Файл: Основыинформационнойбезопасности.pdf

134 обеспечения. Подобные инциденты требуется регистрировать и про- водить их анализ для выявления повторяющихся проблем.
Следующий раздел стандарта посвящен вопросам физической защиты и защиты от воздействия окружающей среды. Указывается, что «средства обработки критичной или важной служебной информа- ции необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответству- ющими защитными барьерами и средствами контроля проникнове- ния. Эти зоны должны быть физически защищены от неавторизован- ного доступа, повреждения и воздействия». Кроме организации кон- троля доступа в охраняемые зоны, должны быть определены порядок проведения в них работ и, при необходимости, процедуры организа- ции доступа посетителей. Необходимо также обеспечивать безопас- ность оборудования (включая и то, что используется вне организа- ции), чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери или повреждения. К этой же группе требова- ний относится обеспечение защиты от сбоев электропитания и защи- ты кабельной сети. Также должен быть определен порядок техниче- ского обслуживания оборудования, учитывающий требования без- опасности, и порядок безопасной утилизации или повторного исполь- зования оборудования. Например, списываемые носители данных, со- держащие важную информацию, рекомендуется физически разрушать или перезаписывать безопасным образом, а не использовать стан- дартные функции удаления данных.
С целью минимизации риска неавторизованного доступа или повреждения бумажных документов, носителей данных и средств об- работки информации рекомендуется внедрить политику «чистого стола» в отношении бумажных документов и сменных носителей данных, а также политику «чистого экрана» в отношении средств об- работки информации. Оборудование, информацию или программное обеспечение можно выносить из помещений организации только на основании соответствующего разрешения.

135
Название раздела 8 – «Управление передачей данных и опера- ционной деятельностью». В нем требуется, чтобы были установлены обязанности и процедуры, связанные с функционированием всех средств обработки информации. Например, должны контролировать- ся изменения конфигурации в средствах и системах обработки ин- формации. Требуется реализовать принцип разграничения обязанно- стей в отношении функций управления, выполнения определенных задач и областей.
Рекомендуется провести разделение сред разработки, тестиро- вания и промышленной эксплуатации программного обеспечения
(ПО). Правила перевода ПО из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены.
Дополнительные риски возникают при привлечении сторонних подрядчиков для управления средствами обработки информации. Та- кие риски должны быть идентифицированы заранее, а соответствую- щие мероприятия по управлению информационной безопасностью согласованы с подрядчиком и включены в контракт.
Для обеспечения необходимых мощностей по обработке и хра- нению информации необходим анализ текущих требований к произ- водительности, а также прогноз будущих. Эти прогнозы должны учи- тывать новые функциональные и системные требования, а также те- кущие и перспективные планы развития информационных технологий в организации. Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформ- лены и опробованы.
Необходимо принимать меры предотвращения и обнаружения внедрения вредоносного программного обеспечения, такого как ком- пьютерные вирусы, сетевые «черви», «троянские кони» и логические бомбы. Отмечается, что защита от вредоносного программного обес- печения должна основываться на понимании требований безопасно-

136 сти, соответствующих мерах контроля доступа к системам и надле- жащем управлении изменениями.
Должен быть определен порядок проведения вспомогательных операций, к которым относится резервное копирование программного обеспечения и данных, регистрация событий и ошибок и, где необхо- димо, мониторинг состояния аппаратных средств. Мероприятия по резервированию для каждой отдельной системы должны регулярно тестироваться для обеспечения уверенности в том, что они удовле- творяют требованиям планов по обеспечению непрерывности бизне- са.
Для обеспечения безопасности информации в сетях и защиты поддерживающей инфраструктуры требуется внедрение средств кон- троля безопасности и защита подключенных сервисов от неавторизо- ванного доступа.
Особое внимание уделяется вопросам безопасности носителей информации различного типа: документов, компьютерных носителей информации (лент, дисков, кассет), данных ввода/вывода и системной документации от повреждений. Рекомендуется установить порядок использования сменных носителей компьютерной информации (по- рядок контроля содержимого, хранения, уничтожения и т. д.). Как уже отмечалось выше, носители информации по окончании использования следует надежно и безопасно утилизировать.
С целью обеспечения защиты информации от неавторизованно- го раскрытия или неправильного использования необходимо опреде- лить процедуры обработки и хранения информации. Эти процедуры должны быть разработаны с учетом категорирования информации и действовать в отношении документов, вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, речевой почты, речевой связи вообще, мультимедийных устройств, использо- вания факсов и любых других важных объектов, например, бланков, чеков и счетов. Системная документация может содержать опреде- ленную важную информацию, поэтому тоже должна защищаться.

