- •Управление информационной безопасностью Практические правила содержание
- •Раздел 0 Общие положения 8
- •Раздел 1 Политика безопасности 10
- •Раздел 2 Организация защиты 10
- •Раздел 3 Классификация ресурсов и их контроль 14
- •Раздел 4 Безопасность персонала 16
- •Раздел 5 Физическая безопасность и безопасность окружающей среды 19
- •Раздел 6 Администрирование компьютерных систем и вычислительных сетей 24
- •Раздел 7 Управление доступом к системам 36
- •Раздел 8 Разработка и сопровождение информационных систем 48
- •Раздел 9 Планирование бесперебойной работы организации 54
- •Раздел 10 Выполнение требований 56
- •Предисловие
- •Введение Что такое информационная безопасность?
- •Почему необходимо защищаться?
- •Сруктура документа
- •Все ли средства управления безопасностью применимы?
- •Ключевые средства контроля
- •Задание требований к информационной безопасности организации
- •Оценка рисков нарушения безопасности
- •Факторы, необходимые для успеха
- •Разработка собственных рекомендаций
- •Раздел 0 Общие положения Назначение
- •Информативные ссылки
- •Термины и определения
- •Раздел 1 Политика безопасности Политика информационной безопасности
- •Документ о политике информационной безопасности
- •Раздел 2 Организация защиты Инфраструктура информационной безопасности
- •Совещание руководства по проблемам защиты информации
- •Координация действий по защите информации
- •Распределение обязанностей по обеспечению информационной безопасности
- •Процесс утверждения информационных систем
- •Рекомендации специалистов по информационной безопасности
- •Сотрудничество между организациями
- •Независимый анализ информационной безопасности
- •Безопасность доступа сторонних организаций
- •Идентификация рисков, связанных с подключениями сторонних организаций
- •Условия безопасности в контрактах, заключенных со сторонними организациями
- •Раздел 3 Классификация ресурсов и их контроль Ответственность за ресурсы
- •Инвентаризация информационных ресурсов
- •Классификация информации
- •Рекомендации по классификации
- •Присваивание грифов секретности
- •Раздел 4 Безопасность персонала Безопасность в должностных инструкциях и при выделении ресурсов
- •Безопасность в должностных инструкциях
- •Проверка принимаемых на работу
- •Соглашение о конфиденциальности
- •Обучение пользователей
- •Обучение правилам информационной безопасности
- •Реагирование на события, таящие угрозу безопасности
- •Уведомление об инцидентах в системе безопасности
- •Уведомление о слабых местах в системе безопасности
- •Уведомление об отказах программного обеспечения
- •Процедура наложения дисциплинарных взысканий
- •Раздел 5 Физическая безопасность и безопасность окружающей среды
- •Защищенные области
- •Физический периметр безопасности
- •Контроль доступа в помещения
- •Защита центров данных и компьютерных залов
- •Изолированные места разгрузки и загрузки оборудования и материалов
- •Правила использования рабочего стола
- •Вынос имущества за пределы организации
- •Защита оборудования
- •Размещение и защита оборудования
- •Источники электропитания
- •Защита кабельной разводки
- •Техническое обслуживание оборудования
- •Защита оборудования, используемого за пределами организации
- •Надежная утилизация оборудования
- •Раздел 6 Администрирование компьютерных систем и вычислительных сетей
- •Операционные процедуры и обазанности
- •Документированные операционные процедуры
- •Процедуры реагирования на события
- •Разделение обязанностей
- •Разделение программных средств разработки и рабочих программ
- •Работа со сторонними организациями
- •Планирование систем и их приемка
- •Планирование нагрузки
- •Приемка систем
- •Планирование перехода на аварийный режим
- •Управление процессом внесения изменений в рабочие системы
- •Защита от вредоносного программного обеспечения
- •Средства защиты от вирусов
- •Обслуживание систем
- •Резервное копирование данных
- •Журналы регистрации событий
- •Регистрация сбоев
- •Слежение за окружающей средой
- •Сетевое администрирование
- •Средства управления безопасностью сетей
- •Оперирование с носителями информации и их защита
- •Управление съемными компьютерными носителями информации
- •Процедуры оперирования c данными
- •Защита системной документации
- •Удаление носителей данных
- •Обмен данными и программами
- •Соглашения об обмене данными и программами
- •Защита носителей информации во время транспортировки
- •Защита электронного обмена данными
- •Защита электронной почты
- •Защита систем электронного офиса
- •Раздел 7 Управление доступом к системам Производственные требования к управлению доступом к системам
- •Документированная политика управления доступом к информации
- •Управление доступом пользователей
- •Регистрация пользователей
- •Управление привилегиями
- •Управление пользовательскими паролями
- •Пересмотр прав доступа пользователей
- •Обязанности пользователей
- •Использование паролей
- •Пользовательское оборудование, оставленное без присмотра
- •Управление доступом к сети
- •Предоставление ограниченных услуг
- •Принудительная маршрутизация
- •Аутентификация пользователей
- •Аутентификация узлов сети
- •Защита удаленного диагностического порта
- •Сегментация сетей
- •Контроль сетевых подключений
- •Управление сетевой маршрутизацией
- •Защита сетевых сервисов
- •Управление доступом к компьютерам
- •Автоматическая идентификация терминалов
- •Процедуры входа в систему с терминала
- •Идентификаторы пользователей
- •Система управления паролями
- •Сигнал тревоги, предупреждающий о принуждении, для защиты пользователей
- •Время простоя терминалов
- •Ограничение времени подключения
- •Управление доступом к приложениям
