ISO/EIC 17799:2000

d)Необходимо обеспечить защиту пунктов приема и передачи почты и оставляемых без присмотра факсимильных аппаратов и телексов.

e)В нерабочие часы копировальные аппараты следует закрывать на замок или защищать от несанкционированного использования другим способом.

f)Распечатки конфиденциальной информации следует сразу же забирать из принтера.

7.3.2 Вывоз имущества

Оборудование, информация и программное обеспечение не должны вывозиться за пределы организации без разрешения. В соответствующих случаях и при необходимости сотрудники должны завершать сеансы сетевой связи и возобновлять их при возвращении. Для определения несанкционированного вывоза имущества необходимо проводить выборочную проверку. Сотрудников следует предупредить о возможности выборочной проверки.

8 Обеспечение безопасности при эксплуатации

8.1 Правила работы и обязанности

Цель: Гарантировать правильность и безопасность эксплуатации средств обработки информации.

Необходимо определить правила и обязанности, связанные с использованием и управлением всех средств обработки информации. Сюда входит разработка необходимых инструкций по эксплуатации и реакции на инциденты.

В соответствующих случаях следует реализовать разделение обязанностей, чтобы уменьшить риск случайного или умышленного неправомерного использования системы (см. раздел

8.1.4.).

8.1.1 Документированные правила работы

Правила работы, определенные в политике безопасности, необходимо документировать и следить за их соблюдением. Правила работы должны считаться официальными документами, изменения в них должны вноситься с санкции руководства.

Описание правил должны содержать подробные инструкции по выполнению каждой задачи, включая:

a)обработку информации и обращение с ней;

b)требования к графику работы, включая взаимную зависимость от других систем; самое раннее время начала и самое позднее время окончания работы;

c)необходимые действия в случае ошибок и других чрезвычайных ситуаций, которые могут возникнуть во время работы, в том числе ограничения на использование системных утилит (см. раздел 9.5.5).

d)координаты сотрудников, к которым следует обращаться при возникновении непредвиденных затруднений в работе и проблем с оборудованием;

e)инструкции по особому обращению с результатами работы, например, по использованию специальных канцелярских принадлежностей и по обращению с конфиденциальными документами, включая инструкции по безопасной утилизации

ISO/EIC 17799:2000

результатов заданий, завершившихся неудачно;

f) инструкции по перезапуску и возобновлению работы системы в случае ее отказа.

Кроме того, необходимо разработать инструкции по сопутствующим процедурам, связанным с обработкой информации и передачей данных – например, по запуску и завершению работы компьютеров, резервному копированию, профилактическому обслуживанию оборудования, работе в компьютерных залах и обработке почты.

8.1.2 Контроль внесения изменений в эксплуатацию

Изменения в системах и средствах обработки информации необходимо контролировать. Недостаточный контроль вносимых изменений в работе систем и средств обработки информации является распространенной причиной сбоев в работе и нарушений безопасности. Необходимо официально ввести соответствующие обязанности и разработать инструкции, чтобы обеспечить достаточный контроль всех изменений в оборудовании, программном обеспечении и методах работы. Изменения в используемых программах должны строго контролироваться. При внесении изменений в программы необходимо сохранять аудиторские записи, включающие всю необходимую информацию. Изменения в среде эксплуатации могут повлиять на работу приложений. По возможности процедуры контроля изменений в условиях эксплуатации и прикладном программном обеспечении должны быть объединены (см. также раздел 10.5.1). В частности, рекомендуется рассмотреть следующие меры:

a)определение и регистрация значительных изменений;

b)оценка потенциального воздействия таких изменений;

c)формальная процедура утверждения предлагаемых изменений;

d)передача сведений об изменениях всем сотрудникам, которые должны быть поставлены в известность;

e)инструкции по распределению обязанностей, связанных с остановом и восстановлением работы после неудачных изменений.

8.1.3 Действия в случае инцидентов

Необходимо установить обязанности и правила действий (регламенты) в случае инцидентов, чтобы обеспечить быстрое, эффективное и организованное реагирование на инциденты, связанные с безопасностью (см. также раздел 6.3.1). Рекомендуется рассмотреть следующие меры:

a)Необходимо разработать регламенты для всех возможных типов инцидентов, включая:

1)сбои в информационных системах и прекращение работы сервисов;

2)отказ в обслуживании;

3)ошибки, возникшие в результате поступления неполных или неточных данных;

4)нарушения конфиденциальности.

b)В дополнение к обычным планам действия в нештатных ситуациях (предназначенным для максимально быстрого восстановления систем и сервисов), инструкции должны также освещать следующие вопросы (см. также раздел 6.3.4):

1)анализ и определение причины инцидента;

2)планирование и реализация средств, предотвращающих повторение инцидента (при необходимости);

ISO/EIC 17799:2000

3)сбор аудиторских записей и прочих улик;

4)обращение к сотрудникам, имеющим отношение к восстановлению после инцидента;

5)передача сведений о предпринятых действиях уполномоченным органам.

c)Необходимо собрать (см. раздел 12.1.7) и сохранить с соблюдением принципов безопасности аудиторские записи и прочие улики для следующих целей:

1)внутренний анализ проблемы;

2)использование в качестве доказательств при поиске потенциальных уязвимостей в условиях договора и нормативных требований, а также при административном и уголовном преследовании, например, в соответствии с законами о неправомерном использовании компьютеров и защите данных.

3)переговоры о компенсации со стороны поставщиков программного обеспечения и услуг.

d)Действия, связанные с устранением уязвимостей и восстановлением систем после сбоев, должны проходить под тщательным официальным контролем. Эти процедуры должны гарантировать, что:

1)только специально назначенные и уполномоченные сотрудники имеют доступ к работающим системам и данным (см. также информацию о доступе посторонних в разделе 4.2.2).

2)все действия, предпринимаемые в чрезвычайной ситуации, подробно документируются;

3)сведения о действиях в чрезвычайной ситуации передаются руководству и своевременно рассматриваются;

4)целостность систем и средств организации восстанавливается с минимальной задержкой.

8.1.4Разделение полномочий

Разделение полномочий – это метод, позволяющий уменьшить риск случайного или намеренного неправомерного использования системы. Следует рассмотреть возможности разделения полномочий по управлению или выполнению определенных действий, либо областей ответственности, чтобы ограничить возможности для несанкционированного изменения или неправомерного использования информации или сервисов.

В небольших организациях реализовать этот метод может оказаться сложно, однако сам принцип рекомендуется применять при каждой возможности. Если разделить полномочия сложно, рекомендуется подумать о введении других мер, например, о мониторинге деятельности, аудиторских записях и наблюдении со стороны руководства. Аудит безопасности обязательно должен оставаться независимым.

Необходимо обеспечить, чтобы никто не смог совершить мошенничество в области своей ответственности, не будучи замеченным. Совершение действия должно быть отделено от получения разрешения на него. Рекомендуется рассмотреть следующие меры:

a)Необходимо разделить области деятельности, которые требуют сговора для совершения мошенничества, например, размещение заказа на приобретение и проверка получения товаров.

b)Если существует опасность сговора, меры защиты должны быть реализованы так,