управление информационной безопасностью

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ДВНЗ «Ужгородський національний університет»
Фізичний факультет
Кафедра твердотільної електроніки з/с інформаційної безпеки
УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ
Старший викладач: Гребенніков Вадим Вікторович
ЗБІРНИК ЛЕКЦІЙ - 1
Семестр 7
Модуль 1
Змістовий модуль 1. Вимоги до системи управління інформаційною
безпекою
1. Основные понятия информационной безопасности
2. Оценочные стандарты информационной безопасности
3. Стандарты управления информационной безопасностью
4. Требования к системе управления информационной безопасностью
(стандарт ISO/IEC 27001:2013)
5. Свод правил системы управления информационной безопасностью
(стандарт ISO/IEC 27002:2013)
1. Основные понятия информационной безопасности
1.1. Понятие информационной безопасности
Информация - самый ценный ресурс в компании, а в некоторых случаях является и
производственным ресурсом, от сохранности которого зависят важные технологические
процессы. С развитием информационных технологий увеличивается риск утечки
информации, заражение вирусами, вмешательства в работу системы.
Информация существует в различных формах. Ее можно хранить на компьютерах,
передавать по вычислительным сетям, распечатывать или записывать на бумаге, а также
озвучивать в разговорах. С точки зрения безопасности все виды информации, включая
бумажную документацию, базы данных, пленки, микрофильмы, модели, магнитные ленты,
дискеты, разговоры и другие способы, используемые для передачи знаний и идей, требуют
надлежащей защиты.
Защитные меры оказываются значительно более дешевыми и эффективными, если они
встроены в информационные системы и сервисы на стадиях задания требований и
проектирования. Чем скорее организация примет меры по защите своих информационных
систем, тем более дешевыми и эффективными они будут для нее впоследствии.
Базовыми понятиями являются информационная опасность, информационная угроза и
информационная безопасность.
Информационная опасность определяется двояко:
- как состояние окружающей среды или объекта, в котором существует возможность
причинить им существенный ущерб или вред путем оказания воздействия на
информационную сферу объекта;
- как свойство объекта, характеризующееся способностью наносить существенный
ущерб другому объекту путем оказания воздействия на его информационную сферу.
В соответствии с этим информационная безопасность (далее - ИБ) – это:
- состояние объекта, когда ему путем воздействия на его информационную сферу не
может быть нанесен существенный ущерб или вред;
- свойство объекта, характеризующее его способность не наносить существенного
ущерба какому-либо объекту путем оказания воздействия на информационную сферу этого
объекта.
Информационная угроза – угроза объекту путем оказания воздействия на его
информационную сферу:
- намерение нанести (причинить) объекту существенный ущерб путем оказания
воздействия на его информационную сферу;
- информационная опасность, реализация которой становится весьма вероятной;
- фактор или совокупность факторов, создающих информационную опасность объекту;
такими факторами могут быть действия, поведение объектов, природные явления и т. д.
Словосочетание «ИБ» в разных контекстах может иметь различный смысл.
ИБ личности – это состояние человека, в котором его личности не может быть нанесен
существенный ущерб путем оказания воздействия на окружающее его информационное
пространство.
В процессе информатизации человек стал информационно «прозрачен». При наличии
желания и средств любая имеющаяся информация о конкретной личности может стать
доступной и быть использована в своих целях другой личностью, группой лиц,
общественной группой и государством. Только незначительная часть населения способна
предотвратить нежелательный доступ к своей информации. Большинство людей такой
возможности не имеют и остаются беззащитными в этом плане.
ИБ общества – это состояние общества, в котором ему не может быть нанесен
существенный ущерб путем воздействия на его информационную сферу. В ее основе –
безопасность индивидуального, группового и массового сознания граждан при наличии
информационных угроз, к которым в первую очередь следует отнести информационнопсихологическое воздействие.
Действие этих угроз может вызывать психоэмоциональную и социальнопсихологическую напряженность, искажение нравственных критериев и норм, моральнополитическую дезориентацию и, как следствие, неадекватное поведение отдельных лиц,
групп и масс людей. В результате таких воздействий возможны глубокие трансформации
индивидуального, группового и массового сознания, негативные изменения моральнополитического и социально-психологического климата в обществе.
ИБ государства – это состояние государства, в котором ему не может быть нанесен
существенный ущерб путем оказания воздействия на его информационную сферу.
