Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012

том соответствующих зон ответственности и функциональных (должностных) обязанностей;

вв пределах компании должны быть установлены и чётко раз­ граничены все зоны ответственности по обеспечению ИБ;

ов СОИБ компании должен быть определён и введён в эксплуа­ тацию процесс авторизации новых средств обработки инфор­ мации, кроме того должны быть определены и регулярно ана­ лизироваться требования к конфиденциальности или условия по недопущению раскрытия информации, отражающие по­ требности компании по защите информации;

вруководство компании должно организовать необходимое взаимодействие с соответствующими органами власти и заин­ тересованным ведомствами и организациями, сферой дея­ тельности которых является ИБ;

оподход компании к обеспечению ИБ и его практическая реа­ лизации (например, цели и средства управления, стратегия, процессы и процедуры обеспечения ИБ) должны анализиро­ ваться независимо друг от друга, причём в определённые сро­ ки или когда произошло соответствующие изменение в прак­ тической реализации обеспечения ИБ.

Внешние субъекты обеспечения ИБ. Деятельность руководства и персонала компании должно быть направлено на поддержание соот­ ветствующего уровня ИБ компании и средств обработки информа­ ции, которые доступны, обслуживаются, соединены с внешними субъ­ ектами, участвующими в обеспечении ИБ, или управляются ими.

Руководство и персонал компании должны определить риски для информации компании и средств обработки информации, свя­ занные с привлечением внешних субъектов по управлению процес­ сами, а также должны внедрить соответствующие средства управле­ ния, прежде чем будет предоставлен доступ внешним субъектам.

Ещё до предоставления доступа потребителей к информации компании или её имуществу должны быть приняты необходимые и всеобъемлющие требования по обеспечению безопасности.

Соглашение с доверенной третьей стороной (ДТС), которой будет обеспечен доступ, обработка, соединения или будет предос­ тавлено управление информацией компании или средствами обра­ ботки информации, или которой будет дано право вводить допол­ нительные программные средства или услуги в средства обработки информации, должно содержать все необходимые требования по обеспечению безопасности.

Управление имуществом. В целях достижения и поддержа­

ния соответствующего уровня защиты имущества компании её ру­ ководством вводится ответственность за имущество.

Всё имущество должно быть чётко идентифицировано, а всё наиболее важное имущество должно быть инвентаризовано, и такая инвентаризация должна проводиться регулярно.

Вся информация и имущество, связанное со средствами обра­ ботки информации, должны находиться в собственности предна­ значенного для этого подразделения компании.

Руководство и персонал компании должны определить, задо­ кументировать и внедрить правила приемлемого использования информации и имущества, связанного со средствами обработки информации.

Классификация информации проводится руководством и персо­ налом компании для обеспечения гарантий того, что информация имеет соответствующий уровень защиты.

Информация должна быть классифицирована на основе тре­ бований законодательства, её объёма, чувствительности и критич­ ности для компании.

В соответствие с выбранной компании схемой классификации должна быть разработана и внедрена необходимая совокупность процедур для маркирования и управления информацией.

Безопасность кадровых ресурсов. Руководство компании для снижения рисков кражи, мошенничества или злоупотребления обо­ рудованием перед приёмом на работу персонала должно убедиться в том, что служащие, работники по контракту и пользователи ДТС понимают свою ответственность и удовлетворяют требованиям по замещению соответствующих вакантных должностей. В этой связи:

одолжности, исполнение которых связано с обеспечением безо­ пасности, и ответственность служащих, работников по кон­ тракту и пользователей ДТС должны быть определены и задо­ кументированы в соответствие со стратегией обеспечения ИБ компании;

овсе кандидаты на замещение должностей, работу по контракту и желающие стать пользователями ДТС должны пройти все­ сторонние проверки в соответствие с имеющимся законода­ тельством, нормативно правовой базой и этическими нормами поведения, а также в соответствие с требованиями основных направлений деятельности компании, классификацией ин­ формации, предназначенной для доступа к ней, и имеющими­ ся рисками;

0 служащие, работники по контракту и пользователи ДТС должны дать согласие и подписать термины и условия их слу­ жебного контракта, как часть их договорных обязательств, так как контракт устанавливает их ответственность и ответствен­ ность компании за обеспечение ИБ.

