Управление информационной безопасностью

а) выявление и регистрация существенных изменений;

б) оценка возможных последствий от таких изменений;

в) процедура утверждения предлагаемых изменений;

г) доведение деталей предлагаемый изменений до сведения всех лиц, которых они могут затронуть;

д) процедуры и обязанности по ликвидации неудачных изменений и восстановлению систем после их внесения.

Примечание. Процедуры управления процессом внесения изменений для разработки систем см. также Процедуры управления процессом внесения изменений.

Защита от вредоносного программного обеспечения

Цель: Обеспечить целостность данных и программ

Для предотвращения и выявления случаев внедрения вредоносного программного обеспечения, требуется принятие надлежащих мер предосторожности.

В настоящее время существует целый ряд вредоносных методов, которые позволяют использовать уязвимость компьютерных программ по отношению к их несанкционированной модификации, с такими именами, как ╚компьютерные вирусы╩, ╚сетевые черви╩, ╚Троянские кони╩ и ╚логические бомбы╩. Администраторы информационных систем должны быть всегда готовы к опасности проникновения вредоносного программного обеспечения в системы и по необходимости принимать специальные меры по предотвращению или обнаружению его внедрения. В частности крайне важно принять меры предосторожности для предотвращения и обнаружения компьютерных вирусов на персональных компьютерах.

Средства защиты от вирусов

Необходимо реализовать меры по обнаружению и предотвращению проникновения вирусов в системы и процедуры информирования пользователей об их вреде. Пользователям следует напомнить, что предотвращение вирусов лучше, чем ликвидация последствий от их проникновения. В основе защиты от вирусов должны лежать хорошие знания и понимание правил безопасности, надлежащие средства управления доступом к системам и следующие конкретные рекомендации (руководство по управлению доступом к системам приведено в Раздел 7. Управление доступом к системам):

1. Организация должна определить формальную политику, требующую соблюдение условий лицензий на использование программного обеспечения и запрещающую использование несанкционированных программ (см. Контроль за копированием патентованного программного обеспечения).
2. Противовирусные программные средства, разработанные поставщиком с хорошей репутацией, следует использовать следующим образом:

       программные средства обнаружения конкретных вирусов (которые должны регулярно обновляться и использоваться в соответствии с инструкциями поставщика) следует применять для проверки компьютеров и носителей информации на наличие известных вирусов либо как мера предосторожности, либо как повседневная процедура;

       программные средства обнаружения изменений, внесенных в данные, должны быть по необходимости инсталлированы на компьютерах для выявления изменений в выполняемых программах;

       программные средства нейтрализации вирусов следует использовать с осторожностью и только в тех случаях, когда характеристики вирусов полностью изучены, а последствия от их нейтрализации предсказуемы;

3. Необходимо проводить регулярную проверку программ и данных в системах, поддерживающих критически важные производственные процессы. Наличие случайных файлов и несанкционированных исправлений должно быть расследовано с помощью формальных процедур.
4. Дискеты неизвестного происхождения следует проверять на наличие вирусов до их использования.
5. Необходимо определить управленческие процедуры и обязанности по уведомлению о случаях поражения систем компьютерными вирусами и принятию мер по ликвидации последствий от их проникновения (см. Реагирование на события, таящие угрозу безопасности и Процедуры реагирования на события). Следует составить надлежащие планы обеспечения бесперебойной работы организации для случаев вирусного заражения, в том числе планы резервного копирования всех необходимых данных и программ и их восстановления (см. Вопросы планирования бесперебойной работы организации).

Примечание. Эти меры особенно важны для сетевых файловых серверов, поддерживающих большое количество рабочих станций.

Обслуживание систем

Цель: Обеспечить целостность и доступность информационных сервисов.

Меры по обслуживанию систем требуются для поддержания целостности и доступности сервисов.

Необходимо определить повседневные процедуры для снятия резервных копий с данных, регистрации событий и сбоев, а также для слежения за средой, в которой функционирует оборудование.

