Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Гост Р Iso Формата word.docx
Скачиваний:
24
Добавлен:
23.09.2019
Размер:
226.79 Кб
Скачать

8.7.6 Системы публичного доступа

Следует уделять внимание защите целостности информации, опубликованной электронным способом, чтобы предотвратить неавторизованную модификацию, которая могла бы навредить репутации организации, поместившей эту информацию. Информацию системы публичного доступа, например информацию на Web-сайте, доступную через Интернет, возможно, потребуется привести в соответствие с законодательством и регулирующими нормами страны, под юрисдикцией которых находится система или осуществляется торговля. Необходим соответствующий формализованный процесс авторизации прежде, чем информация будет сделана общедоступной.

Программное обеспечение, данные и другую информацию, требующую высокого уровня целостности, доступ к которой осуществляется через системы публичного доступа, необходимо защищать адекватными способами, например, посредством цифровой подписи (10.3.3). Системы, предоставляющие возможность электронной публикации информации, обратной связи и непосредственного ввода информации, должны находиться под надлежащим контролем с тем, чтобы:

- полученная информация соответствовала всем законам по защите данных (12.1.4);

- информация, введенная в систему электронной публикации, обрабатывалась своевременно, полностью и точно;

- важная информация была защищена в процессе ее сбора и хранения;

- доступ к системе электронной публикации исключал бы возможность непреднамеренного доступа к сетям, с которыми она связана.

8.7.7 Другие формы обмена информацией

Необходимо предусмотреть наличие процедур и мероприятий по управлению информационной безопасностью с целью защиты процесса обмена информацией посредством речевых, факсимильных и видеосредств коммуникаций. Информация может быть скомпрометирована из-за недостаточной осведомленности сотрудников по использованию средств передачи информации. В частности, информация может быть подслушана при переговорах по мобильному телефону в общественном месте, а также с автоответчиков; информация может также быть скомпрометированной вследствие неавторизованного доступа к системе голосовой почты или случайной отсылки факсимильных сообщений неправильному адресату.

Бизнес-операции могут быть нарушены и информация может быть скомпрометирована в случае отказа, перегрузки или прерывания в работе средств взаимодействия (7.2 и раздел 11). Информация может быть скомпрометирована, если к ней имели место доступ неавторизованные пользователи (раздел 9).

Следует сформулировать четкие требования по соблюдению процедур, которым должны следовать сотрудники при использовании речевой, факсимильной и видеосвязи. В частности, необходимо предусмотреть следующее:

а) напоминание сотрудникам о необходимости принятия соответствующих мер предосторожности, например, для исключения подслушивания или перехвата информации при использовании телефонной связи:

1) лицами, находящимися в непосредственной близости, особенно при пользовании мобильными телефонами;

2) прослушивания телефонных переговоров путем физического доступа к трубке, телефонной линии или с использованием сканирующих приемников при применении аналоговых мобильных телефонов;

3) посторонними лицами со стороны адресата;

б) напоминание сотрудникам о том, что не следует вести конфиденциальные беседы в общественных местах, открытых офисах и в переговорных комнатах с тонкими стенами;

в) не оставлять сообщений на автоответчиках, переадресация на которые произошла вследствие ошибки соединения, или автоответчиках операторов связи, поскольку эти сообщения могут быть воспроизведены неавторизованными лицами;

г) напоминание сотрудникам о возможных рисках, присущих использованию факсимильных аппаратов, а именно:

1) неавторизованный доступ к встроенной памяти для поиска сообщений;

2) преднамеренное или случайное перепрограммирование аппаратов с целью передачи сообщений по определенным номерам;

3) отсылка документов и сообщений по неправильному номеру вследствие неправильного набора либо из-за использования неправильно сохраненного номера.

9 Контроль доступа

9.1Требование бизнеса по обеспечению контроля в отношении логического доступа

Цель: контроль доступа к информации.

Доступ к информации и бизнес-процессам должен быть контролируемым с учетом требований бизнеса и безопасности.

Требования к контролю доступа должны быть отражены в политиках в отношении распространения и авторизации информации.

9.1.1 Политика в отношении логического доступа

9.1.1.1 Политика и требования бизнеса

Необходимо определять и документально оформлять требования бизнеса по обеспечению контроля в отношении логического доступа. Правила контроля доступа и права каждого пользователя или группы пользователей должны однозначно определяться политикой безопасности по отношению к логическому доступу. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения требований в отношении логического доступа.

Необходимо, чтобы в политике было учтено следующее:

- требования безопасности конкретных бизнес-приложений;

- идентификация всей информации, связанной с функционированием бизнес-приложений;

- условия распространения информации и авторизации доступа, например, применение принципа «need to know» (пользователь получает доступ только к данным, безусловно необходимым ему для выполнения конкретной функции), а также в отношении категорированной информации и требуемых уровней ее защиты;

- согласованность между политиками по контролю доступа и классификации информации применительно к различным системам и сетям;

- применяемое законодательство и любые договорные обязательства относительно защиты доступа к данным или сервисам (раздел 12);

- стандартные профили доступа пользователей для типовых обязанностей и функций;

- управление правами доступа в распределенной сети с учетом всех типов доступных соединений.