464Глава 24. Основные направления и принципы организации СОИБИТС

Вцелях снижения рисков вследствие ошибок человека в период прохождения службы сотрудниками компании её руководство должно быть убеждено в том, что все служащие, работники по контракту и пользователи ДТС осведомлены об угрозах и их последствиях, о сво­ ей ответственности и долге, что они обеспечены всем необходимым оборудованием для реализации стратегии обеспечения ИБ компа­ нии в ходе своей профессиональной деятельности.

Руководство компании должно требовать от служащих, работни­ ков по контракту и пользователей ДТС обеспечение ИБ в соответствие с принятой стратегией и реализуемыми процедурами в компании.

Все сотрудники компании, и там где это необходимо, работ­ ники по контракту и пользователи компании должны быть соответ­ ствующим образом осведомлены и проходить обучение, а также ре­ гулярно обновлять стратегию и процедуры компании в соответст­ вие со своими профессиональными обязанностями.

Вкомпании должна быть чётко определена и распределена от­ ветственность за прекращение исполнения служебных обязанностей или изменение условий служебной деятельности.

Все служащие, работники по контракту и пользователи ДТС должны возвратить всё имущество компании, которым они облада­ ли, после прерывания своей служебной деятельности, контракта или соглашения.

Права доступа всех служащих, работников по контракту и поль­ зователей ДТС к информации и средствам обработки информации должны быть прекращены после прерывания ими своей служебной деятельности, контракта или соглашения, или изменены.

Физическая и экологическая безопасность. Для предотвра­ щения физического проникновения в помещения, уничтожения и вмешательства в информацию компании должны определяться со­ ответствующие зоны безопасности. В этой связи:

•для защиты зон, на территории которых размещены докумен­ тация и средства обработки информации, должны использо­ ваться границы безопасности (препятствия, например, стены, пункты пропуска, оборудованные турникетами с устройства­ ми считывания карт их владельцев и др.);

озоны безопасности должны быть защищены с помощью соот­ ветствующих средств управления доступом в целях обеспече­ ния гарантий того, что доступ разрешен только авторизован­ ному персоналу;

ов обязательном порядке следует спроектировать и ввести в

эксплуатацию систему физической защиты офисов, помеще­ ний и оборудования, а также дополнительную систему физи­ ческой защиты от разрушительных последствий пожаров, за­ топлений, землетрясений, взрывов и иных форм природнь^

катаклизмов или форм, связанных с разрушительной деятель­ ностью человека. Кроме того необходимо разработать и ввести в действие руководство по эксплуатации системы физической защиты при проведении работ в зонах безопасности;

оточки доступа, такие как зоны выдачи и загрузки, а также иные пункты, куда может войти неавторизованный персонал, должны находиться под контролем и, если это возможно, изо­ лироваться от средств обработки информации для предот­ вращения несанкционированного доступа к ним.

ВСОИБ с целью предотвращения потери, разрушения, кражи или компрометации имущества, а также нарушений в деятельности организации должно быть предусмотрено обеспечение безопасности оборудования, для этого:

ооборудование должно быть размещено и защищено для сни­ жения рисков, связанных с экологическими угрозами и инци­ дентами, и для предотвращения возможности несанкциониро­ ванного доступа;

©оборудование должно быть защищено от сбоев в электроснаб­ жении, а также других разрушений, вызванных нештатными ситуациями в системе обеспечения коммунальных услуг;

осиловые и телекоммуникационные кабельные сети, обеспечи­ вающие передачу данных или функционирование информа­ ционных систем, должны быть защищены от прослушивания и перехвата или разрушения;

