- •Управление информационной безопасностью Практические правила содержание
- •Раздел 0 Общие положения 8
- •Раздел 1 Политика безопасности 10
- •Раздел 2 Организация защиты 10
- •Раздел 3 Классификация ресурсов и их контроль 14
- •Раздел 4 Безопасность персонала 16
- •Раздел 5 Физическая безопасность и безопасность окружающей среды 19
- •Раздел 6 Администрирование компьютерных систем и вычислительных сетей 24
- •Раздел 7 Управление доступом к системам 36
- •Раздел 8 Разработка и сопровождение информационных систем 48
- •Раздел 9 Планирование бесперебойной работы организации 54
- •Раздел 10 Выполнение требований 56
- •Предисловие
- •Введение Что такое информационная безопасность?
- •Почему необходимо защищаться?
- •Сруктура документа
- •Все ли средства управления безопасностью применимы?
- •Ключевые средства контроля
- •Задание требований к информационной безопасности организации
- •Оценка рисков нарушения безопасности
- •Факторы, необходимые для успеха
- •Разработка собственных рекомендаций
- •Раздел 0 Общие положения Назначение
- •Информативные ссылки
- •Термины и определения
- •Раздел 1 Политика безопасности Политика информационной безопасности
- •Документ о политике информационной безопасности
- •Раздел 2 Организация защиты Инфраструктура информационной безопасности
- •Совещание руководства по проблемам защиты информации
- •Координация действий по защите информации
- •Распределение обязанностей по обеспечению информационной безопасности
- •Процесс утверждения информационных систем
- •Рекомендации специалистов по информационной безопасности
- •Сотрудничество между организациями
- •Независимый анализ информационной безопасности
- •Безопасность доступа сторонних организаций
- •Идентификация рисков, связанных с подключениями сторонних организаций
- •Условия безопасности в контрактах, заключенных со сторонними организациями
- •Раздел 3 Классификация ресурсов и их контроль Ответственность за ресурсы
- •Инвентаризация информационных ресурсов
- •Классификация информации
- •Рекомендации по классификации
- •Присваивание грифов секретности
- •Раздел 4 Безопасность персонала Безопасность в должностных инструкциях и при выделении ресурсов
- •Безопасность в должностных инструкциях
- •Проверка принимаемых на работу
- •Соглашение о конфиденциальности
- •Обучение пользователей
- •Обучение правилам информационной безопасности
- •Реагирование на события, таящие угрозу безопасности
- •Уведомление об инцидентах в системе безопасности
- •Уведомление о слабых местах в системе безопасности
- •Уведомление об отказах программного обеспечения
- •Процедура наложения дисциплинарных взысканий
- •Раздел 5 Физическая безопасность и безопасность окружающей среды
- •Защищенные области
- •Физический периметр безопасности
- •Контроль доступа в помещения
- •Защита центров данных и компьютерных залов
- •Изолированные места разгрузки и загрузки оборудования и материалов
- •Правила использования рабочего стола
- •Вынос имущества за пределы организации
- •Защита оборудования
- •Размещение и защита оборудования
- •Источники электропитания
- •Защита кабельной разводки
- •Техническое обслуживание оборудования
- •Защита оборудования, используемого за пределами организации
- •Надежная утилизация оборудования
- •Раздел 6 Администрирование компьютерных систем и вычислительных сетей
- •Операционные процедуры и обазанности
- •Документированные операционные процедуры
- •Процедуры реагирования на события
- •Разделение обязанностей
- •Разделение программных средств разработки и рабочих программ
- •Работа со сторонними организациями
- •Планирование систем и их приемка
- •Планирование нагрузки
- •Приемка систем
- •Планирование перехода на аварийный режим
- •Управление процессом внесения изменений в рабочие системы
- •Защита от вредоносного программного обеспечения
- •Средства защиты от вирусов
- •Обслуживание систем
- •Резервное копирование данных
- •Журналы регистрации событий
- •Регистрация сбоев
- •Слежение за окружающей средой
- •Сетевое администрирование
- •Средства управления безопасностью сетей
- •Оперирование с носителями информации и их защита
- •Управление съемными компьютерными носителями информации
- •Процедуры оперирования c данными
- •Защита системной документации
- •Удаление носителей данных
- •Обмен данными и программами
- •Соглашения об обмене данными и программами
- •Защита носителей информации во время транспортировки
- •Защита электронного обмена данными
- •Защита электронной почты
- •Защита систем электронного офиса
- •Раздел 7 Управление доступом к системам Производственные требования к управлению доступом к системам
- •Документированная политика управления доступом к информации
- •Управление доступом пользователей
- •Регистрация пользователей
- •Управление привилегиями
- •Управление пользовательскими паролями
- •Пересмотр прав доступа пользователей
- •Обязанности пользователей
- •Использование паролей
- •Пользовательское оборудование, оставленное без присмотра
- •Управление доступом к сети
- •Предоставление ограниченных услуг
- •Принудительная маршрутизация
- •Аутентификация пользователей
- •Аутентификация узлов сети
- •Защита удаленного диагностического порта
- •Сегментация сетей
- •Контроль сетевых подключений
- •Управление сетевой маршрутизацией
- •Защита сетевых сервисов
- •Управление доступом к компьютерам
- •Автоматическая идентификация терминалов
- •Процедуры входа в систему с терминала
- •Идентификаторы пользователей
- •Система управления паролями
- •Сигнал тревоги, предупреждающий о принуждении, для защиты пользователей
- •Время простоя терминалов
- •Ограничение времени подключения
- •Управление доступом к приложениям
