безопасных ИС, основанные на принципах безопасности разработки, должны быть установлены, задокументированы и применены при разработке внутренней|собственной| ИС. Безопасность следует внедрять|намериться, разработать| на всех уровнях архитектуры ИС (бизнес|дело|, данные, приложения|приложение| и технология), согласовуя|уравновешивает| требования ИБ и доступности|достижимости|. Новую технологию следует проанализировать на предмет рисков|рисковый| безопасности и способности противостоять известным шаблонам атак|атаки|.
Принципы и установленные|утверждается| процедуры разработки следует регулярно пересматривать, чтобы гарантировать их соответствие современным стандартам|знамени| безопасности для процесса разработки. Их также следует регулярно пересматривать, чтобы гарантировать их соответствие современному уровню противодействия новым потенциальным угрозам, технологического прогресса|продвижению, авансу| и применяемых решений.
Принятые|утверждается| принципы безопасности разработки следует применять, по|куда| возможности, к аутсорсингу ИС посредством контрактов и других обязательных соглашений между организацией и поставщиком|структурой|. Организация должна убедиться, что строгость принципов разработки безопасных систем поставщика сравнима с ее собственной.
Процедуры разработки приложения должны применять безопасные методы разработки приложений, имеющих входные и выходные интерфейсы. Методы безопасной разработки предусматривают руководство по методам аутентификации пользователя, управлению безопасной сессией и проверке данных, проверку и удаление отладочных символов.
Безопасность среды разработки
Меры и средства
Организация должна установить и надлежащим образом защищать среды разработки для разработки и интеграции системы, охватывающих весь жизненный цикл ее разработки.
Рекомендации по реализации
Безопасная среда разработки |разработки| включает людей, процессы и технологии, связанные|ассоциируют, связали| с разработкой |разработкой| и интеграцией системы.
Организация|структура| должна оценить риски|рисковый|, связанные с индивидуальной разработкой системы |разработки|, и установить|утверждаются| безопасные среды разработки для специальной разработки системы |разработки|, рассматривая|считает|:
— чувствительность данных, которые обрабатываются, хранятся|запоминает, аккумулирует| и передаются системой;
— соответствующие внешние и внутренние|внутриконтурные| требования, например, правила или политики|полиса|;
— меры безопасности уже предприняты организацией,|структурой| осуществляющей разработку системы |разработку|;
— надежность персонала, работающего в среде разработки;
— степень|степень| аутсорсинга в разработке системы |разработкой|;
— необходимость разделения сред разных|другого| разработок |разработки|;
— контроль доступа к среде разработки |разработки|;
— мониторинг изменения|замены| среды и кода, хранящегося|запоминает, аккумулирует| там;
— хранение резервных копий|запоминают, аккумулируют| в|у| удаленном безопасном месте|местоположения, месторасположения||узла, участка|;
— контроль |контролируйте| движения данных из среды и в среду разработки.
Как только уровень безопасности специальной среды разработки установлен|решает||разработки|, организации|структура| должны задокументировать|задокументировать| соответствующие|соответствующие| процедуры безопасных процессов разработки |разработки| и довести до всех заинтересованных лиц.
Аутсорсинг разработки
Меры и средства
Организация должна руководить аутсорсингом разработки системы и мониторить его.
Рекомендации по реализации
Если осуществляется аутсорсинг разработки (привлечение для разработки сторонней организации), то по всей организационной внешней цепочке поставок необходимо учитывать следующее:
— лицензионные соглашения, собственность кода и права интеллектуальной собственности, связанные с аутсорсингом;
— договорные требования к безопасным методикам по созданию, кодированию и тестированию;
— предоставление внешнему разработчику применимой модели угроз;
— приемные испытания качества и точности результатов;
— предоставление доказательства применения порогов безопасности для минимизации применяемых уровней качества безопасности и приватности;
— предоставление доказательства достаточного тестирования на предмет отсутствия вредоносного ПО;
— предоставление доказательства достаточного тестирования на предмет наличия известных уязвимостей;
— эскроу соглашения (на случай отказа сторонней организации выполнять свои обязательства), например, если исходный код не длиннее имеющегося;
— договорное право на аудит мер защиты и процессов разработки;
— эффективная документация построенной среды, способствующая достижению результатов;
— ответственность организации за соблюдение действующих законов и проверку эффективности контроля.
Тестирование безопасности
Меры и средства
Тестирование функциональности безопасности должно осуществляться в течение ее разработки.
Рекомендации по реализации
Новые и обновляемые системы требуют всестороннего|тщательного| тестирования и проверки в течение|на| процессов разработки, включая подготовку|подготовка| детального плана|списка| действий и тестовых вводов и ожидаемых выводов|вывод| в пределах создаваемых условий|состояния|. Для внутренних|собственного| разработок такое тестирование должно изначально|первоначально, начально| выполняться|исполнить| группой разработчиков.
Независимое тестирование должно (и для внутренней|собственный|, и для аутсорсинговой разработки|разработки|) гарантировать, что|который| системные работы проведены именно так, как ожидалось. Степень тестирования должна соответствовать важности и типу|натуре, характеру| системы.
Приёмное тестирование
Меры и средства
Программы приёмного тестирования и связанный с ним критерий должны быть установлены для новых ИС, их обновлений и новых версий.
Рекомендации по реализации
Приёмное тестирование системы должно включать|включить| проверку выполнения требований ИБ и соблюдения правил|метод| разработки безопасных систем |разработки|. Тестирование должно также проводиться|вести| на полученных компонентах|элементе| и встроенных|интегрированных, комплексных| системах.