Обеспечение ИБ государства неразрывно связано с обеспечением национальной
безопасности.
В широком смысле ИБ - это состояние защищенности информационной среды
общества, обеспечивающее ее формирование, использование и развитие в интересах
граждан, организаций, государства.
В данном курсе наше внимание будет сосредоточено только на хранении, обработке и
передаче информации вне зависимости от того, каким образом она закодирована, кто или что
является ее источником. Поэтому термин «ИБ» будет использоваться в узком смысле.
Под ИБ в узком смысле мы будем понимать защищенность информации и
поддерживающей инфраструктуры от случайных или преднамеренных воздействий
естественного или искусственного характера, которые могут нанести неприемлемый ущерб
субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуре.
Защита информации - это комплекс мероприятий, направленных на обеспечение
информационной безопасности.
1.2. Объекты ИБ
К объектам ИБ относят:
- информационные ресурсы, содержащие сведения, отнесенные к какой-либо тайне, и
конфиденциальную
информацию,
представленную
в
виде
документированных
информационных массивов и баз данных;
- информационные системы (далее - ИС) - средства вычислительной и организационной
техники, сети и системы, общесистемное и прикладное программное обеспечение,
автоматизированные системы управления предприятиями (офисами), системы связи и
передачи данных, технические средства сбора, регистрации, передачи, обработки и
отображения информации, а также их информативные физические поля.
Материальной основой существования информации в ИС являются электронные и
электромеханические устройства (подсистемы), а также машинные носители. С помощью
устройств ввода или систем передачи данных (далее - СПД) информация попадает в ИС. В
системе информация хранится в запоминающих устройствах (далее - ЗУ) различных
уровней, преобразуется (обрабатывается) процессорами и выводится из системы с помощью
устройств вывода или СПД.
В качестве машинных носителей используются магнитные ленты, диски различных
типов, флеш-накопители. Ранее в качестве машинных носителей информации
использовались бумажные перфокарты и перфоленты, магнитные барабаны и карты.
Большинство типов машинных носителей информации являются съемными, т.е. могут
сниматься с устройств и использоваться или храниться (ленты, диски, флеш) отдельно от
устройств.
Таким образом, для обеспечения безопасности информации в ИС необходимо
защищать устройства (подсистемы) и машинные носители от несанкционированных
(неразрешенных) воздействий на них.
Однако такое рассмотрение ИС с точки зрения защиты информации является
неполным. Компьютерные системы относятся к классу человеко-машинных систем. Такие
системы эксплуатируются специалистами (обслуживающим персоналом) в интересах
пользователей. Причем, в последние годы пользователи имеют самый непосредственный
доступ к системе. В некоторых ИС (например, ПЭВМ) пользователи выполняют функции
обслуживающего персонала. Обслуживающий персонал и пользователи являются также
носителями информации. Поэтому от несанкционированных воздействий необходимо
защищать не только устройства и носители, но также обслуживающий персонал и
пользователей.
Таким образом, более полное определение ИС будет таковым:
ИС - взаимосвязанная совокупность средств, методов и персонала, которые
используются для хранения, обработки, передачи и получения информации в интересах
достижения поставленной цели.
При решении проблемы защиты информации в ИС необходимо учитывать также
противоречивость человеческого фактора системы. Обслуживающий персонал и
пользователи могут быть как объектом, так и источником несанкционированного
воздействия на информацию.
Понятие «объект защиты» или «объект» чаще трактуется в более широком смысле. Для
сосредоточенных ИС или элементов распределенных систем понятие «объект» включает в
себя не только информационные ресурсы, аппаратные, программные средства,
обслуживающий персонал, пользователей, но и помещения, здания, и даже прилегающую к
зданиям территорию.
Одними из основных понятий теории защиты информации являются понятия
«безопасность информации» и «защищенные ИС».
Безопасность (защищенность) информации в ИС - это такое состояние всех компонент
ИС, при котором обеспечивается защита информации от возможных угроз на требуемом
уровне. ИС, в которых обеспечивается безопасность информации, называются
защищенными.
Безопасность информации в ИС (ИБ) является одним из основных направлений
обеспечения безопасности государства, отрасли, ведомства, государственной организации
или частной фирмы.