ооборудование должно корректно эксплуатироваться, чтобы га­ рантировать его постоянную работоспособность и целостность;

оудалённое оборудование должно быть защищено с учётом раз­ личных рисков работы за пределами помещений компании;

овсе составные части оборудования, содержащие средства хра­ нения, должны быть проверены для обеспечения гарантии то­ го, что любые критические данные и лицензионное про­ граммное обеспечение были удалены или переписаны в за­ щищённой форме перед их передачей;

ооборудование, информация или программное обеспечение не должны выноситься за пределы компании без соответствую­ щей предварительной санкции.

Управление соединениями и функционированием. В СОИБ

сцелью обеспечения гарантии корректного и безопасного функ­ ционирования средств обработки информации должно быть преду­ смотрены функциональные процедуры и ответственность, за их реали­ зацию, для этого:

•функциональные процедуры должны быть задокументирова­ ны и введены в эксплуатацию, а также доступны для всех поль­ зователей, которые в них нуждаются;

466Глава 24. Основные направления и принципы организации СОИБ ИТС

визменения в средствах и системах обработки информации должны находиться под контролем;

вв компании должны быть распределены служебные обязанно­ сти и зоны ответственности для снижения возможности не­ санкционированного или неумышленного злоупотребления или изменения имущества компании;

осредства для усовершенствования, средства для тестирования и функциональные средства должны быть разделены между собой для снижения рисков, связанных с несанкционирован­ ным доступом или изменением операционной системы.

В СОИБ с целью внедрения и обслуживания соответствующего уровня ИБ и доставки услуг по каналу связи на основании договора с ДТС по предоставлению услуг должно быть предусмотрено управ­ ление доставкой услуг ДТС, для чего:

одолжны быть обеспечены гарантии того, что средства обеспе­ чения безопасности, описание услуг и уровни доставки, вклю­ ченные в соглашение по доставке услуг с ДТС, внедрены, функционируют и обслуживаются ДТС;

•услуги, отчеты и записи, предоставляемые ДТС, должны регу­ лярно контролироваться и анализироваться, а также на регу­ лярной основе должны проводиться аудиторские проверки;

•изменения в системе обеспечения услуг, включая применение и усовершенствование существующих стратегии обеспечения ИБ, процедур и средств управления, должны быть управляе­ мыми с учётом критичности затрагиваемых информационных систем и процессов, а также переоценки рисков.

ВСОИБ с целью минимизации последствий рисков, связанных

ссистемными ошибками, должны быть внедрены система планиро­ вания и приёмка, для чего:

в использование ресурсов должно находиться под текущим кон­ тролем и должно быть соответствующим образом налажено, а планы должны отражать будущие требования к качеству, что­ бы обеспечить требуемую функциональность системы;

•в компании должны быть разработаны критерии приёмки но­ вых информационных систем, их усовершенствований и их новых версий, а полномасштабные испытания систем(ы) должны проводиться на этапе их доработки и совершенство­ вания, причём до этапа приёмки.

ВСОИБ с целью защиты целостности ПО и информации должны быть встроена система защиты от модификации и вредоносно­ го ПО. В этой связи:

•в СОИБ компании должны быть внедрены средства обнаруже­ ния, нейтрализации и восстановления для защиты от вредо­

ектом, в структуре СОИБ должна быть выделенная система обмена информацией. В этой связи:

вв СОИБ компании должны применяться стратегия, процедуры и средства управления для формализованного обмена в целях защиты информационного обмена с использованием любого вида и рода электросвязи и всех типов соединений;

одля обмена информацией и ПО между компании и внешними субъектами должны быть приняты соответствующие соглашения;

®портативные средства хранения и доставки информации, со­ держащие данные, должны быть защищены от несанкциони­ рованного доступа, злоупотреблений или искажений в период их транспортировки за пределами компании;

оинформация, используемая в электронном документообороте, должна быть соответствующим образом защищена;

вдля защиты информации, используемой при взаимодействии информационных систем компании, должны быть разработа­ ны и внедрены соответствующие стратегии и процедуры.