- •Ограничение доступа к информации
- •Использование системных утилит
- •Управление доступом к библиотекам исходных текстов программ
- •Изоляция уязвимых систем
- •Слежение за доступом к системам и их использованием
- •Регистрация событий
- •Слежение за использованием систем
- •Синхронизация системных часов
- •Раздел 8 Разработка и сопровождение информационных систем Требования к безопасности систем
- •Анализ и задание требований к безопасности
- •Безопасность в прикладных системах
- •Проверка достоверности входных данных
- •Проверка достоверности внутренней обработки данных
- •Шифрование данных
- •Аутентификация сообщений
- •Защита файлов прикладных систем
- •Контроль рабочего программного обеспечения
- •Защита системных тестовых данных
- •Безопасность в среде разработки и рабочей среде
- •Процедуры управления процессом внесения изменений
- •Технический анализ изменений, вносимых в операционную систему
- •Ограничения на внесение изменений в пакеты программ
- •Раздел 9 Планирование бесперебойной работы организации Вопросы планирования бесперебойной работы организации
- •Процесс планирования бесперебойной работы организации
- •Система планирования бесперебойной работы организации
- •Тестирование планов обеспечения бесперебойной работы организации
- •Обновление планов обеспечения бесперебойной работы организации
- •Раздел 10 Выполнение требований Выполнение правовых требований
- •Контроль за копированием по, защищенного законом об авторском праве
- •Защита документации организации
- •Защита данных
- •Предотвращение незаконного использования информационных ресурсов
- •Проверка безопасности информационных систем
- •Соответствие политике безопасности
- •Техническая проверка на соответствие стандартам безопасности
- •Аудит систем
- •Средства аудита систем
- •Защита средств аудита систем
Контроль доступа в помещения
В защищенных областях следует установить надлежащий контроль доступа в помещения, чтобы только персонал, имеющий соответствующие полномочия, имел к ним доступ. Предлагается рассмотреть следующие средства контроля:
а) За посетителями защищенных областей необходимо установить надзор, а дата и время их входа и выхода должны регистрироваться. Посетителям должен быть предоставлен доступ для конкретных, разрешенных целей.
б) Весь персонал, работающий в защищенных областях, должен носить на одежде хорошо различимые идентификационные карточки; кроме того, следует рекомендовать им спрашивать пропуск у незнакомых лиц.
в) Необходимо немедленно изъять права доступа в защищенные области у сотрудников, увольняющихся с данного места работы.
Защита центров данных и компьютерных залов
Центры данных и компьютерные залы, поддерживающие критически важные сервисы организации, должны иметь надежную физическую защиту. При выборе и обустройстве соответствующих помещений необходимо принять во внимание возможность повреждения оборудования в результате пожара, наводнения, взрывов, гражданских беспорядков и других аварий. Следует также рассмотреть угрозы безопасности, которые представляют соседние помещения.
Необходимо рассмотреть следующие меры:
а) Разместить ключевые системы подальше от общедоступных мест и мест прохождения общественного транспорта.
б) Здания не должны привлекать внимание и выдавать свое назначение (по возможности); не должно быть явных признаков как снаружи, так и внутри здания, указывающих на присутствие вычислительных ресурсов.
в) Внутренние телефонные справочники не должны указывать на местонахождение вычислительных ресурсов.
г) Опасные и горючие материалы следует хранить в соответствии с инструкциями на безопасном расстоянии от месторасположения вычислительных ресурсов. Не следует хранить расходные материалы для компьютеров, например, бумагу для принтеров в компьютерных залах.
д) Резервное оборудование и носители информации, на которых храняться резервные копии, следует разместить на безопасном расстоянии, чтобы избежать их повреждение в случае аварии на основном рабочем месте.
е) Следует установить соответствующее сигнальное и защитное оборудование, например, тепловые и дымовые детекторы, пожарную сигнализацию, средства пожаротушения, а также предусмотреть пожарные лестницы. Сигнальное и защитное оборудование необходимо регулярно проверять в соответствии с инструкциями производителей. Сотрудники должны быть надлежащим образом подготовлены к использованию этого оборудования.
ж) Процедуры реагирования на чрезвычайные ситуации необходимо полностью задокументировать и регулярно тестировать.
з) Двери и окна должны быть заперты, когда в помещении в данное время никого нет. Следует рассмотреть возможность защиты окон снаружи.
Изолированные места разгрузки и загрузки оборудования и материалов
Компьютерные залы должны быть защищены от несанкционированного доступа. Рекомендуется выделить помещение для разгрузки и загрузки материалов и оборудования для того, чтобы уменьшить вероятность несанкционированного доступа в компьютерные залы. Требования к безопасности такого помещения следует определить, исходя из оценки рисков. Предлагаются следующие рекомендации:
а) Доступ к складским помещениям снаружи здания должен предоставляться только проверенному персоналу, имеющему соответствующие полномочия.
б) Складское помещение должно быть так спланировано, чтобы материалы можно было разгружать без получения доступа в другие помещения здания.
в) Внешняя дверь в складское помещение должна быть заперта, когда открыта внутренняя дверь.
г) Необходимо установить, какую потенциальную опасность могут представлять собой поступающие материалы, прежде чем их переместить из складского помещения в месту назначения.