Организации|структура| могут усилить автоматизированные инструменты, например, применить анализаторы кодов или сканеры уязвимости, и должна проверить|верифицировать| исправление дефектов, связанных с безопасностью.
Тестирование системы нужно выполнять|исполнить| в реалистичной|реалистичной| испытательной среде, чтобы гарантировать, что|который| система не создаст уязвимостей для среды организации,|структуры| и что испытания были надежными.
10.3. Тестовые данные
Цель: Обеспечить защиту данных, используемых при тестировании.
Защита тестовых данных
Меры и средства
Тестовые данные должны тщательно подбираться, защищаться и контролироваться.
Рекомендации по реализации
Тестовые данные не должны содержать персональных данных и конфиденциальной информации. Если персональные данные или любая конфиденциальная информация необходима для тестирования, все чувствительные детали и содержание должны быть защищены удалением или модификацией.
Необходимо применять следующие принципы для защиты тестовых данных:
— процедуры разграничения доступа, применяемые в эксплуатируемых системах, должны применяться и в системах тестирования;
— должна быть отдельная авторизация на каждый случай копирования операционной информации в среду тестирования;
— после завершения тестирования всю операционную информацию следует немедленно удалить из среды тестирования;
— копирование и использование операционной информации должно протоколироваться для дальнейшего аудита.
Системное и приемное испытание, как правило, требуют значительных объемов тестовых данных, которые должны быть как можно более закрыты для попадания в них операционных данных.
11. Взаимоотношения с поставщиками
Взаимоотношения с поставщиками определяют следующие составляющие:
— ИБ в отношениях с поставщиками;
— управление оказанием услуг.
11.1. ИБ в отношениях с поставщиками
Цель: Обеспечить защиту активов организации, доступных поставщикам.
ИБ при взаимоотношении с поставщиками определяют следующие составляющие:
— политика ИБ в отношениях с поставщиками;
— включение ИБ в договор с поставщиками;
— ИКТ цепочки поставок.
Политика ИБ в отношениях с поставщиками
Меры и средства
Для уменьшения рисков, связанных с доступом поставщика к активам организации, должны быть согласованы с поставщиком и задокументированы требования ИБ.
Рекомендации по реализации
Организация должна в политике определить и обозначить меры ИБ конкретного доступа поставщика к информации организации. Эти меры предусматривают внедрение как организацией, так и поставщиком, процессов и процедур, включающих:
— определение и документирование типов поставщиков, например, ИТ сервисы, программы логистики, финансовые сервисы, компоненты ИТ инфраструктуры, которым организация предоставит доступ к своей информации;
— стандартный процесс и жизненный цикл управления отношениями с поставщиком;
— определение типов информационного доступа, который получат разные типы поставщиков, и мониторинг и контроль доступа;
— минимум требований ИБ к каждому типу информации и типу доступа в качестве базы для индивидуальных соглашений с поставщиком на основании бизнес-требований организации и их профиля риска;
— процессы и процедуры мониторинга соблюдения установленных требований ИБ для каждого типа поставщика и типа доступа, включая третью сторону анализа и проверки продукта;
— точность и полнота мер защиты, дающая гарантию целостности информации или ее обработки другим участником;
— типы обязательств, применимых к поставщикам для защиты информации организации;
— обработка инцидентов и непредвиденных обстоятельств, связанных с доступом поставщика, включая обязанности как организации, так и поставщиков;
— устойчивость и, при необходимости, восстановление и резервные механизмы обеспечения доступности информации или ее обработки другой стороной;
— обучение персонала организации, занимающегося покупками, применяемым политикам, процессам и процедурам;
— обучение персонала организации, взаимодействующего с персоналом поставщика, правилам сотрудничества и поведения с учетом типа поставщика и уровня его доступа к системам и информации организации;
— условия, при которых требования и меры ИБ должны быть прописаны в соглашении, подписываемом обеими сторонами;
— управление необходимыми перемещениями информации, средств ее обработки и т. п. и гарантия того, что ИБ обеспечивается на протяжении перемещения.
Информация может быть подвержена риску поставщиком при неадекватном управлении ИБ. Следует определить и применить меры защиты для администрирования доступа поставщика к средствам обработки информации. Например, если специально требуется конфиденциальность информации, то могут заключаться соглашения о неразглашении.
Другим примером являются риски защиты данных, если соглашение с поставщиком содержит передачу информации за пределы организации или удаленный доступ к ней. Организация должна быть уверена, что правовая или договорная ответственность за защиту информации остается в организации.
Включение ИБ в договор с поставщиками
Меры и средства
Все соответствующие требования ИБ должны быть установлены и согласованы с каждым поставщиком, который может иметь доступ, обрабатывать, хранить, передавать информацию организации или предоставлять компоненты ИТ инфраструктуры.
Рекомендации по реализации
Договоренности с поставщиком должны быть оформлены и задокументированы для гарантии того, что между организацией и поставщиком нет недопонимания своих обязательств по выполнению соответствующих требований ИБ.
