- •Управление информационной безопасностью Практические правила содержание
- •Раздел 0 Общие положения 8
- •Раздел 1 Политика безопасности 10
- •Раздел 2 Организация защиты 10
- •Раздел 3 Классификация ресурсов и их контроль 14
- •Раздел 4 Безопасность персонала 16
- •Раздел 5 Физическая безопасность и безопасность окружающей среды 19
- •Раздел 6 Администрирование компьютерных систем и вычислительных сетей 24
- •Раздел 7 Управление доступом к системам 36
- •Раздел 8 Разработка и сопровождение информационных систем 48
- •Раздел 9 Планирование бесперебойной работы организации 54
- •Раздел 10 Выполнение требований 56
- •Предисловие
- •Введение Что такое информационная безопасность?
- •Почему необходимо защищаться?
- •Сруктура документа
- •Все ли средства управления безопасностью применимы?
- •Ключевые средства контроля
- •Задание требований к информационной безопасности организации
- •Оценка рисков нарушения безопасности
- •Факторы, необходимые для успеха
- •Разработка собственных рекомендаций
- •Раздел 0 Общие положения Назначение
- •Информативные ссылки
- •Термины и определения
- •Раздел 1 Политика безопасности Политика информационной безопасности
- •Документ о политике информационной безопасности
- •Раздел 2 Организация защиты Инфраструктура информационной безопасности
- •Совещание руководства по проблемам защиты информации
- •Координация действий по защите информации
- •Распределение обязанностей по обеспечению информационной безопасности
- •Процесс утверждения информационных систем
- •Рекомендации специалистов по информационной безопасности
- •Сотрудничество между организациями
- •Независимый анализ информационной безопасности
- •Безопасность доступа сторонних организаций
- •Идентификация рисков, связанных с подключениями сторонних организаций
- •Условия безопасности в контрактах, заключенных со сторонними организациями
- •Раздел 3 Классификация ресурсов и их контроль Ответственность за ресурсы
- •Инвентаризация информационных ресурсов
- •Классификация информации
- •Рекомендации по классификации
- •Присваивание грифов секретности
- •Раздел 4 Безопасность персонала Безопасность в должностных инструкциях и при выделении ресурсов
- •Безопасность в должностных инструкциях
- •Проверка принимаемых на работу
- •Соглашение о конфиденциальности
- •Обучение пользователей
- •Обучение правилам информационной безопасности
- •Реагирование на события, таящие угрозу безопасности
- •Уведомление об инцидентах в системе безопасности
- •Уведомление о слабых местах в системе безопасности
- •Уведомление об отказах программного обеспечения
- •Процедура наложения дисциплинарных взысканий
- •Раздел 5 Физическая безопасность и безопасность окружающей среды
- •Защищенные области
- •Физический периметр безопасности
- •Контроль доступа в помещения
- •Защита центров данных и компьютерных залов
- •Изолированные места разгрузки и загрузки оборудования и материалов
- •Правила использования рабочего стола
- •Вынос имущества за пределы организации
- •Защита оборудования
- •Размещение и защита оборудования
- •Источники электропитания
- •Защита кабельной разводки
- •Техническое обслуживание оборудования
- •Защита оборудования, используемого за пределами организации
- •Надежная утилизация оборудования
- •Раздел 6 Администрирование компьютерных систем и вычислительных сетей
- •Операционные процедуры и обазанности
- •Документированные операционные процедуры
- •Процедуры реагирования на события
- •Разделение обязанностей
- •Разделение программных средств разработки и рабочих программ
- •Работа со сторонними организациями
- •Планирование систем и их приемка
- •Планирование нагрузки
- •Приемка систем
- •Планирование перехода на аварийный режим
- •Управление процессом внесения изменений в рабочие системы
- •Защита от вредоносного программного обеспечения
- •Средства защиты от вирусов
- •Обслуживание систем
- •Резервное копирование данных
- •Журналы регистрации событий
- •Регистрация сбоев
- •Слежение за окружающей средой
- •Сетевое администрирование
- •Средства управления безопасностью сетей
- •Оперирование с носителями информации и их защита
- •Управление съемными компьютерными носителями информации
- •Процедуры оперирования c данными
- •Защита системной документации
- •Удаление носителей данных
- •Обмен данными и программами
- •Соглашения об обмене данными и программами
- •Защита носителей информации во время транспортировки
- •Защита электронного обмена данными
- •Защита электронной почты
- •Защита систем электронного офиса
- •Раздел 7 Управление доступом к системам Производственные требования к управлению доступом к системам
- •Документированная политика управления доступом к информации
- •Управление доступом пользователей
- •Регистрация пользователей
- •Управление привилегиями
- •Управление пользовательскими паролями
- •Пересмотр прав доступа пользователей
- •Обязанности пользователей
- •Использование паролей
- •Пользовательское оборудование, оставленное без присмотра
- •Управление доступом к сети
- •Предоставление ограниченных услуг
- •Принудительная маршрутизация
- •Аутентификация пользователей
- •Аутентификация узлов сети
- •Защита удаленного диагностического порта
- •Сегментация сетей
- •Контроль сетевых подключений
- •Управление сетевой маршрутизацией
- •Защита сетевых сервисов
- •Управление доступом к компьютерам
- •Автоматическая идентификация терминалов
- •Процедуры входа в систему с терминала
- •Идентификаторы пользователей
- •Система управления паролями
- •Сигнал тревоги, предупреждающий о принуждении, для защиты пользователей
- •Время простоя терминалов
- •Ограничение времени подключения
- •Управление доступом к приложениям
- •Ограничение доступа к информации
- •Использование системных утилит