- •Ограничение доступа к информации
- •Использование системных утилит
- •Управление доступом к библиотекам исходных текстов программ
- •Изоляция уязвимых систем
- •Слежение за доступом к системам и их использованием
- •Регистрация событий
- •Слежение за использованием систем
- •Синхронизация системных часов
- •Раздел 8 Разработка и сопровождение информационных систем Требования к безопасности систем
- •Анализ и задание требований к безопасности
- •Безопасность в прикладных системах
- •Проверка достоверности входных данных
- •Проверка достоверности внутренней обработки данных
- •Шифрование данных
- •Аутентификация сообщений
- •Защита файлов прикладных систем
- •Контроль рабочего программного обеспечения
- •Защита системных тестовых данных
- •Безопасность в среде разработки и рабочей среде
- •Процедуры управления процессом внесения изменений
- •Технический анализ изменений, вносимых в операционную систему
- •Ограничения на внесение изменений в пакеты программ
- •Раздел 9 Планирование бесперебойной работы организации Вопросы планирования бесперебойной работы организации
- •Процесс планирования бесперебойной работы организации
- •Система планирования бесперебойной работы организации
- •Тестирование планов обеспечения бесперебойной работы организации
- •Обновление планов обеспечения бесперебойной работы организации
- •Раздел 10 Выполнение требований Выполнение правовых требований
- •Контроль за копированием по, защищенного законом об авторском праве
- •Защита документации организации
- •Защита данных
- •Предотвращение незаконного использования информационных ресурсов
- •Проверка безопасности информационных систем
- •Соответствие политике безопасности
- •Техническая проверка на соответствие стандартам безопасности
- •Аудит систем
- •Средства аудита систем
- •Защита средств аудита систем
Предисловие
Предлагаемый британский стандарт подготовлен BSFD/12 (Управление Информационной безопасностью). Он предназначен для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание системы информационной безопасности внутри своих организаций. Поэтому его можно рассматривать в качестве основы для определения стандартов информационной безопасности организаций.
Предлагаемый британский стандарт основан на документе PD 0003 (Практические правила управления информационной безопасностью), разработанном Министерством торговли и промышленности при участии специалистов из ведущих компаний и организаций Великобритании. В стандарте содержится исчерпывающий набор средств управления безопасностью, которые включают в себя самые совершенные процедуры обеспечения информационной безопасности, используемые в настоящее время как в Великобритании, так и в других странах.
В настоящих практических правилах даются по возможности исчерпывающие рекомендации. Их цель — служить в качестве справочника для определения средств контроля, требуемых для большиства ситуаций, встречаемых в промышленности и торговле, а следовательно они могут применяться целым рядом организаций — крупных, средних и мелких. Учитывая возрастающую роль электронной передачи данных по сети между организациями, становится очевидной польза от разработки единого справочного документа по управлению информационной безопасностью. Он позволяет установить взаимное доверие между организациями, объединенными в сеть, и торговыми партнерами, а также составляет основу для управления информационными ресурсами.
Не все вышеописанные средства контроля подходят для любой ситуации. Кроме того, они не в состоянии учесть все ограничения локального характера, накладываемые окружающими условиями и технологией; не могут они и удовлетворить по форме всех пользователей организации. Следовательно, предлагаемые практические правила могут потребовать дальнейшей доработки, прежде чем их можно будет использовать в качестве основы (например) для политики организации или торгового соглашения между компаниями.
Как набор практических правил, данный британский стандарт написан в форме руководства и рекомендаций. На него не следует ссылаться как на спецификацию. Необходимо особенно позаботиться о том, чтобы требования к соблюдению правил не вводили в заблуждение.
При составлении настоящего стандарта предполагалось, что реализация его положений будет поручена лицам, имеющим надлежащую квалификацию и опыт работы.
Само по себе соответствие британскому стандарту не освобождает от правовых обязательств
Введение Что такое информационная безопасность?
Цель информационной безопасности — обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.
Управление информационной безопасностью (см. Управление информационной безопасностью) позволяет коллективно использовать информацию, обеспечивая при этом ее защиту и защиту вычислительных ресурсов.
Информационная безопасность состоит из трех основных компонентов:
а) конфиденциальность (см. Конфиденциальность): защита конфиденциальной информации от несанкционированного раскрытия или перехвата;
б) целостность (см. Целостность): обеспечение точности и полноты информации и компьютерных программ;
в) доступность (см. Доступность): обеспечение доступности информации и жизненно важных сервисов для пользователей (см. Специальная привилегия), когда это требуется.
Информация (см. Информация) существует в различных формах. Ее можно хранить на компьютерах, передавать по вычислительным сетям, распечатывать или записывать на бумаге, а также озвучивать в разговорах. С точки зрения безопасности все виды информации, включая бумажную документацию, базы данных, пленки, микрофильмы, модели, магнитные ленты, дискеты, разговоры и другие способы, используемые для передачи знаний и идей, требуют надлежащей защиты.