ИБ достигается проведением руководством соответствующего уровня политики ИБ.
Одноименный документ разрабатывается и принимается как официальный руководящий
документ, ведомством, организацией. В документе приводятся цели политики
информационной безопасности и основные направления решения задач защиты информации
в ИС. В программах информационной безопасности содержатся также общие требования и
принципы построения систем защиты информации в ИС.
Под системой защиты информации в ИС понимается единый комплекс правовых норм,
организационных мер, технических, программных и криптографических средств,
обеспечивающий защищенность информации в ИС в соответствии с принятой политикой
безопасности.
Правильный подход к проблемам ИБ начинается с выявления субъектов
информационных отношений и интересов этих субъектов, связанных с использованием ИС.
Из этого положения можно вывести два важных следствия:
1. Трактовка понятия «ИБ» для разных категорий субъектов может существенно
различаться. Для иллюстрации достаточно сопоставить режимные государственные
организации и учебные институты. В первом случае «пусть лучше все сломается, чем враг
узнает хоть один секретный бит», во втором - «да нет у нас никаких секретов, лишь бы все
работало».
Зачем надо защищаться? Ответов на этот вопрос может быть множество, в зависимости
от структуры и целей предприятия. Для одних первой задачей является предотвращение
утечки информации (маркетинговых планов, перспективных разработок и т.д.) конкурентам.
Другие могут пренебречь конфиденциальностью своей информации и сосредоточить
внимание на ее целостности.
Например, для банка важно в первую очередь обеспечить неизменность
обрабатываемых платежных поручений, чтобы злоумышленник не смог несанкционированно
дописать в платежку еще один нолик или изменить реквизиты получателя. Для третьих на
первое место поднимается задача обеспечения доступности и безотказной работы
информационных систем.
Для провайдера Internet-услуг, компании, имеющей Web-сервер, или оператора связи
первейшей задачей является именно обеспечение безотказной работы всех (или наиболее
важных) узлов своей информационной системы. Расставить такого рода приоритеты можно
только по результатам анализа деятельности предприятия.
2. ИБ не сводится исключительно к защите от несанкционированного доступа к
информации, это принципиально более широкое понятие. Субъект информационных
отношений может пострадать (понести убытки и/или получить моральный ущерб) не только
от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.
Более того, для многих открытых организаций (например, учебных) собственно защита от
несанкционированного доступа к информации стоит по важности отнюдь не на первом
месте. Главное для них - это обеспечение непрерывности работы информационной системы.
Согласно определению ИБ, она зависит не только от компьютеров, но и от
поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и
теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий
персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать
лишь то, как она влияет на выполнение ИС предписанных ей функций.
Обратим внимание, что в определении ИБ перед существительным «ущерб» стоит
прилагательное «неприемлемый». Очевидно, застраховаться от всех видов ущерба
невозможно, тем более невозможно сделать это экономически целесообразным способом,
когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба.
Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться
никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное
(денежное) выражение, а целью защиты информации становится уменьшение размеров
ущерба до допустимых значений.
1.3. Основные составляющие ИБ
ИБ - многогранная область деятельности, в которой успех может принести только
систематический, комплексный подход.
Цель ИБ - обеспечить бесперебойную работу организации и свести к минимуму ущерб
от событий, таящих угрозу безопасности, посредством их предотвращения и сведения
последствий к минимуму.
Основными задачами и составляющими ИБ является: обеспечение доступности,
целостности и конфиденциальности информационных ресурсов и поддерживающей
инфраструктуры.
Поясним эти понятия:
- доступность - возможность за приемлемое время получить доступ к информации или
требуемую информационную услугу;
- целостность информации - ее защищенность от разрушения и несанкционированного
изменения (модификации);
- конфиденциальность информации - защита от несанкционированного доступа к ней.
ИС создаются (приобретаются) для получения определенных информационных услуг.
Если по тем или иным причинам предоставить эти услуги пользователям становится
невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений.
Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как
важнейший элемент ИБ.
Особенно ярко ведущая роль доступности проявляется в разного рода системах
управления - производством, транспортом и т.п. Внешне менее драматичные, но также
весьма неприятные последствия - и материальные, и моральные - может иметь длительная
недоступность информационных услуг, которыми пользуется большое количество людей
(продажа железнодорожных и авиабилетов, банковские услуги и т.п.).