Следующие условия должны быть рассмотрены на предмет включения в договор для удовлетворения определенных требований ИБ:
— описание предоставляемой или доступной информации и методов предоставления или доступа к информации;
— классификация информации в соответствии со схемой классификации организации; при необходимости, сопоставление схем классификации организации и поставщика;
— правовые и нормативные требования, включая защиту данных, интелектуальную собственность, авторские права, и описание того, как в этом удостовериться;
— обязательство каждой стороны договора по внедрению согласованного пакета мер защиты, включая контроль доступа, анализ производительности, мониторинг, уведомление и аудит;
— правила допустимого использования информации, включая, при необходимости, недопустимое использование;
— подробный список персонала поставщика, имеющего право либо доступа или получения информации организации или процедур или условий авторизации, либо удаления прав доступа или получения информации организации персоналом поставщика;
— политики ИБ, соответствующие специфике договора;
— требования и процедуры управления инцидентами (особенно уведомление и сотрудничество при реагировании на инцидент);
— осведомленность и обучение требованиям специальных процедур и требованиям ИБ, например, реагирования на инцидент или процедур авторизации;
— соответствующие нормативы для субподряда, включая внедрение необходимых мер защиты;
— договорные партнеры, включая контактное лицо для решения вопросов ИБ;
— требования по отбору персонала поставщика, включая ответственности за проведение процедур отбора и уведомления, если отбор не завершен или результаты вызвали сомнение или беспокойство;
— право аудита мер защиты и процессов поставщика, вытекающих из договора;
— процессы устранения дефекта и решения конфликта;
— обязательство поставщика периодически предоставлять независимый отчет по эффективности мер защиты и договор на своевременную коррекцию соответствующих проблем, указанных в отчете;
— обязательства поставщика выполнять требования ИБ организации.
Договора могут значительно отличаться для разных организаций и разных типов поставщика. Тем не менее, они должны содержать все соответствующие риски и требования ИБ. Договора с поставщиком могут также предусматривать наличие других сторон (например, субподрядчиков).
Процедуры продолжения работы на случай неспособности поставщика поддерживать свои продукты или сервисы в договоре следует предусмотреть для предотвращения любой задержки в организации замены продуктов или сервисов.
ИКТ цепочки поставок
Меры и средства
Договора с поставщиками должны включать требования по устранению рисков ИБ, связанных с цепочками поставок продуктов и сервисов информационно-коммуникационной технологии (ИКТ).
Рекомендации по реализации
Необходимо рассмотреть следующие темы для включения в договора с поставщиком в отношении безопасности цепочки поставок:
— определить требования ИБ для покупки ИКТ продуктов или сервисов в дополнение к общим требованиям ИБ в отношениях с поставщиками;
— для ИКТ сервисов — поставщики должны распространять требования ИБ по всей цепочке поставок, даже если части предоставляемого организации сервиса обеспечиваются субподрядчиком;
— для ИКТ продуктов — поставщики должны распространять требования ИБ по всей цепочке поставок, даже если эти продукты содержат компоненты, купленные у других поставщиков;
— внедрение процесса мониторинга и допустимых методов проверки поставляемых ИКТ продуктов и сервисов на соответствие установленным требованиям безопасности;
— внедрение процесса идентификации создаваемых за пределами организации компонентов продукта или сервиса, критичных для поддержки функциональности и поэтому требующих повышенного внимания и изучения, особенно если основной поставщик передает аспекты компонентов продукта или сервиса другим поставщикам;
— уверенность в том, что критичные компоненты и их происхождение может быть отслежено по цепочке поставок;
— уверенность в том, что поставляемые ИКТ продукты функционируют как ожидалось и без каких-либо неожиданных или нежелательных особенностей;
— определение правил распространения информации о цепочке поставок и любых возможных проблемах и компромиссах среди организации и поставщиков;
— внедрение специальных процессов управления жизненным циклом ИКТ компонента и доступностью и связанными рисками безопасности. Сюда входит управление рисками компонентов, которые больше не будут доступными из-за поставщиков, больше не будут в бизнесе или у поставщиков, больше не будут предоставлять эти компоненты из-за технических достижений.
Специальные методики управления риском ИКТ цепочки поставок создаются на базе общей ИБ, качества, управления проектом и методик разработки системы, но не заменяют их.
Организациям следует работать с поставщиками для понимания ИКТ цепочки поставок и других вопросов, имеющих важное влияние на предоставляемые продукты и сервисы. Организации могут повлиять на практики ИБ ИКТ цепочки поставок путем изъятия из договоров со своими поставщиками вопросов, которые должны рассматриваться другими поставщиками в ИКТ цепочке поставок.
Рассматриваемая ИКТ цепочка поставок включает в себя «облачный» компьютерный сервис.
11.2. Управление оказанием услуг
Цель: Поддерживать согласованный уровень ИБ и оказания услуг согласно договоров с поставщиками.
Управление оказанием услуг обеспечивают следующие меры:
— мониторинг и пересмотр услуг;
— управление изменениями услуг.
Мониторинг и пересмотр услуг
Меры и средства
Организация должна регулярно мониторить, пересматривать и проводить аудит оказания поставщиком услуг.
Рекомендации по реализации
Мониторинг и пересмотр услуг поставщика должен гарантировать, что требования ИБ и договорные условия соблюдаются, а инциденты и проблемы ИБ управляются надлежащим образом. Это включает процесс взаимосвязи управления услугами организации и поставщика для:
— мониторинга уровней оказания услуг для проверки соблюдения договоров;
— анализа отчетов поставщика об оказании услуг и проведения регулярных рабочих встреч согласно договоров;
— проведения аудитов поставщиков в соответствии с отчетами независимых аудиторов, по возможности, и принятия мер по указанным в них вопросам;
— обеспечения информации об инцидентах ИБ и анализа этой информации в соответствии с договорами и соответствующими руководствами и процедурами;
— анализа результатов аудита поставщика и записей о событиях ИБ, эксплуатационных проблемах, отказах и отслеживаниях недостатков, относящихся к оказывемым услугам;
— решения всех выявленных проблем и управления ими;
— пересмотра аспектов ИБ в отношениях со своими поставщиками;
— гарантии того, что поставщик обеспечивает достаточную дееспособность сервиса с учетом рабочих планов, разработанных для поддержки согласованных уровней непрерывности услуг в случае сбоя или отказа основного сервиса.