137
Процесс обмена информацией и программным обеспечением между организациями должен быть под контролем и соответствовать действующему законодательству. В частности, должна обеспечивать- ся безопасность носителей информации при пересылке, определена политика использования электронной почты и электронных офисных систем. Следует уделять внимание защите целостности информации, опубликованной электронным способом, например, информации на
Web-сайте. Также необходим соответствующий формализованный процесс авторизации, прежде чем такая информация будет сделана общедоступной.
Следующий раздел стандарта посвящен вопросам контроля до- ступа. В нем требуется, чтобы правила контроля доступа и права каж- дого пользователя или группы пользователей однозначно определя- лись политикой безопасности. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения данных тре- бований.
При использовании парольной аутентификации необходимо осуществлять контроль в отношении паролей пользователей. В част- ности, пользователи должны подписывать документ о необходимости соблюдения полной конфиденциальности паролей. Требуется обеспе- чить безопасность процесса получения пароля пользователем и, если это используется, управления пользователями своими паролями (при- нудительная смена пароля после первого входа в систему и т. д.).
Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым. Пользователям следует обеспечивать непосредственный доступ только к тем сервисам, в которых они были авторизованы. Особое внимание должно уделяться проверке подлин- ности удаленных пользователей. Исходя из оценки риска, важно определить требуемый уровень защиты для выбора соответствующего метода аутентификации. Также должна контролироваться безопас- ность использования сетевых служб.

138
Многие сетевые и вычислительные устройства имеют встроен- ные средства удаленной диагностики и управления. Меры обеспече- ния безопасности должны распространяться и на эти средства.
В случае, когда сети используются совместно несколькими ор- ганизациями, должны быть определены требования политики кон- троля доступа, учитывающие это обстоятельство. Также может по- требоваться внедрение дополнительных мероприятий по управлению информационной безопасностью, чтобы ограничивать возможности пользователей по подсоединению.
На уровне операционной системы следует использовать сред- ства информационной безопасности для ограничения доступа к ком- пьютерным ресурсам. Это относится к идентификации и аутентифи- кации терминалов и пользователей. Рекомендуется, чтобы все пользо- ватели имели уникальные идентификаторы, которые не должны со- держать признаков уровня привилегии пользователя. В системах управления паролем должны быть предусмотрены эффективные ин- терактивные возможности поддержки необходимого их качества. Ис- пользование системных утилит должно быть ограничено и тщатель- ным образом контролироваться.
Желательно предусматривать сигнал тревоги на случай, когда пользователь может стать объектом насилия
1
(если такое событие оценивается как вероятное). При этом необходимо определить обя- занности и процедуры реагирования на сигнал такой тревоги.
Терминалы, обслуживающие системы высокого риска, при раз- мещении их в легкодоступных местах должны отключаться после определенного периода их бездействия для предотвращения доступа неавторизованных лиц. Также может вводиться ограничение периода времени, в течение которого разрешены подсоединения терминалов к компьютерным сервисам.
1
В качестве примера можно назвать пароли для входа «под принуждени- ем». Если пользователь вводит такой пароль, система отображает процесс обычного входа пользователя, после чего имитируется сбой, чтобы нару- шители не смогли получить доступ к данным.

