Управление информационной безопасностью

Многие организации предлагают услуги по сбору и удалению бумажной документации, оборудования и носителей данных. Следует позаботиться о выборе подходящего подрядчика с соответствующим опытом работы, использующего надлежащие средства контроля безопасности.

Каждый случай удаления носителей конфиденциальной информации необходимо (по возможности) регистрировать в контрольном журнале для будущих справок.

При накоплении информации, подлежащей удалению, следует учитывать эффект аккумуляции, который может привести к тому, что большое количество несекретной информации становится более конфиденциальной, чем малое количество секретной информации.

Обмен данными и программами

Цель: Предотвратить потери, модификацию и несанкционированное использование данных.

Обмены данными и программами между организациями необходимо контролировать.

Такие обмены следует осуществлять на основе формальных соглашений. Должны быть установлены процедуры и стандарты для защиты носителей информации во время их транспортировки. Необходимо учитывать последствия для производственной деятельности и системы безопасности от использования электронного обмена данными и сообщениями электронной почты, а также требования к средствам управления безопасностью.

Соглашения об обмене данными и программами

Между организациями должны быть заключены формальные соглашения об обмене данными и программами (электронном или посредством курьеров), в том числе соглашения о хранении программного обеспечения (по необходимости). Та часть соглашения, которая касается безопасности, должна отражать степень важности производственной информации, участвующей в процессе обмена. В соглашениях должны быть заданы надлежащие условия безопасности, включая следующее:

а) управленческие обязанности по контролю и уведомлению о передаче и получении данных;

б) процедуры уведомления о передаче и получении данных;

в) минимум технических стандартов по упаковке и передаче информации;

г) стандарты по идентификации курьеров;

д) обязанности и обязательства в случае потери данных;

е) права собственности на данные и программы, а также обязанности по защите данных, соблюдении авторских прав на программное обеспечение и т.п. (см. Защита данных);

ж) технические стандарты на запись и чтение данных и программ;

з) специальные меры, требуемые для защиты особо важных данных, таких, как криптографические ключи.

Защита носителей информации во время транспортировки

Компьютерные носители данных могут быть уязвимы по отношению к несанкционированному доступу, использованию и повреждению во время транспортировки. Для защиты компьютерных носителей информации, транспортируемых из одной организации в другую, предлагаются следующие средства контроля:

а) Использование надежных курьеров и транспорт. Согласование списка курьеров, наделенных соответствующими полномочиями, с руководством и реализация процедуры идентификации курьеров.

б) Обеспечение надлежащей защиты содержимого упаковки от возможного физического повреждения во время транспортировки в соответствии с инструкциями производителей.

в) Принятие специальных мер (по необходимости) для защиты конфиденциальной информации от несанкционированного раскрытия или модификации.

Примеры:

а) использование контейнеров закрытого типа;

б) доставка посредством курьеров;

в) упаковка, защищенная от постороннего вмешательства (которая позволяет выявить попытки ее вскрытия);

г) в исключительных случаях разделение груза на несколько частей и их посылка разными маршрутами.

Защита электронного обмена данными

Для защиты электронного обмена данными (ЭОД) следует применять (по необходимости) специальные средства управления безопасностью, поскольку ЭОД с торговыми партнерами уязвим по отношению к несанкционированному перехвату и модификации. Кроме того возможно потребуется подтверждение передачи или получения данных. Необходимо также позаботиться о защите подключенных к сети компьютерных систем от угроз, которые исходят от электронного подключения.

Средства управления безопасностью операций по ЭОД должны быть согласованы с торговыми партнерами и поставщиками дополнительных сетевых услуг. Для обеспечения совместимости с промышленными стандартами, необходимо проконсультироваться со специалистами соответствующей ассоциацией по ЭОД.

Примечание. Руководство по использованию методов шифрования и аутентификации сообщений см. также Шифрование данных и Аутентификация сообщений.