Для обеспечения гарантированной безопасности предоставле­ ния услуг электронной коммерции и их безопасного использования в структуре СОИБ должна(ы) быть выделенная(ые) служба(ы) элек­ тронной коммерции.

Информация, используемая в электронной коммерции и пе­ редаваемая по сетям общего пользования, должна быть защищена от мошенничества, препятствий при исполнении условий контрак­ та и несанкционированного вскрытия или модификации.

Информация, используемая в коммерческих сделках в режиме реального времени, должна быть защищена с целью предотвраще­ ния прерывания и незавершённости передачи, ложной маршрути­ зации, несанкционированного изменения сообщений, несанкцио­ нированного вскрытия, несанкционированного дублирования или повторной передачи сообщений.

Целостность информации, которая становится доступной в информационной системе общего пользования, должна быть защи­ щена для предотвращения её несанкционированной модификации.

В целях выявления несанкционированной деятельности при обработке информации в структуре СОИБ должна быть реализова­ на подсистема текущего контроля (мониторинга).

Записи результатов проверок, отражающие деятельность поль­ зователей, нештатные события, а также события, которые связаны с обеспечением ИБ, должны производиться соответствующим обра­ зом и храниться в течении оговоренного периода времени для со­ действия возможным будущим расследованиям и последующему мониторингу управления доступом.

Необходимо разработать процедуры применения мониторин­ га средств обработки информации, а результаты проводимого мо­ ниторинга должны регулярно анализироваться.

Средства регистрации и зарегистрированная информация должны быть защищены от подделки и несанкционированного доступа.

Деятельность системного администратора и деятельность сис­ темного оператора должны регистрироваться.

Все сбои должны регистрироваться, анализироваться, а за тем должны проводиться соответствующие мероприятия.

Часы всех соответствующих систем обработки информации внутри компании или защищенного сетевого сегмента должны син­ хронизироваться от согласованного источника точного времени.

Управление доступом. В целях управления доступом к ин­ формации должны быть разработаны соответствующие требования к управлению доступом.

ВСОИБ компании должна быть разработана, задокументиро­ вана и в последующем анализироваться стратегия управления дос­ тупом, на основе требований по безопасности обеспечения доступа.

Для обеспечения гарантированного доступа авторизованных пользователей и предотвращения несанкционированного доступа к информационным системам в структуре СОИБ должна быть реали­ зована подсистема управления доступом пользователей, для чего:

вв компании должны использоваться формализованные проце­ дуры регистрации и снятия с учёта пользователей для предос­ тавления им и прекращения их доступа ко всем информаци­ онным системам и службам;

ораспределение и использование привилегий должно быть ог­ раниченным и находиться под строгим контролем;

ораспределение паролей должно контролироваться с помощью формализованных процедур;

оруководство и персонал компании должны анализировать права доступа пользователей на регулярной основе, используя для этого формализованную процедуру.

Вцелях предотвращения несанкционированного доступа пользователей, а также компрометации или кражи информации и средств обработки информации СОИБ должна предусматривать определение персональной ответственности пользователей.

Пользователя должны отвечать за свою последующую практи­ ческую деятельность в области выбора и использования паролей для обеспечения высокого уровня безопасности.

Пользователи должны гарантировать, что не обслуживаемое ими оборудование имеет необходимую защиту.

470Глава 24. Основные направления и принципы организации СОИБ ИТС

ВСОИБ компании следует принять «стратегию чистого стола» для служебных документов и портативных средств хранения и дос­ тавки информации, и - «стратегию чистого экрана» для средств об­ работки информации.