Обязанность по управлению отношениями с поставщиками следует возложить на назначенное лицо или группу по управлению услугами. В дополнение, организации следует удостовериться, что на поставщиков возложены обязанности по соблюдению и выполнению требований договоров.
Следует задействовать достаточные технические навыки и ресурсы для действенного контроля выполнения требований договоров, особенно требований ИБ. Следует предпринимать соответствующие действия при выявлении недостатков в оказании услуг.
Организация должна сохранить достаточный общий контроль и наблюдение за всеми аспектами безопасности чувствительных или критичных данных или средств их обработки, доступных, используемых или управляемых поставщиком. Организация должна сохранить наблюдение за действиями безопасности, такими как управление изменением, выявление уязвимостей и оповещение и реагирование на инцидент ИБ в течение определенного процесса оповещения.
Управление изменениями услуг
Меры и средства
Изменения в оказании поставщиками услуг, включая поддержку и улучшение существующих политик ИБ, процедур и мер защиты, должны управляться с учетом критичности бизнес информации, связанных систем и процессов и повторной оценки рисков.
Рекомендации по реализации
Следующие аспекты должны быть рассмотрены:
— изменения в договорах с поставщиками;
— изменения, сделанные организацией для:
• усовершенствования действующих услуг;
• разработки новых приложений и систем;
• модификации или обновления процессов и процедур организации;
• новых или изменения мер по решению инцидентов ИБ и улучшению безопасности;
— изменения услуг поставщика для:
• изменения или усовершенствования сетей;
• использования новых технологий;
• выбора новых продуктов или новых версий/релизов;
• новых инструментов и сред разработки;
• изменения места расположения средств оказания услуг;
• замены поставщиков;
• субподряда другого поставщика.
12. Управление инцидентами ИБ
12.1. Управление инцидентами ИБ и улучшение
Цель: Обеспечить бесперебойное и результативное выявление инцидентов ИБ, включая оповещение о событиях безопасности и уязвимости, и управление ими.
Выявление инцидентов ИБ обеспечивают следующие меры:
— ответственность и процедуры;
— оповещение о событиях;
— оповещение о недостатках;
— оценка событий и решения.
Управление инцидентами ИБ обеспечивают следующие меры:
— реагирование на инциденты;
— извлечение уроков из инцидентов;
— сбор правовых доказательств.
Ответственность и процедуры
Меры и средства
Должна быть установлена ответственность и процедуры для обеспечения быстрой, эффективной и правильной реакции на инциденты ИБ.
Рекомендации по реализации
Необходимо учитывать следующие рекомендации:
— ответственные лица должны гарантировать, что следующие процедуры разработаны и адекватно функционируют внутри организации:
• процедуры планирования и подготовки реагирования на инцидент;
• процедуры мониторинга, выявления, анализа и оповещения о событиях и инцидентах;
• процедуры регистрации действий по управлению инцидентами;
• процедуры сбора правовых доказательств;
• процедуры оценки событий, уязвимостей и решения событий;
• процедуры реагирования, включая эскалацию, восстановление и оповещение всех заинтересованных сторон (внутренних и внешних);
— процедуры должны обеспечивать уверенность того, что:
• компетентный персонал решит проблему инцидента внутри организации;
• контактные лица для выявления инцидентов и оповещения о них определены;
• соответствующие контакы со специальными группами или форумами специалистов, которые способны решить проблему инцидента, поддерживаются;
— процедуры отчетов должны содержать:
• подготовку формы отчета о событиии ИБ, соответствующей проводимым действиям и помогающей тому, кто заполняет отчет, запомнить все необходимые действия в случае события ИБ;
• процедуру, принятую в случае события ИБ, например, немедленная запись всех деталей события таких типов, как несоответствие или брешь, происходящий сбой, уведомление на экране, немедленное оповещение контактного лица и осуществление только координированных действий;
• ссылку на формальный дисциплинарный процесс в отношении сотрудников, допустивших бреши ИБ;
• соответствующие процессы обратной связи, обеспечивающие информирование тех, кто оповестил о событии ИБ, о результатах решения и закрытии проблемы.
Цели управления инцидентами ИБ должны быть согласованы с общим управлением и гарантировать, что ответственность за управление инцидентами ИБ является приоритетом организации для обработки инцидентов ИБ.
Оповещение о событиях ИБ
Меры и средства
События ИБ должны быть сообщены по соответствующим управляемым каналам, как можно быстрее.
Рекомендации по реализации
Все сотрудники должны знать о своей обязанности оповещения о событиях ИБ как можно быстрее. Они должны быть ознакомлены с процедурой оповещения о событиях ИБ и контактным лицом, кого надо оповестить.
Ситуации, относящиеся к событиям ИБ, включают:
— неэффективную меру защиты;
— брешь в целостности, конфиденциальности и доступности информации;
— человеческие ошибки;
— несоответствие политике и правилам;
— бреши в мерах физической безопасности;
— неконтролируемые системные изменения;
— сбои системного или прикладного ПО;
— нарушения доступа.
Сбои или другое аномальное поведение системы могут быть индикатором тайной атаки или существующей бреши в безопасности, и об этом надо сообщать как о событии ИБ.
Оповещение о недостатках ИБ
Меры и средства
Сотрудники и подрядчики, использующие ИС и сервисы организации обязаны сообщать о любых наблюдаемых или предполагаемых недостатках ИБ в системах или сервисах.
