Стандарты информационной безопасности

       

Регуляторы безопасности и реализуемые ими цели. Часть 1. Регуляторы общего характера


Мы приступаем к рассмотрению десяти групп регуляторов безопасности, выделенных в стандарте BS 7799.

К первой группе отнесено то, что связано с политикой безопасности, а именно:

  • документально оформленная политика;
  • процесс ревизии политики.

Цель регуляторов этой группы - определить стратегию управления безопасностью и обеспечить ее поддержку.

Рекомендуемая структура документированной политики изложена в курсе "Основы информационной безопасности" [91].

Вторая группа регуляторов безопасности касается общеорганизационных аспектов. По сравнению с первой она более многочисленна и наделена внутренней структурой. Ее первая подгруппа - инфраструктура информационной безопасности - преследует цель управления безопасностью в организации и включает следующие регуляторы:

  • создание форума по управлению информационной безопасностью;
  • меры по координации действий в области информационной безопасности;
  • распределение обязанностей в области информационной безопасности;

  • утверждение руководством (административное и техническое) новых средств обработки информации;
  • получение рекомендаций специалистов по информационной безопасности;
  • сотрудничество с другими организациями (правоохранительными органами, поставщиками информационных услуг и т.д.);
  • проведение независимого анализа информационной безопасности.

Регуляторы второй подгруппы - безопасность доступа сторонних организаций - предназначены для обеспечения безопасности вычислительных и информационных ресурсов, к которым имеют доступ сторонние организации. Этих регуляторов два:

  • идентификация рисков, связанных с подключениями сторонних организаций, и реализация соответствующих защитных мер;
  • выработка требований безопасности для включения в контракты со сторонними организациями.

Цель третьей подгруппы - обеспечение информационной безопасности при использовании услуг внешних организаций. Предлагается выработать требования безопасности для включения в контракты с поставщиками информационных услуг.

Очень важна третья группа регуляторов безопасности - классификация активов и управление ими.

Меры по безопасному администрированию систем и сетей разделены в стандарте BS 7799 на семь подгрупп:

  • операционные процедуры и обязанности;
  • планирование и приемка систем;
  • защита от вредоносного программного обеспечения;
  • повседневное обслуживание;
  • администрирование сетей;
  • безопасное управление носителями;
  • обмен данными и программами с другими организациями.

Документирование операционных процедур и обязанностей преследует цель обеспечения корректного и надежного функционирования средств обработки информации. Требуется обязательно контролировать все изменения этих средств. Доклады о нарушениях безопасности должны быть своевременными и эффективными. Разделение обязанностей должно препятствовать злоупотреблению полномочиями. Средства разработки и тестирования необходимо отделить от производственных ресурсов. Для безопасного управления внешними ресурсами предлагается предварительно оценить риски и включить в контракты со сторонними организациями соответствующие положения.

Планирование и приемка систем призваны минимизировать риск их отказа. Для этого рекомендуется отслеживать и прогнозировать вычислительную нагрузку, требуемые ресурсы хранения и т.д. Следует разработать критерии приемки новых систем и версий, организовать их тестирование до введения в эксплуатацию.

Защита от вредоносного программного обеспечения должна включать как превентивные меры, так и меры обнаружения и ликвидации вредоносного ПО.

Под повседневным обслуживанием в стандарте имеется в виду резервное копирование, протоколирование действий операторов, регистрация, доведение до сведения руководства и ликвидация сбоев и отказов.

Вопросы администрирования сетей в стандарте, по сути, не раскрываются, лишь констатируется необходимость целого спектра регуляторов безопасности и документирования обязанностей и процедур.

Безопасное управление носителями подразумевает контроль за съемными носителями, безвредную утилизацию отслуживших свой срок носителей, документирование процедур обработки и хранения информации, защиту системной документации от несанкционированного доступа.




Необходимым условием обеспечения надлежащей защиты активов является их идентификация и классификация. Должны быть выработаны критерии классификации, в соответствии с которыми активы тем или иным способом получают метки безопасности.

Регуляторы четвертой группы - безопасность персонала - охватывают все этапы работы персонала, и первый из них - документирование ролей и обязанностей в области информационной безопасности при определении требований ко всем должностям. В соответствии с этими требованиями должны производиться отбор новых сотрудников, заключаться соглашения о соблюдении конфиденциальности, оговариваться в контрактах другие условия.

Для сознательного поддержания режима информационной безопасности необходимо обучение всех пользователей, регулярное повышение их квалификации.