Целостность можно разделить на статическую (понимаемую как неизменность
информационных объектов) и динамическую (относящуюся к корректному выполнению
сложных действий (транзакций)). Средства контроля динамической целостности
применяются, в частности, при анализе потока финансовых сообщений с целью выявления
кражи, переупорядочения или дублирования отдельных сообщений.
Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация
служит «руководством к действию». Рецептура лекарств, предписанные медицинские
процедуры, набор и характеристики комплектующих изделий, ход технологического
процесса - все это примеры информации, нарушение целостности которой может оказаться в
буквальном смысле смертельным. Неприятно и искажение официальной информации, будь
то текст закона или страница Web-сервера какой-либо правительственной организации.
Конфиденциальность - самый проработанный аспект информационной безопасности.
Обеспечение конфиденциальности достигается использованием криптографии и
выполнением соответствующих организационных и технических мероприятий направленных
на выявление и блокирование возможных каналов утечки информации.
Почти для всех, кто реально использует ИС, на первом месте стоит доступность.
Практически не уступает ей по важности целостность - какой смысл в информационной
услуге, если она содержит искаженные сведения?
Наконец, конфиденциальные моменты есть также у многих организаций, которые
стараются не разглашать сведения о зарплате сотрудников, и отдельных пользователей
(например, пароли).
Впервые эти понятия вместе появились в 1974 году в статье «Защита информации в
компьютерных системах» (англ. The Protection of Information in Computer Systems),
написанной американскими инженерами Джеромом Зальцером и Михаэлем Шредером. В
этой статье безопасность определялась как «техники, которые контролируют, кто может
использовать или модифицировать компьютер или содержащуюся в нем информацию». При
этом авторы ссылались на других авторов, которые считали, что все нарушения безопасности
могут быть разбиты всего на 3 группы:
- неавторизованное использование,
- неавторизованное изменение,
- неавторизованное блокирование использования.
С тех пор и началось «победное шествие» этой триады по миру. В 1991 году эти
понятия наряду с другими принципами безопасности были закреплены в «Критериях оценки
безопасности информационной технологии» (англ. Information Technology Security Evaluation
Criteria, ITSEC), разработанных национальными организациями по стандартизации Франции,
Германии, Великобритании и Нидерландов. За этим документом исторически закрепилось
более короткое название – Белая книга.
В Украине эта триада вместе с понятием «наблюдаемость» появилась в 1999 году в
«Критериях оценки защищенности информации в КС от несанкционированного доступа»
(НД ТЗІ 2.5-004-99), которые базируются на американских «Федеральных критериях
безопасности информационной технологии» (Federal Criteria for Information Technology
Security) и «Канадских критериях оценки доверенного компьютерного продукта» (Canadian
Trusted Computer Product Evaluation Criteria).
Наблюдаемость в теории управления является свойством системы, показывающим,
можно ли по выходу полностью восстановить информацию о состояниях системы. Кроме
того, наблюдаемость и управляемость относятся к основным понятиям теории
автоматического регулирования, которые позволяют оценить структуру системы на этапе
анализа.
Систему обеспечения безопасности ИС можно разбить на следующие подсистемы:
- компьютерную безопасность;
- безопасность данных;
- безопасное программное обеспечение;
- безопасность коммуникаций.
Компьютерная безопасность обеспечивается комплексом технологических и
административных мер, применяемых в отношении аппаратных средств компьютера с целью
обеспечения доступности, целостности и конфиденциальности связанных с ним ресурсов.
Безопасность данных достигается защитой данных от неавторизованных, случайных,
умышленных или возникших по халатности модификаций, разрушений или разглашения.
Безопасное программное обеспечение представляет собой общецелевые и прикладные
программы и средства, осуществляющие безопасную обработку данных в системе и
безопасно использующие ресурсы системы.
Безопасность
коммуникаций
обеспечивается
посредством
аутентификации
телекоммуникаций за счет принятия мер по предотвращению предоставления
неавторизованным лицам критичной информации, которая может быть выдана системой в
ответ на телекоммуникационный запрос.
1.4. Управление информационной безопасностью
Обеспечение ИБ - это непрерывный процесс, основное содержание которого составляет
управление. ИБ невозможно обеспечить разовым мероприятием, поскольку средства защиты
нуждаются в постоянном контроле и обновлении.