- •Управление доступом к библиотекам исходных текстов программ
- •Изоляция уязвимых систем
- •Слежение за доступом к системам и их использованием
- •Регистрация событий
- •Слежение за использованием систем
- •Синхронизация системных часов
- •Раздел 8 Разработка и сопровождение информационных систем Требования к безопасности систем
- •Анализ и задание требований к безопасности
- •Безопасность в прикладных системах
- •Проверка достоверности входных данных
- •Проверка достоверности внутренней обработки данных
- •Шифрование данных
- •Аутентификация сообщений
- •Защита файлов прикладных систем
- •Контроль рабочего программного обеспечения
- •Защита системных тестовых данных
- •Безопасность в среде разработки и рабочей среде
- •Процедуры управления процессом внесения изменений
- •Технический анализ изменений, вносимых в операционную систему
- •Ограничения на внесение изменений в пакеты программ
- •Раздел 9 Планирование бесперебойной работы организации Вопросы планирования бесперебойной работы организации
- •Процесс планирования бесперебойной работы организации
- •Система планирования бесперебойной работы организации
- •Тестирование планов обеспечения бесперебойной работы организации
- •Обновление планов обеспечения бесперебойной работы организации
- •Раздел 10 Выполнение требований Выполнение правовых требований
- •Контроль за копированием по, защищенного законом об авторском праве
- •Защита документации организации
- •Защита данных
- •Предотвращение незаконного использования информационных ресурсов
- •Проверка безопасности информационных систем
- •Соответствие политике безопасности
- •Техническая проверка на соответствие стандартам безопасности
- •Аудит систем
- •Средства аудита систем
- •Защита средств аудита систем
Безопасность доступа сторонних организаций
Цель: Обеспечить безопасность информационных ресурсов организации, к которым имеют доступ сторонние организации.
Доступ сторонних организаций к информационным ресурсам данной организации следует контролировать.
Там, где доступ сторонних организаций необходим по производственным причинам, следует провести анализ рисков нарушения защиты, чтобы определить его последствия для системы безопасности и требования к средствам контроля. Эти средства контроля должны быть согласованы и определены в контракте, заключенном со сторонней организацией.
Такой доступ может быть предоставлен и другим участникам.
Контракты, разрешающие доступ сторонних организаций, должны включать в себя правила для доступа других участников и условия их доступа.
Рекомендуется использовать настоящие практические правила в качестве основы при составлении подобных договоров.
Идентификация рисков, связанных с подключениями сторонних организаций
Защита информационных систем организации может быть нарушена из-за доступа, осуществляемого сторонними организациями без надлежащего управления системой безопасности. Если в связи с деятельностью организации возникает необходимость в подключении к узлу сторонней организации, следует выполнить оценку рисков, чтобы определить, необходимы ли какие-либо специальные меры по защите информации. При анализе риска следует принять во внимание тип предоставляемого доступа, ценность информации, принятые сторонней организацией меры защиты и последствия от доступа для безопасности информационной инфраструктуры организации. Процесс анализа можно облегчить, обратившись к опубликованным промышленным стандартам, например, к настоящим практическим правилам.
Доступ сторонних организаций к информационным ресурсам данной организации может быть разрешен только после того, как приняты все необходимые защитные меры и подписан договор, определяющий условия подключения.
Условия безопасности в контрактах, заключенных со сторонними организациями
Соглашения, предусматривающие доступ сторонних организаций к информационным ресурсам данной организации, должны быть основаны на контракте, в котором должны быть перечислены все необходимые условия безопасности (или даны ссылки на них), чтобы обеспечить соответствие политике и стандартам безопасности, принятыми в организации. Контракт должен быть заключен перед тем, как будет предоставлен доступ к информационным ресурсам. При составлении контрактов следует рассмотреть следующие вопросы:
а) общая политика информационной безопасности; б. разрешенные способы доступа, а также контроль и использование уникальных идентификаторов пользователей и паролей;
б) описание каждого предоставляемого информационного сервиса;
в) требование вести список лиц, которым разрешено использовать сервис;
г) время и дата, когда сервис будет доступен;
Примечание. Следует рассмотреть планы действий в чрезвычайных ситуациях (по необходимости)
д) вытекающие из соглашения обязательства организаций;
е) процедуры, касающиеся защиты ресурсов организации, включая информацию;
ж) обязанности, касающиеся правовых вопросов, например, законодательство о защите данных;
з) право отслеживать действия пользователей;
и) обязанности по установке оборудования и программного обеспечения и их сопровождения;
и) право проверять договорные обязательства;
к) ограничения на копирование и раскрытие информации;
л) меры по обеспечению возврата или уничтожения информации и ресурсов по окончании срока действия контракта;
м) необходимые меры по физической защите;
н) механизмы для обеспечения реализации защитных мер;
о) обучение пользователей методам, процедурам и правилам безопасности;
п) меры по обеспечинию защиты от компьютерных вирусов (см. Средства защиты от вирусов);
р) процедура предоставления разрешения на доступ пользователей;
с) процедуры уведомления об инцидентах в системе безопасности и их расследования;
т) участие сторонних организаций (субподрядчики и другие участники).