Наряду с превентивными, стандарт предусматривает и меры реагирования на инциденты в области безопасности, чтобы минимизировать ущерб и извлечь уроки на будущее. Предусмотрены уведомления (доклады) об инцидентах и замеченных уязвимостях, нештатной работе программного обеспечения. Следует разработать механизмы оценки ущерба от инцидентов и сбоев и дисциплинарного наказания провинившихся сотрудников.

Пятая группа регуляторов направлена на обеспечение физической безопасности и безопасности окружающей среды. Она включает три подгруппы:

  • организация защищенных областей;
  • защита оборудования;
  • меры общего характера.


Для организации защищенных областей требуется определить периметры физической безопасности, контролировать вход в защищенные области и работу в них, защитить производственные помещения (особенно имеющие специальные требования по безопасности) и места погрузочно/разгрузочных работ, которые, по возможности, надо изолировать от производственных помещений.

Чтобы предупредить утерю, повреждение или несанкционированную модификацию оборудования рекомендуется размещать его в защищенных областях, наладить бесперебойное электропитание, защитить кабельную разводку, организовать обслуживание оборудования, перемещать устройства (в том числе за пределы организации) только с разрешения руководства, удалять информацию перед выведением из эксплуатации или изменением характера использования оборудования.

К числу мер общего характера принадлежат политика чистого рабочего стола и чистого экрана, а также уничтожение активов - оборудования, программ и данных - только с разрешения руководства.



Более детально регламентирован обмен данными и программами с другими организациями. Предлагается заключать формальные и неформальные соглашения, защищать носители при транспортировке, обеспечивать безопасность электронной коммерции, электронной почты, офисных систем, систем общего доступа и других средств обмена. В качестве универсальных защитных средств рекомендуются документированная политика безопасности, соответствующие процедуры и регуляторы.

Самой многочисленной является группа регуляторов, относящихся к управлению доступом к системам и сетям. Она состоит из восьми подгрупп:

  • производственные требования к управлению доступом;
  • управление доступом пользователей;
  • обязанности пользователей;
  • управление доступом к сетям;
  • управление доступом средствами операционных систем;
  • управление доступом к приложениям;
  • контроль за доступом и использованием систем;
  • контроль мобильных пользователей и удаленного доступа.


Производственные требования к управлению доступом излагаются в документированной политике безопасности, которую необходимо проводить в жизнь.

Управление доступом пользователей должно обеспечить авторизацию, выделение и контроль прав в соответствии с политикой безопасности. Этой цели служат процедуры регистрации пользователей и ликвидации их системных счетов, управление привилегиями в соответствии с принципом их минимизации, управление паролями пользователей, а также дисциплина регулярной ревизии прав доступа.

Обязанности пользователей, согласно стандарту, сводятся к правильному выбору и применению паролей, а также к защите оборудования, остающегося без присмотра.

Управление доступом к сетям опирается на следующие регуляторы:

  • политика использования сетевых услуг (прямой доступ к услугам должен предоставляться только по явному разрешению);
  • задание маршрута от пользовательской системы до используемых систем (предоставление выделенных линий, недопущение неограниченного перемещения по сети и т.д.);
  • аутентификация удаленных пользователей;
  • аутентификация удаленных систем;
  • контроль доступа (особенно удаленного) к диагностическим портам;




  • сегментация сетей ( выделение групп пользователей, информационных сервисов и систем);
  • контроль сетевых подключений (например, контроль по предоставляемым услугам и/или времени доступа);


  • управление маршрутизацией;
  • защита сетевых сервисов (должны быть описаны атрибуты безопасности всех сетевых сервисов, используемых организацией).


Управление доступом средствами операционных систем направлено на защиту от несанкционированного доступа к компьютерным системам. Для этого предусматриваются:

  • автоматическая идентификация терминалов;
  • безопасные процедуры входа в систему (следует выдавать как можно меньше информации о системе, ограничить разрешаемое количество неудачных попыток, контролировать минимальную и максимальную продолжительность входа и т.п.);
  • идентификация и аутентификация пользователей;
  • управление паролями, контроль их качества;
  • разграничение доступа к системным средствам;
  • уведомление пользователей об опасных ситуациях;
  • контроль времени простоя терминалов (с автоматическим отключением по истечении заданного периода);
  • ограничение времени подключения к критичным приложениям.


Для управления доступом к приложениям предусматривается разграничение доступа к данным и прикладным функциям, а также изоляция критичных систем, помещение их в выделенное окружение.

Контроль за доступом и использованием систем преследует цель выявления действий, нарушающих политику безопасности. Для ее достижения следует протоколировать события, относящиеся к безопасности, отслеживать и регулярно анализировать использование средств обработки информации, синхронизировать компьютерные часы.

Контроль мобильных пользователей и удаленного доступа должен основываться на документированных положениях политики безопасности.


Содержание раздела