Защита электронной почты

Для уменьшения риска, которому подвергаются производственные процессы и система безопасности, связанного с использованием электронной почты, следует применять (по необходимости) соответствующие средства контроля. Электронная почта все чаще используется для передачи информации между организациями, вытесняя традиционные виды связи, такие, как телексы и письма. Электронная почта отличается от традиционных видов связи, например, скоростью, структурой сообщений, степенью формальности и уязвимостью по отношению к перехвату. Для уменьшения риска, которому подвергаются производственные процессы и система безопасности, связанного с применением электронной почты, необходимо использовать надлежащие средства контроля. Предлагается рассмотреть следующие пункты:

а) уязвимость электронных сообщений по отношению к несанкционированному перехвату и модификации;

б) уязвимость данных, пересылаемых по электронной почте, по отношению к ошибкам, например, неправильная адресация или направление сообщений не по назначению, а также надежность и доступность сервиса в целом;

в) влияние изменения характеристик коммуникационной среды на производственные процессы, например, влияние повышенной скорости передачи данных или изменения системы адресации между организациями и отдельными лицами;

г) правовые соображения, такие, как необходимость проверки источника сообщений и др.;

д) последствия для системы безопасности от раскрытия содержания каталогов;

е) необходимость принятия защитных мер для контроля удаленного доступа пользователей к электронной почте.

Организации должны задать четкие правила, касающиеся статуса и использования электронной почты.

Защита систем электронного офиса

Для контроля риска, которому подвергаются производственные процессы и система безопасности, связанного с использованием систем электронного офиса, требуются четкие правила и рекомендации. Системы электронного офиса предоставляют возможность более быстрого распространения и коллективного использования производственной информации. Следует принять во внимание последствия для производственной деятельности и режима безопасности от использования таких систем. Предлагается рассмотреть следующие пункты:

а) необходимость исключения некоторых категорий конфиденциальной производственной информации, например, секретной информации, в случае, если система безопасности не обеспечивает надлежащий уровень защиты (см. Классификация информации);

б) необходимость определения четких правил и средств контроля для администрирования коллективно используемой информации, например, использование корпоративных электронных досок объявлений (см. Производственные требования к управлению доступом к системам);

в) необходимость ограничения доступа к персональной информации, относящейся к избранным лицам, например, к персоналу, работающему над конфиденциальными проектами;

г) пригодность (или непригодность) системы для поддержания производственных приложений;

д) категории персонала и подрядчиков или торговых партнеров, которым разрешено использовать систему и места, из которых можно получить доступ к ней (см. Безопасность доступа сторонних организаций);

е) необходимость ограничения доступа к избранным системам конкретным категориям пользователей;

ж) необходимость указания статуса пользователей, например, сотрудников организации или подрядчиков, в каталогах к сведению других пользователей;

з) правила, касающиеся периода сохранности и резервного копирования информации, хранимой в системе (см. Защита документации организации и Резервное копирование данных);

и) требования и процедуры перехода на аварийный режим (см. Планирование перехода на аварийный режим).

Раздел 8 Разработка и сопровождение информационных систем

Требования к безопасности систем

Цель: Обеспечить встроенность средств защиты в информационные системы.

Требования к безопасности должны быть определены и согласованы до разработки информационных систем.

Средства защиты оказываются значительно более дешевыми и эффективными, если их встроить в прикладные системы на стадиях задания требований и проектирования. Все требования к безопасности, включая необходимость перехода на аварийный режим для продолжения обработки информации, следует определить на стадии задания требований к проекту, а также обосновать, согласовать и задокументировать их в рамках общего плана работ по созданию информационной системы.

Анализ и задание требований к безопасности

Анализ требований к безопасности следует проводить на стадии анализа требований к каждому проекту разработки систем. При формулировании производственных требований к новым системам или модернизации существующих систем, необходимо задать требования к средствам управления безопасностью. Такие требования обычно сосредоточены на автоматических средствах контроля, встраивыемых в системы, однако следует также рассмотреть необходимость использования вспомагательных ╚ручных╩ средств управления безопасностью. Эти соображения следует также принять во внимание при качественной оценке пакетов программ для производственных приложений.