Рекомендации по реализации
Все сотрудники и представители сторонних организаций должны, как можно быстрее, сообщать о недостатках ИБ своему руководству или непосредственно поставщику услуг, чтобы предотвратить инциденты ИБ. Механизм сообщения должен быть, насколько возможно, простым, доступным и применимым.
Оценка событий и решения
Меры и средства
События ИБ должны быть оценены и по ним должно быть принято решение, если они классифицированы как инциденты ИБ.
Рекомендации по реализации
Контактное лицо должно оценить каждую информацию о событии ИБ, используя согласованную шкалу классификации событий и инцидентов ИБ, и решить, является ли событие инцидентом ИБ. Классификация и приоритетность инцидентов может помочь идентифицировать влияние и масштаб инцидента.
Если организация имеет свою группу реагирования на инциденты ИБ (далее — ГРИИБ), оценка и решения могут быть переданы в ГРИИБ для повторной оценки и утверждения результатов.
Результаты оценки и решения должны быть детально зафиксированы для дальнейшего изучения и анализа.
Реагирование на инциденты ИБ
Меры и средства
На инциденты ИБ надо реагировать в соответствии с документированными процедурами.
Рекомендации по реализации
На инциденты ИБ должны реагировать ответственный за это сотрудник и другие специалисты организации или сторонние специализированные группы.
Реагирование должно содержать следующее:
— сбор доказательств сразу после появления инцидента;
— проведение, при необходимости, правового анализа инцидента;
— эскалацию, при необходимости;
— уверенность, что все предпринятые действия правильно зафиксированы для дальнейшего анализа;
— передача информации об инциденте и его деталях всем заинтересованным сторонам (внутренним и внешним);
— выявление уязвимости ИБ, которая привела или способствовала инциденту;
— формальное завершение инцидента и фиксация всех данных сразу после успешного его решения.
Первой задачей реагирования на инцидент является возобновление нормального уровня безопасности, а затем инициация необходимого восстановления.
Извлечение уроков из инцидентов ИБ
Меры и средства
Знания, полученные в результате анализа и решения инцидентов ИБ, должны использоваться, чтобы уменьшить вероятность или воздействие будущих инцидентов.
Рекомендации по реализации
На месте должны быть механизмы, способные осуществить мониторинг и количественную оценку типа, уровня и значимости инцидентов ИБ. Информация, полученная в результате оценки инцидентов, должна быть использована для определения повторяющихся и серьезных инцидентов.
Оценка инцидентов ИБ может привести к необходимости задействования улучшенных или дополнительных мер защиты для ограничения частоты, ущерба и цены будущих событий или должна быть учтена при пересмотре политики ИБ.
С учетом аспектов конфиденциальности эпизоды актуальных инцидентов ИБ могут быть использованы для обучения персонала как примеры того, что могло случиться, как реагировать на эти инциденты и как избежать их в дальнейшем.
Сбор доказательств
Меры и средства
Организация должна определить и применять процедуры для идентификации, сбора, приобретения и сохранения информации, которые могут служить в качестве доказательств.
Рекомендации по реализации
Внутренние процедуры должны быть разработаны и применены в случае необходимости доказательств для дисциплинарных и законных действий.
В общем, эти процедуры должны обеспечить идентификацию, сбор, приобретение и сохранение доказательств с учетом разнотипности носителей, устройств, их состояния, например, включено или выключено.
Процедуры должны учитывать:
— цепочки поставок;
— безопасность доказательства;
— безопасность персонала;
— роли и ответственности задействованного персонала;
— компетентность персонала;
— документацию;
— инструктаж.
По возможности, сертификаты и другие соответствующие значения квалификации персонала и инструменты должны быть найдены, чтоб усилить значимость сохраняемого доказательства.
Правовые доказательства могут изменить организационные и юридические рамки. В таких случаях очень важно, чтобы организация возглавила сбор необходимой информации как правовых доказательств. Требования разных юрисдикций также должны рассматриваться для увеличения шансов допуска к соответствующим юрисдикциям.
Идентификация является процессом изучения, распознавания и документирования потенциального доказательства. Сбор является процессом собирания физических предметов и деталей, содержащих потенциальное доказательство. Приобретение является процессом копирования данных в определенной совокупности и конфигурации. Сохранение является процессом поддержания и защиты неприкосновенности и естественных условий правового доказательства.
Когда событие ИБ появляется впервые, нельзя сразу определить понадобится ли судебное разбирательство. Следовательно, существует опасность того, что необходимое доказательство будет случайно или преднамеренно разрушено до того, как будет определена серьезность инцидента. Целесообразно привлечь адвоката или полицию к любому предусмотренному законному действию и получить соответствующую консультацию по требуемому докуазательству.
13. Аспекты ИБ при управлении непрерывности бизнеса
Аспекты ИБ при управлении непрерывности бизнеса определяют следующие составляющие:
— непрерывность ИБ;
— избыточность средств.
13.1. Непрерывность ИБ
Цель: Непрерывность ИБ должна быть неотъемлемой частью систем управления непрерывностью бизнеса организации.
Непрерывность ИБ обеспечивают следующие меры:
— планирование;
— внедрение;
— проверку, пересмотр и оценку.
Планирование непрерывности
Меры и средства
Организация должна определить свои требования ИБ и непрерывности управления ИБ при неблагоприятных ситуациях, например, во время кризиса или аварии.
Рекомендации по реализации
Организация должна определить, будет ли непрерывность ИБ охвачена процессом управления непрерывностью бизнеса или процессом управления аварийным восстановлением. Требования ИБ должны обусловить планирование непрерывности бизнеса и аварийного восстановления.