Резервное копирование данных

Резервные копии с критически важных производственных данных и программ должны сниматься регулярно. Для обеспечения возможности восстановления всех критически важных производственных данных и программ после выхода из строя компьютера или отказа носителя информации, необходимо иметь надлежащие средства резервного копирования. Процедуры резервного копирования для отдельных систем должны удовлетворять требованиям планов обеспечения бесперебойной работы организации (см. Вопросы планирования бесперебойной работы организации).

Предлагаются следующие рекомендации:

1. Минимальную дублирующую информацию вместе с точными и полными записями о резервных копиях следует хранить в удаленном месте на достаточном расстоянии для того, чтобы избежать последствий от аварии на основном рабочем месте. Необходимо создать по крайней мере три поколения резервных копий данных для важных производственных приложений.
2. Резервные копии должны быть надлежащим образом защищены физически от воздействия окружающей среды (см. Раздел 5. Физическая безопасность и безопасность окружающей среды) в соответствии со стандартами, принятыми на основном рабочем месте. Средства защиты носителей информации, принятые на основном рабочем месте, следует распространить на место хранения резервных копий.
3. Резервные данные необходимо регулярно тестировать, чтобы быть уверенным, что на них можно будет положиться в случае аварии.

Владельцы данных должны задать период сохранности критически важных производственных данных, а также требования к постоянному хранению архивных копий (см. Защита документации организации).

Журналы регистрации событий

Операторы компьютеров должны вести журнал регистрации всех выполняемых заданий. Этот журнал должен по необходимости включать:

                   время запуска и останова систем;

                   подтверждение корректного оперирования с файлами данных и выходной информацией от компьютеров.

                   подтверждение корректного оперирования с файлами данных и выходной информацией от компьютеров.

Журналы регистрации событий должны регулярно сверяться с операционными процедурами.

Регистрация сбоев

Необходимо извещать о сбоях в работе систем и предпринимать соответствующие корректирующие меры. Зафиксированные пользователями сбои, касающиеся проблем с компьютерными и коммуникационными системами, следует заносить в журнал регистрации. Должны существовать четкие правила обработки зарегистрированных сбоев, включая следующие:

а) анализ журнала регистрации сбоев для обеспечения их удовлетворительного разрешения;

б) анализ корректирующих мер, цель которого состоит в проверке того, не скомпрометированы ли средства управления безопасностью и является ли предпринятая мера санкционированной.

Слежение за окружающей средой

Для определения условий, которые могут неблагоприятно сказаться на работе компьютерного оборудования и для принятия корректирующих мер, необходимо постоянно следить за окружающей средой, в том числе за влажностью, температурой и качеством источников электропитания. Такие процедуры следует реализовывать в соответствии с рекомендациями поставщиков.

Примечание. Слежение за окружающей средой является менее критичным для современных компьютеров, многие из которых способны работать при нормальной температуре и влажности в рабочих помещениях.

Сетевое администрирование

Цель: Обеспечить защиту информации, циркулирующей в сетях, и поддерживающей инфраструктуры.

Управление безопасностью компьютерных сетей, отдельные сегменты которых могут находиться за пределами организации, требует особого внимания.

Возможно также потребуется принятие специальных мер для защиты конфиденциальных данных, передаваемых по общедоступным сетям.

Средства управления безопасностью сетей

Компьютерные сети требуют целый ряд средств управления безопасностью. Сетевые администраторы должны определить надлежащие средства контроля для обеспечения защиты данных, циркулирующих в сетях, и подключенных к ним систем, от несанкционированного доступа. В частности, необходимо рассмотреть следующие пункты:

а) Обязанности по обеспечению работы сетей и компьютеров должны быть по необходимости разделены (см. Разделение обязанностей).

б) Необходимо определить обязанности и процедуры по управлению удаленным оборудованием, в том числе оборудованием на рабочих местах пользователей;

в) Для обеспечения конфиденциальности и целостности данных, передаваемых по общедоступным сетям, и для защиты подключенных к ним систем (см. Управление доступом к сети, Шифрование данных и Аутентификация сообщений), требуется определение специальных средств контроля.

г) Необходимо координировать работы по администрированию компьютеров и сетей как для оптимизации сервиса для производственных нужд, так и для обеспечения согласованной реализации защитных мер для всех информационных сервисов.