139
На уровне приложений также необходимо применять меры обеспечения информационной безопасности. В частности, это может быть ограничение доступа для определенных категорий пользовате- лей. Системы, обрабатывающие важную информацию, должны быть обеспечены выделенной (изолированной) вычислительной средой.
Для обнаружения отклонения от требований политики контроля доступа и обеспечения доказательства на случай выявления инциден- тов нарушения информационной безопасности необходимо проводить мониторинг системы. Результаты мониторинга следует регулярно анализировать. Журнал аудита может использоваться для расследова- ния инцидентов, поэтому достаточно важной является правильная установка (синхронизация) компьютерных часов.
При использовании переносных устройств, например, ноутбу- ков, необходимо принимать специальные меры противодействия компрометации служебной информации. Необходимо принять фор- мализованную политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде.
Десятый раздел стандарта называется «Разработка и обслужива- ние систем». Уже на этапе разработки информационных систем необ- ходимо обеспечить учет требований безопасности. А в процессе экс- плуатации системы требуется предотвращать потери, модификацию или неправильное использование пользовательских данных. Для этого в прикладных системах рекомендуется предусмотреть подтверждение корректности ввода и вывода данных, контроль обработки данных в системе, аутентификацию сообщений, протоколирование действий пользователя.
Для обеспечения конфиденциальности, целостности и аутенти- фикации данных могут быть использованы криптографические сред- ства защиты.
Важную роль в процессе защиты информации играет обеспече- ние целостности программного обеспечения. Чтобы свести к мини- муму повреждения информационных систем, следует строго контро-

140 лировать внедрение изменений. Периодически возникает необходи- мость внести изменения в операционные системы. В этих случаях необходимо провести анализ и протестировать прикладные системы с целью обеспечения уверенности в том, что не оказывается никакого неблагоприятного воздействия на их функционирование и безопас- ность. Насколько возможно, готовые пакеты программ рекомендуется использовать без внесения изменений.
Связанным вопросом является противодействие «троянским» программам и использованию скрытых каналов утечки. Одним из ме- тодов противодействия является использование программного обес- печения, полученного от доверенных поставщиков, и контроль це- лостности системы.
В случаях, когда для разработки программного обеспечения привлекается сторонняя организация, необходимо предусмотреть ме- ры по контролю качества и правильности выполненных работ.
Следующий раздел стандарта посвящен вопросам управления непрерывностью бизнеса. На начальном этапе предполагается иден- тифицировать события, которые могут быть причиной прерывания бизнес-процессов (отказ оборудования, пожар и т. п.). При этом нуж- но провести оценку последствий, после чего разработать планы вос- становления. Адекватность планов должна быть подтверждена тести- рованием, а сами они должны периодически пересматриваться, чтобы учитывать происходящие в системе изменения.
Заключительный раздел посвящен вопросам соответствия тре- бованиям. В первую очередь, это касается соответствия системы и порядка ее эксплуатации требованиям законодательства. Сюда отно- сятся вопросы соблюдения авторского права (в том числе, на про- граммное обеспечение), защиты персональной информации (сотруд- ников, клиентов), предотвращения нецелевого использования средств обработки информации. При использовании криптографических средств защиты информации, они должны соответствовать действу- ющему законодательству. Также должна быть досконально прорабо-

141 тана процедура сбора доказательств на случай судебных разбира- тельств, связанных с инцидентами в области безопасности информа- ционной системы.
Сами информационные системы должны соответствовать поли- тике безопасности организации и используемым стандартам. Безопас- ность информационных систем необходимо регулярно анализировать и оценивать. В то же время требуется соблюдать меры безопасности и при проведении аудита безопасности, чтобы это не привело к нежела- тельным последствиям (например, сбой критически важного сервера из-за проведения проверки).
Подводя итог можно отметить, что в стандарте рассмотрен ши- рокий круг вопросов, связанных с обеспечением безопасности ин- формационных систем, и по ряду направлений даются практические рекомендации.

142 га, анализа, поддержки и улучшения СМИБ организации. Он основан на модели «Планирование (Plan) – Осуществление (Do) – Проверка
(Check) – Действие (Act)» (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рис. 4.4 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необ- ходимых действий и процессов выдает выходные данные по резуль- татам обеспечения информационной безопасности, которые соответ- ствуют этим требованиям и ожидаемым результатам.
Рис. 4.4. Этапы построения и использования СМИБ
На этапе «Разработка системы менеджмента информационной
безопасности»организация должна осуществить следующее:
- определить область и границы действия СМИБ;
- определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий;
- определить подход к оценке риска в организации;
- идентифицировать риски;
- проанализировать и оценить риски;
- определить и оценить различные варианты обработки рисков;
Заинтере- сованные стороны
Требования и ожидае- мые резуль- таты в обла- сти ИБ
Заинтере- сованные стороны
Управляе- мая ИБ
Разработка
СМИБ
Поддержка и улучшение
СМИБ
Внедрение и функциониро- вание СМИБ
Проведение мониторинга и анализа СМИБ
Планирование
Проверка
Осуществление
Действие