При недостатке планирования непрерывности бизнеса и аварийного восстановления управление ИБ должно предположить, что требования ИБ в неблагоприятной ситуации остаются такими же, как и в нормальных операционных условиях. В альтернативном случае организация могла провести анализ влияния на аспекты ИБ бизнеса для определения требований ИБ, подходящих для неблагоприятных ситуаций.
Для снижения времени и усилий на «дополнительный» анализ влияния на ИБ бизнеса следует учитывать аспекты ИБ при анализе влияния на бизнес обычного управления непрерывностью бизнеса или управления аварийным восстановлением. Это значит, что требования непрерывности ИБ четко формулируются процессами управления непрерывностью бизнеса или управления аварийным восстановлением.
Внедрение непрерывности
Меры и средства
Организация должна установить, документировать, внедрить и поддерживать процессы, процедуры и меры защиты для обеспечения требуемого уровня непрерывности ИБ во время неблагоприятной ситуации.
Рекомендации по реализации
Организация должна быть уверена, что:
— имеется адекватная структура управления по подготовке к уменьшению и реагированию на разрушительное событие с использованием персонала с необходимым авторитетом, опытом и компетентностью;
— назначен персонал по реагированию на инцидент с необходимой ответственностью, авторитетом и компетентностью для управления инцидентом и обеспечения ИБ;
— разработаны и внедрены документальные процедуры планирования, реагирования и восстановления, детально описывающие, как организация будет управлять разрушительным событием и поддерживать свою ИБ на заданном уровне, который базируется на утвержденных руководством целях непрерывности ИБ.
В соответствии с требованиями непрерывности ИБ организация должна установить, документировать, внедрить и поддерживать:
— меры ИБ процессов, процедур и поддерживающих систем и инструментов непрерывности бизнеса и аварийного восстановления;
— процессы, процедуры и реализованные изменения для поддержки существующих мер ИБ во время неблагоприятной ситуации;
— компенсацию мер ИБ, которые не могут поддерживаться во время неблагоприятной ситуации.
В контексте непрерывности бизнеса и аварийного восстановления следует определить специальные процессы и процедуры. Информация, обрабатываемая этими процессами и процедурами или поддерживающими их ИС, должна быть защищена. Поэтому организация должна привлекать специалистов ИБ при создании, внедрении и сопровождении процессов и процедур непрерывности бизнеса и аварийного восстановления.
Внедренные меры ИБ должны продолжать работу и во время неблагоприятной ситуации. Если они не способны продолжать защищать информацию, следует создавать, внедрять и сопровождать другие меры безопасности для поддержки приемлемого уровня ИБ.
Проверка, пересмотр и оценка непрерывности
Меры и средства
Организация должна проверять созданные и внедренные меры защиты непрерывности ИБ на регулярной основе для гарантии их актуальности и эффективности во время неблагоприятных ситуаций.
Рекомендации по реализации
Организационные, технические, процедурные и процессные изменения (в контексте оперативности или непрерывности) могут привести к изменениям требований непрерывности ИБ. В этих случаях непрерывность процессов, процедур и мер ИБ следует пересмотреть в соответствии с измененными требованиями.
Организация должна проверять непрерывность управления ИБ следующим:
— тренировка и тестирование функциональности процессов, процедур и мер защиты непрерывности ИБ для гарантии их соответствия целям непрерывности ИБ;
— тренировка и тестирование знаний и навыков работы с процессами, процедурами и мерами защиты непрерывности ИБ для гарантии их соответствия целям непрерывности ИБ;
— пересмотр актуальности и эффективности мер непрерывности ИБ при изменении ИС, процессов, процедур и мер ИБ или процессов и решений управления непрерывностью бизнеса / управления аварийным восстановлением.
Проверка мер защиты непрерывности ИБ отличается от общей проверки и тестирования ИБ и должна выполняться вне тестирования изменений. По возможности, следует интегрировать проверку мер защиты непрерывности ИБ в тесты непрерывности бизнеса и аварийного восстановления.
13.2. Избыточности средств
Цель: Обеспечить доступность средств обработки информации.
Доступность средств обработки информации
Меры и средства
Количество средств обработки информации должно быть избыточным для удовлетворения требований доступности.
Рекомендации по реализации
Организации следует определить бизнес-требования для ИС. Если существующая системная архитектура не может гарантировать доступность, следует применить избыточные компоненты и архитектуры.
По возможности, избыточные ИС следует тестировать для гарантии того, что каждый компонент отказоустойчив и работает как намечено.
Внедрение избыточностей может снизить риски для целостности и конфиденциальности информации и ИС, которые следует рассмотреть при создании ИС.
14. Соответствие требованиям
Соответствие требованиям обеспечивают следующие меры:
— выполнение требований;
— пересмотр (аудит) ИБ.
14.1. Выполнение требований
Цель: Избежать нарушения правовых, нормативных или договорных обязательств, связанных с ИБ, и любых требований безопасности.
Выполнение требований определяют следующие составляющие:
— определение требований;
— интеллектуальная собственность;
— защита записей;
— конфиденциальность;
— криптографические средства.
Определение требований
Меры и средства
Все соответствующие требования должны быть четко определены, задокументированы и поддерживаться в актуальном состоянии для каждой ИС и организации.
Рекомендации по реализации
Специальные меры защиты и индивидуальные обязанности по выполнению законодательных, нормативных и договорных требований следует также определить и задокументировать.
Менеджеры должны идентифицировать все законодательство, применяемое в организации, для определения соответствия бизнеса его требованиям. Если организация осуществляет бизнес в других странах, менеджеры должны рассмотреть его соответствие требованиям этих стран.