Вцелях предотвращения несанкционированного доступа к се­ тевым службам в структуре СОИБ должна быть реализована под­ система управления доступом к сети, для чего:

впользователи должны обеспечить только доступ к службам, чтобы последние провели специализированную авторизацию пользователей для предоставления им услуг;

одля управления доступом удалённых пользователей должны использоваться соответствующие методы, способы и средства аутентификации;

вавтоматизированная идентификация сетевого оборудования должна рассматриваться как средство аутентификации соеди­ нений с удалёнными зонами и оборудованием;

вфизический и логический доступ к интерфейсам диагностики и настройки должен быть контролируемым;

вв сети должны быть выделены группы объектов: информаци­ онных служб, пользователей и информационных систем;

•для сетей общего пользования, особенно для тех, которые вы­ ходят за пределы компании, возможности пользователей по соединению с сетью должны быть ограничены в соответствие со стратегией управления доступом и требованиями приклад­ ных информационных систем;

вв сети должны быть внедрены средства управления маршрути­ зацией в целях обеспечения гарантий того, что виртуальные соединения и информационные потоки не нарушают требо­ ваний стратегии управления доступом к прикладных инфор­ мационным системам.

Для предотвращения несанкционированного доступа к ОС в структуре СОИБ должна быть реализована подсистема управления доступом к ОС. В этой связи:

вдоступ к ОС должен бьггь контролируемым с помощью безо­ пасной процедуры ввода имени и пароля пользователя (log-on);

ввсе пользователи должны иметь уникальный идентификатор (user ID) только для индивидуального применения, а также должен быть выбран приемлемый способ аутентификации для подтверждения заявляемой подлинности пользователя;

осистемы управления паролями должны быть интерактивными и гарантировать качество паролей;

оиспользование обслуживающих программ, которые могу! быть способны подменить систему и средства управления

прикладными процессами, должно быть ограничено и строго контролируемо;

°не активные сеансы связи должны прерываться через опреде­ лённое время после их перехода в пассивный режим (режим ожидания);

одля повышения уровня безопасности прикладных процессов, которые наиболее уязвимы, должны использоваться ограниче­ ния на продолжительность виртуального соединения.

Для предотвращения несанкционированного доступа к ин­

формации, содержащейся в прикладных системах в структуре СОИБ должна быть реализована подсистема управления доступом к информации и прикладным системам.

Доступ пользователей и обслуживающего персонала к инфор­ мации и услугам прикладных систем должен быть ограничен в со­ ответствие с принятой стратегией управления доступом.

Критичные системы должны иметь выделенную (локализо­ ванную) область применения.

Для гарантированного обеспечения ИБ при использовании мобильных и фиксированных средств удалённого доступа в струк­ туре СОИБ должна быть реализована подсистема обеспечения мо­ бильного и фиксированного удалённого доступа.

ВСОИБ компании должна быть реализована официальная стра­ тегия, а также должны быть проведены мероприятия по обеспечению соответствующего уровня безопасности для защиты от рисков, кото­ рые связанны с мобильными (радио) средствами удалённого доступа.

Работа фиксированных систем удалённого доступа должна быть основана на разработанных и внедрённых стратегиях, опера­ тивных планах и процедурах.

Приобретение, развитие и эксплуатация информационных систем. В целях обеспечения гарантий того, что безопасность явля­ ется составной частью информационных систем необходимо разра­ ботать требования по безопасности информационных систем.

Изложение функциональных требований для новых инфор­ мационных систем или для расширяемых (совершенствуемых) дей­ ствующих информационных систем должно включать требования к способам и средствам обеспечения безопасности.

Вцелях предотвращения ошибок, потери, несанкционирован­ ной модификации или злоупотреблений информацией в приклад­ ных системах необходимо обеспечить корректную обработку данных

прикладными процессами, для чего:

•ввод данных в прикладную систему должен быть подтверждён для обеспечения гарантий того, что эти данные корректны и приемлемы;