Требования к безопасности и средства управления ею должны отражать ценность информационных ресурсов для организации, а также возможные последствия от нарушения режима безопасности или отсутствия средств защиты для производственных процессов.

Основу анализа требований к безопасности составляют:

                               рассмотрение необходимости обеспечения конфиденциальности, целостности и доступности информационных ресурсов (см. Введение);

определение возможностей использования различных средств контроля для предотвращения и выявления случаев нарушения защиты, а также восстановления работоспособности систем после их выхода из строя и инцидентов в системе безопасности.

В частности, при проведении такого анализа следует рассмотреть необходимость:

а) управления доступом к информации и сервисам, включая требования к разделению обязянностей и ресурсов (см. Разделение обязанностей, Разделение программных средств разработки и рабочих программ и Раздел 7. Управление доступом к системам);

б) регистрации значительных событий в контрольном журнале для целей повседневного контроля или специальных расследований, в том числе как свидетельство при проведении переговоров с подрядчиками и другими лицами (см. Регистрация событий);

в) проверки и обеспечения целостности жизненно важных данных на всех или избранных стадиях их обработки (см. Проверка достоверности внутренней обработки данных и Аутентификация сообщений);

г) защиты конфиденциальных данных от несанкционированного раскрытия, в том числе возможное использование средств шифрования данных в специальных случаях (см. Шифрование данных);

д) выполнения требований инструкций и действующего законодательства, а также договорных требований, в том числе составление специальных отчетов для удовлетворения определенных правовых требований (см. Выполнение правовых требований);

е) снятия резервных копий с критически важных производственных данных (см. Резервное копирование данных);

ж)

восстановления систем после их отказов, особенно для систем с повышенными требованиями к доступности;

Примечание. Процедуры перехода на аварийный режим следует определить на стадии задания требований (см. Вопросы планирования бесперебойной работы организации).

з) защиты систем от внесения несанкционированных дополнений и изменений (см. Средства защиты от вирусов и Раздел 7. Управление доступом к системам);

и) предоставления возможности безопасного управления системами и их использования сотрудникам, не являющимся специалистами (но имеющих надлежащую подготовку) (см. Обучение пользователей);

и) обеспечения соответствия систем требованиям аудиторов, например, посредством использования таких средств, как встроенные программы-утилиты для выборочного контроля и независимое программное обеспечение для повторения критически важных вычислений.

Средства управления безопасностью, встроенные в компьютерные системы, могут быть скомпрометированы, если обслуживающий их персонал и пользователи не будут их знать. Поэтому необходимо явно определить эти средства контроля в соответствующей документации.

Примечание. Руководство возможно захочет воспользоваться независимо оцененными и сертифицированными программными продуктами, если это потребуется для уменьшения риска нарушения режима безопасности и удовлетворения производственных требований организации.

Безопасность в прикладных системах

Цель: Предотвратить потерю, модификацию и несанкционированное использование пользовательских данных в прикладных системах.

При проектировании прикладных систем необходимо встроить в них надлежащие средства управления безопасностью, в том числе средства регистрации событий в контрольном журнале.

Проектирование и эксплуатация систем должны соответствовать общепринятым промышленным стандартам обеспечения надежной защиты, определенным в настоящих практических правилах.

Примечание. Следует также принять во внимание соответствующее законодательство и договорные обязательства.

Системы, которые поддерживают или оказывают влияние на исключительно уязвимые, ценные или критически важные информационные ресурсы организации, могут потребовать принятия дополнительных мер противодействия. Такие меры следует определить исходя из рекомендаций специалиста по безопасности с учетом идентифицированных угроз нарушения защиты и возможных последствий от их реализации для организации.