Говоря об управлении, стоит упомянуть и о таком термине как «менеджмент». Оба
термина «управление» и «менеджмент» зачастую используются как синонимы, в то время
как между ними имеются существенные различия.
Английское слово «менеджмент» переводится как «управление». В Оксфордском
словаре английского языка менеджменту дается такая трактовка – «Менеджмент - это:
способ, манера общения с людьми; власть и искусство управления; особого рода умелость и
административные навыки, которым обычно обучают; орган управления - административная
единица, без которой не может существовать ни одна организация». Следует отметить, что
«менеджмент» обычно употребляется по отношению к людям, коллективам и организациям:
менеджмент означает управление этими субъектами.
По мнению ряда исследователей в теории управления, менеджмент - это
целенаправленное воздействие, согласующее совместную деятельность, а управление процесс выработки и осуществления управляющих воздействий.
Менеджмент или управление информационной безопасностью (далее - УИБ) - это
управление людьми, рисками, инцидентами, ресурсами, средствами защиты и т.п. УИБ
является неотъемлемым элементом управления предприятием и позволяет коллективно
использовать конфиденциальную информацию, обеспечивая при этом ее защиту, а так же
защиту вычислительных ресурсов.
УИБ - это циклический процесс, включающий:
• осознание степени необходимости защиты информации;
• сбор и анализ данных о состоянии информационной безопасности в организации;
• оценку информационных рисков;
• планирование мер по обработке рисков;
• реализацию и внедрение соответствующих механизмов контроля;
• распределение ролей и ответственности;
• обучение и мотивацию персонала;
• оперативную работу по осуществлению защитных мероприятий;
• мониторинг функционирования механизмов контроля,
• оценку их эффективности и соответствующие корректирующие воздействия.
Для обеспечения необходимого уровня ИБ (предприятия, учреждения и т.д.) на
предприятии создается система управления информационной безопасностью (далее - СУИБ).
Конечной целью создания такой системы является предотвращение или минимизация
ущерба (прямого или косвенного, материального, морального или иного), преднамеренно
наносимого злоумышленниками либо непреднамеренно - нерадивыми работниками
предприятия посредством нежелательного воздействия на информацию, ее носители и
процессы обработки.
СУИБ - это часть общей системы управления организации, основанной на оценке
бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг,
пересмотр, сопровождение и совершенствование ИБ. СУИБ включает в себя
организационную структуру, политики ИБ, планирование, должностные обязанности,
практики, процедуры, процессы и ресурсы.
Основной задачей системы является обеспечение необходимого уровня доступности,
целостности и конфиденциальности ресурсов и компонентов ИС.
Какие преимущества компании дает внедрение СУИБ и ее сертификация на
соответствие международным стандартам:
- повышение управляемости и надежности бизнеса компании;
- повышение защищенности ключевых бизнес-процессов компании;
- повышение доверия к компании как к партнеру, так и клиенту;
- соответствие компании требованиям международного стандарта подчеркивает
чистоту и прозрачность бизнеса компании;
- наличие СУИБ и международного сертификата упрощает процедуру выхода
компании на внешние рынки;
- международное признание и повышение авторитета компании как на внутреннем, так
и внешнем рынках;
- повышение доходности бизнеса в целом.
Для структурных подразделений компании внедрение СУИБ и ее сертификация на
соответствие международным стандартам дает следующие преимущества:
- cистематизация процессов обеспечения информационной безопасности;
- расстановка приоритетов компании в сфере ИБ;
- управление ИБ компании в рамках единой корпоративной политики;
- cвоевременное выявление и управление рисками;
- cнижение рисков от внутренних и внешних угроз;
- оптимизация управленческих процессов;
- повышение эффективности функционирования СУИБ и защищенности
информационных систем;
- повышение общей корпоративной культуры сотрудников и вывод управления
бизнесом на новый уровень.
1.5. Важность и сложность проблем ИБ
ИБ является одним из важнейших аспектов интегральной безопасности, на каком бы
уровне мы ни рассматривали последнюю - национальном, отраслевом, корпоративном или
персональном. Для иллюстрации этого положения приведем некоторые примеры реальных
угроз ИБ, которые разделим на три группы: сбои, вирусы и взломы.