Интеллектуальная собственность
Меры и средства
Должны быть внедрены соответствующие процедуры для обеспечения соответствия требованиям, связанным с правами интеллектуальной собственности и использованием лицензионного ПО.
Рекомендация по реализации
Следующие рекомендации следует учитывать в отношении защиты любого материала, который может содержать интеллектуальную собственность:
— публикация политики соблюдения прав интеллектуальной собственности, определяющей законное использование ПО и информационных продуктов;
— покупка ПО у заслуживающих доверия поставщиков для гарантии того, что авторское право не нарушается;
— поддержка осведомленности сотрудников о политиках по защите прав интеллектуальной собственности и уведомление о намерении применить дисциплинарные санкции в отношении нарушителей;
— поддержка соответствующих реестров активов и выявление всех активов, к которым применимы требования по защите прав интеллектуальной собственности;
— хранение подтверждений и доказательств прав собственности на лицензии, мастер-диски, руководства по эксплуатации и т. п.;
— внедрение контроля, что максимальное число разрешенных пользователей не превышено;
— проведение проверок установки только разрешенного ПО и лицензированных продуктов;
— внедрение политики поддержки соответствующих лицензионных условий;
— внедрение политики утилизации или передачи ПО сторонним организациям;
— соблюдение сроков и условий применения ПО и информации, полученной из общедоступных сетей;
— запрет дублирования, конвертации в другой формат или извлечения из коммерческих записей (фильм, аудио), если другое не разрешено законом об авторском праве;
— запрет копирования полностью или частично книг, статей, отчетов и других документов, если другое не разрешено законом об авторском праве.
Права интеллектуальной собственности включают авторство ПО и документа, права оформления, торговые знаки, патенты и лицензии.
Фирменное ПО обычно поставляется в соответствии с лицензионным соглашением, которое определяет лицензионные сроки и условия, например, ограничение использования ПО на других машинах или ограничение копирования кроме резервного. Важность и осознание прав интеллектуальной собственности должно быть доведено до сотрудников, разрабатывающих в организации ПО.
Законодательные, нормативно-правовые и договорные требования могут ограничивать копирование приватных материалов. В частности, они могут требовать использования только тех материалов, которые разработаны организацией или внедрены в организации разработчиком. Нарушение прав собственности ведет к законному действию, содержащему процедуры штрафования и криминального преследования.
Защита записей
Меры и средства
Записи должны быть защищены от потери, уничтожения, фальсификации, несанкционированного доступа в соответствии с законодательными, нормативными, договорными и бизнес-требованиями.
Рекомендации по реализации
После принятия решения о защите определенных организационных записей должна быть продумана соответствующая классификация на базе шкалы классификации организации. Записи должны быть категоризированы по типам, например, бухгалтерия, базы данных, транзакции, аудит и операционные процедуры, с указанием сроков хранения и типа их носителей, например, бумажный, микрофиша, магнитный, оптический. Любые криптографические ключи, имеющие отношение к зашифрованным архивам и цифровым подписям, должны храниться для дешифровки записей, пока они сохраняются.
Рассмотрению следует подвергнуть возможность износа носителей, на которых хранятся записи. Процедуры обращения и хранения носителей должны быть внедрены в соответствии с рекомендациями изготовителя. При выборе электронных носителей процедуры контроля доступа к данным (читаемости носителя) в течение срока хранения носителей должны быть обеспечены для защиты от потери из-за какого-либо технологического изменения.
Системы хранения данных должны выбираться такие, чтобы требуемые данные могли быть восстановлены в течение допустимого срока и приемлемом формате в зависимости от выполненных требований.
Система хранения и обработки должны обеспечить идентификацию записей и срока их хранения в соответствии с национальным или региональным законодательством или правилами. Эта система разрешит уничтожение записей по окончани этого срока, если они не нужны организации.
Для соответствия целям защиты записей организация должна предпринять следующее:
— разработать рекомендации в отношении сроков, порядка хранения и обработки, а также уничтожения записей;
— составить график хранения с указанием записей и периода, в течение которого их необходимо хранить;
— поддерживать ведение учета источников получения записей.
Некоторые записи следует хранить для соблюдения законодательных, нормативных или договорных требований, а также для поддержки важной бизнес-деятельности. К ним относятся записи, которые могут потребоваться как доказательство, что организация работает по законодательным и нормативным правилам для гарантии защиты от возможного гражданского или уголовного дела или подтверждения финансового статуса организации для аукционеров, сторонних организаций и аудиторов. Национальный закон или норматив может устанавливать период времени и содержание данных для хранения информации.
Конфиденциальность
Меры и средства
Конфиденциальность и защита персональных данных должна быть обеспечена, как того требует соответствующее законодательство и нормативы.
Рекомендации по реализации
Политика данных организации по конфиденциальности и защите персональных данных должна быть разработана и внедрена. Эта политика должна быть доведена до сведения всех лиц, участвующих в обработке персональных данных.
Соблюдение этой политики и всех применимых требований законодательных и нормативных актов по защите персональных данных требует наличие соответствующей структуры управления и контроля.
Как правило, это достигается путем назначения должностного лица, отвечающего за защиту персональных данных, которое должно предоставить инструкции менеджерам, пользователям и поставщикам услуг в отношении их персональной ответственности и специальных процедур, обязательных для выполнения.
Обеспечение ответственности за обработку персональных данных и осведомленности о принципах их защиты должно осуществляться в соответствии с законодательством и нормативами. Надлежащие технические и организационные меры по защите персональных данных должны быть внедрены.