Оперирование с носителями информации и их защита

Цель: Предотвратить повреждение информационных ресурсов и перебои в работе организации.

Необходимо контролировать компьютерные носители данных и обеспечить их физическую защиту.

Следует определить надлежащие операционные процедуры для защиты компьютерных носителей информации (магнитные ленты, диски, кассеты), входных/выходных данных и системной документации от повреждения, похищения и несанкционированного доступа.

Управление съемными компьютерными носителями информации

Для управления такими съемными носителями информации, как магнитные ленты, диски, кассеты и распечатки, необходимо иметь соответствующие процедуры. Предлагаются следующие средства контроля в рабочей среде:

а)

Применение системы хранения данных, в которой запрещается использовать описательные метки, т.е. по меткам нельзя определить, какие данные хранятся на запоминающем устройстве.

Стирание предыдущего содержимого повторно используемых носителей информации, которые подлежат удалению из организации, если они больше не нужны.

Получение письменной санкции на удаление всех носителей информации из организации и регистрация всех случаев их удаления в контрольном журнале (см. Защита носителей информации во время транспортировки).

Хранение всех носителей информации в надежной, защищенной среде в соответствии с инструкциями производителей.

Все процедуры и уровни полномочий должны быть четко задокументированы.

Процедуры оперирования c данными

Чтобы защитить конфиденциальные данные от несанкционированного раскрытия или использования, необходимо определить процедуры оперирования с такими данными. Должны быть подготовлены процедуры для безопасного оперирования со всеми носителями входных и выходных конфиденциальных данных, например, документов, телексов, магнитных лент, дисков, отчетов, незаполненных чеков, счетов и др. Предлагается рассмотреть следующие пункты:

а) оперирование с носителями входной и выходной информации и их маркировка;

б) формальная регистрация получателей данных, имеющих соответствующие полномочия;

в) обеспечение полноты входных данных;

г) подтверждение получения переданных данных (по необходимости);

д) предоставление доступа к данных минимальному числу лиц;

е) четкая маркировка всех копий данных для получателя, имеющего соответствующие полномочия;

ж) проверка списков получателей с правом доступа к данным через регулярные промежутки времени.

Примечание. См. также Классификация информации и Защита носителей информации во время транспортировки.

Защита системной документации

Системная документация может содержать конфиденциальную информацию, например, описание прикладных процессов, процедур, структуры данных и процессов подтверждения полномочий. Для защиты системной документации от несанкционированного доступа, необходимо применять следующие средства контроля:

а) Системная документация должна храниться в надежных шкафах под замком.

б) Список лиц с правом доступа к системной документации должен быть максимально ограничен, а разрешение на ее использование должно выдаваться владельцем приложения.

в) Документацию, создаваемую компьютерами, следует хранить отдельно от других файлов приложений, и ей следует присвоить надлежащий уровень защиты доступа.

Удаление носителей данных

Для удаления компьютерных носителей информации, которые больше не нужны, требуются надежные и проверенные процедуры. Конфиденциальная информация может просочиться за пределы организации и попасть в руки лиц, не имеющих соответствующих прав, вследствие небрежного удаления компьютерных носителей данных. Для сведения такого риска к минимуму следует определить четкие процедуры надежного удаления носителей информации. Предлагаются следующие рекомендации:

                   Носители данных, содержащих конфиденциальную информацию, необходимо надежно удалять, например, посредством их сжигания или измельчения (дробления), или освобождены от данных для использования другими приложениями внутри организации.

                   Для идентификации носителей данных, которые могут потребовать надежного удаления, предлагается использовать следующий контрольный список:

       входная документация, например, телексы;

       копировальная бумага;

       выходные отчеты;

       одноразовые ленты для принтеров;

       магнитные ленты;

       съемные диски или кассеты;

       распечатки программ;

       тестовые данные;

       системная документация.

Примечание. В некоторых средах возможно будет проще собрать все носители данных и надежно их удалить, чем пытаться выделить из них носители, на которых записана конфиденциальная информация.