Технические сбои
25 сентября 1983 года мир стоял в шаге от ядерной войны. Но страшную катастрофу
предотвратил подполковник Станислав Петров, заступивший на дежурство на командном
пункте предупреждения о ракетном нападении. Тогда советский спутник «засек» старт
американских ракет и компьютер выдал сигнал «Ракетное нападение», но, проанализировав
ситуацию, Петров посчитал, что срабатывание системы было ложным, и оказался прав.
Радары дальнего обнаружения, которые должны были «увидеть» ракету через 10 минут
после запуска, не подтвердили запуск. Подполковник получил… выговор от начальства за
то, что не успел занести сведения в журнал. Его подвиг оценили только в 2005 году, когда он
в штаб-квартире ООН в Нью-Йорке получил премию мира. А в 2012 году ему вручили
премию немецких СМИ в Баден-Бадене и награду в Дрездене.
В июле 1998 года американский ракетный крейсер «Йорктаун» был вынужден
вернуться в порт из-за многочисленных проблем с программным обеспечением. Таким
оказался побочный эффект программы ВМФ США по максимально широкому
использованию коммерческого программного обеспечения с целью снижения стоимости
военной техники.
В 2000 году программное обеспечение аппарата радиационной терапии «Theratron»,
которое было разработано компанией США «Multidata Systems International», неправильно
выполнило расчет дозировки лечебной дозы облучения и подвергло пациентов
Национального Института Онкологии Панамы воздействию смертельного уровня
радиации. В результате 8 человек погибли, 20 оказались в тяжелом состоянии.
В 2004 году компания США «Electronic Data Systems» разработала и внедрила сложную
компьютерную систему для Агентства Помощи Детям Великобритании. В результате самым
случайным образом 1,9 млн. человек необоснованно получили повышенные пособия, в то
время как выплаты для других 700 тысяч были значительно урезаны, объем невзысканных
алиментов и невыплаченных пособий достиг 3,5 млрд. фунтов стерлингов, оформление
пособий для 239 тысяч детей было задержано, 36 тысяч только что зарегистрированных в
системе формуляров где-то «потерялись». Общее количество документально
подтвержденных и зафиксированных в работе новой системы ошибок оказалось более 500.
В начале 2007 года около 17 тысяч пассажиров самолетов не смогли вылететь из
международного аэропорта Лос-Анджелеса из-за неполадок в программном обеспечении
компьютерной системы Агентства Таможенной и Пограничной Охраны США. Никто не мог
получить разрешения выехать из Штатов или въехать в США через аэропорт Лос-Анджелеса
в течение 8 часов.
19 ноября 2009 года массовая задержка и отмена рейсов самолетов гражданской
авиации на всей территории США была вызвана сбоем общей компьютерной системы,
которая объединяла планы полетов авиаперевозчиков. Только одна авиакомпания «AirTran
Airways» отменила 22 рейса. Лишившись возможности автоматического обмена данными,
диспетчеры аэропортов в разных регионах были вынуждены посылать планы полетов
операторам центров управления движением самолетов, которые в свою очередь вручную
вводили эти планы в электронные базы данных.
5 мая 2010 года в одной из самых популярных социальных сетей «Facebook»
произошел сбой, который позволил пользователям в течение некоторого времени
беспрепятственно заходить в приватные беседы других пользователей и получать доступ
к другой закрытой информации. Неисправность была связана с запуском компанией нового
софта. Этот «глюк» был достаточно быстро исправлен, однако в очередной раз привлек
внимание к проблеме приватности в социальных сетях.
28 марта 2011 года выход из строя компьютерной программы, отвечающей за
планирование рейсов, двух американских авиакомпаний привел к отмене 152 рейсов и
задержкам многих других. Число поневоле задержавшихся пассажиров достигло как
минимум 12 тысяч человек.
30 января 2012 года вышла из строя одна из главных компьютерных сетей
авиационной отрасли Великобритании. Крушение системы «Amadeus», продолжавшееся три
часа, также задело турагентов, которые пользуются онлайн-сервисами для заказа билетов на
самолет. Проблемы также затронули стойки регистрации в аэропортах, где сотрудники
должны были вручную вводить данные пассажиров, вместо того, чтобы сканировать их
паспорта.
10 февраля 2012 года произошел технический сбой в компьютерной системе
Национального банка Австралии, который стал причиной крупных неприятностей
общенационального масштаба. Владельцы электронных карточек не могли снять деньги в
банкоматах, провести другие операции.