Криптографические средства
Меры и средства
Криптографические средства должны использоваться согласно всех соответствующих договоров, законов и нормативов.
Рекомендации по реализации
Следующие вопросы необходимо рассматривать по соблюдению соответствующих договоров, законов и нормативов:
— ограничения на импорт или экспорт компьютерных аппаратных и программных средств, предоставляющих криптографические функции;
— ограничения на импорт или экспорт компьютерных аппаратных и программных средств, созданных с применением криптографических функций как дополнительных;
— ограничения на применение шифрования данных;
— принудительные и произвольные методы доступа органов власти к информации, зашифрованной с помощью аппаратных и программных средств для обеспечения конфиденциальности содержания.
14.2. Проверки ИБ
Цель: Убедиться, что ИБ внедрена и управляется в соответствии с организационными политиками и процедурами.
Проверки ИБ обеспечивают следующие меры:
— независимая проверка ИБ;
— соответствие политикам и стандартам;
— проверка технического соответствия.
Независимая проверка ИБ
Меры и средства
Подход организации к управлению ИБ и ее внедрению (т. е. цели и элементы управления, политики, процессы и процедуры ИБ) должен независимо проверяться через запланированные интервалы или когда происходят значительные изменения.
Рекомендации по реализации
Независимая проверка должна инициироваться руководством. Она необходима для обеспечения уверенности в сохраняющейся работоспособности, адекватности и эффективности подхода организации к управлению ИБ. Проверка должна включать в себя оценку возможностей улучшения и необходимость изменений подхода к безопасности, в том числе политику и цели управления.
Такая проверка должна осуществляться специалистами, не зависимыми от проверяемой сферы, например, службой внутреннего аудита, независимым менеджером или сторонней организацией, специализирующейся на таких проверках. Специалисты, привлекаемые к таким проверкам, должны обладать соответствующими навыками и опытом.
Результаты независимой проверки должны записываться и сообщаться руководству, инициировавшему проверку. Эти записи следует хранить.
Если в результате независимой проверки устанавлено, что подходы организации к управлению ИБ и ее внедрению неадекватны, например, задокументированные цели и требования не соблюдаются или не соответствуют направлению ИБ, изложенному политиках ИБ, руководству следует рассмотреть корректирующие действия.
Соответствие политикам и стандартам
Меры и средства
Менеджеры должны регулярно проверять в пределах своей ответственности соответствие информационных процессов и процедур политикам, стандартам и другим требованиям безопасности.
Рекомендации по реализации
Менеджеры должны определить, как проверять то, что требования ИБ, предусмотренные политиками, стандартами и другими применимыми правилами, соблюдены. Для эффективной регулярной проверки следует использовать инструменты автоматического измерения и оповещения.
Если в результате проверки было выявлено какое-либо несоответствие, менеджерам следует:
— определить причины несоответствия;
— оценить необходимость действий для достижения соответствия;
— реализовать соответствующее корректирующее действие;
— проверить эффективность предпринятого корректирующего действия и выявить любые недостатки и слабые места.
Результаты проверок и корректирующих действий, предпринятых менеджерами, следует записывать и эти записи хранить. Менеджеры должны доложить о результатах независимому аудитору при проведении такого аудита в сфере их ответственности.
Проверка технического соответствия
Меры и средства
ИС должны регулярно проверяться на соответствие политикам и стандартам ИБ организации.
Рекомендации по реализации
Проверка соответствия ИС техническим требованиям должна осуществляться, как правило, с помощью автоматических инструментальных средств, которые генерируют технические отчеты для последующего анализа техническим специалистом. В альтернативном случае, ручные отчеты (при необходимости, поддерживаемые соответствущими программными инструментами) оформляются опытным системным инженером.
Если проводится тестирование на проникновение или оценка уязвимостей, следует соблюдать осторожность, поскольку такие действия могут привести к компрометации безопасности системы. Такие тесты должны планироваться, документироваться и повторяться.
Любая проверка технического соответствия должна проводиться компетентным, уполномоченным персоналом или под руководством такого персонала.
Проверки технического соответствия должны включать испытания ОС для гарантии того, что аппаратные и программные средства установлены правильно. Этот тип проверки требует специальной технической экспертизы.
Проверки соответствия также содержат, например, тестирование на проникновение и оценку уязвимостей, которые могут провести независимые эксперты, специально привлеченные для этой цели по контракту. Это может быть использовано для выявления уязвимостей в ИС и проверки эффективности мер и средств защиты в предотвращении несанкционированного доступа к этим уязвимостям.
Тестирование на проникновение и оценка уязвимостей обеспечивает фиксацию специфического состояния ИС в определенный момент. Эта фиксация ограничена теми частями ИС, которые тестируются в момент попытки проникновения. Тестирование на проникновение и оценка уязвимостей не заменяет оценки риска.
ТЕЛЕГРАМКанал с обзорами, анонсами новинок и книжными подборками
Книжный Вестник
Бот для удобного поиска книг (если не нашлось на сайте)
Поиск книг
Свежие любовные романы в удобных форматах
Любовные романы
О психологии, саморазвитии и личностном росте
Саморазвитие
Детективы и триллеры, все новинки
Детективы
Фантастика и фэнтези, все новинки
Фантастика
Отборные классические книги
Классика
ВКОНТАКТЕБиблиотека с любовными романами, которая наверняка придётся по вкусу женской части аудитории
Любовные романы
Библиотека с фантастикой и фэнтези, а также смежных жанров
Фантастика
Самые популярные книги в формате фб2
Топ фб2
книги