В полночь с 30 июня на 1 июля 2012 года процесс синхронизации эталонных мировых
атомных часов Земли с астрономическим временем, во время которого часы были
приостановлены на одну секунду, привёл к непредвиденному коллапсу многих приложений
и сервисов. Проблема была вызвана зацикливанием из-за неготовности обработать появление
лишней секунды. В итоге, испытывали проблемы с работой некоторые сайты (в том числе
Reddit, LinkedIn и Mozilla), наблюдалось массовое зависание серверных приложений,
отключились VPN-туннели на базе OpеnVPN, зависали Linux-серверы с вручную собранным
ядром.
19 сентября 2013 года в результате программного сбоя один из московских банкоматов
вместо 40 тысячных купюр выдал одному «счастливчику» столько же 5-тысячных. В итоге
на руках у него оказалось 200 тысяч рублей. Почувствовав азарт, он запросил у банкомата
еще 4 раза по 40 тысяч и в результате снял 1 млн. рублей.
30 июля 2014 года Бюро по консульским вопросам Госдепартамента США заявило, что
испытывает технические неполадки паспортно-визовой системы, которые повлияли на
процесс выдачи виз во всем мире в результате выхода из строя компьютерной системы
обработки заявлений на выдачу въездных виз Соединенных Штатов гражданам других стран.
Вирусы
11 ноября 1983 года американский студент из Университета Южной Калифорнии Фред
Коэн составил программу, демонстрировавшую возможность заражения компьютера со
скоростью размножения вируса от 5 минут до 1 часа. На следующий год Коэн написал
работу, в которой не только предвосхитил опасности распространения вирусов по
компьютерным сетям, но и рассказал о возможности создания антивирусных программ.
19 января 1986 года первый вирус для MS-DOS «Brain» был разработан братьями
Амджата и Базита Алви из Пакистана. Он начал активно распространяться, передаваясь
по загрузочным секторам дискет, и через несколько месяцев вызвал настоящую эпидемию.
Обнаружен «Brain» был летом 1987 года. Только в США вирус заразил более 18 тысяч
компьютеров. В основе его разработки лежали благие намерения: программа должна была
наказать местных пиратов, ворующих программное обеспечение у фирмы братьев. Кроме
того, вирус оказался еще и первым стелс-вирусом, полностью или частично скрывающим
свое присутствие в системе. Так, при попытке чтения заражeнного сектора, он «подставлял»
его незаражeнный оригинал.
2 ноября 1988 года был зафиксирован первый случай появления и «победного» шествия
сетевого червя, парализовавшего работу 6 тысяч узлов компании «ARPANET» в США.
Позднее в СМИ червь этот был назван в честь его автора (аспиранта факультета
Вычислительной техники Корнелльского университета Роберта Морриса), а хакерами назван
«Великим Червём».
Ущерб от червя Морриса был оценён примерно в 100 миллионов долларов. Зачем же
Роберт Моррис «натравил» своего Червя на крупнейшую организацию Штатов? Ответ на
этот вопрос говорит о чрезвычайной эгоистичности изобретателя: компьютерный гений
стремился проверить способности своего детища на практике.
На суде Роберту Моррису грозило до 5 лет лишения свободы и штраф в размере 250
тысяч долларов, однако, принимая во внимание смягчающие обстоятельства, суд приговорил
его к 3 годам условно, 10 тысячам долларов штрафа и 400 часам общественных работ.
Тогда же зародилась идея привлечь общественное внимание к возникшей проблеме.
Представителями Ассоциации компьютерного оборудования было вынесено постановление
отмечать 30 ноября Международный день защиты информации, по-английски - World
Security Day. В рамках данного весьма полезного как для владельцев интернет-компаний,
производителей цифровой техники, так и для пользователей ПК праздника проводятся
всевозможные познавательные мероприятия. На организуемых в этот день конференциях
научные деятели обсуждают злободневные вопросы по компьютерной безопасности и пути
их решения.
В 1989 году широкое распространение получили вирусы «DATACRIME», которые
начиная с 12 октября разрушали файловую систему, а до этой даты просто размножались.
Эта серия компьютерных вирусов начала распространяться в Нидерландах, США и Японии и
поразила около 100 тысяч компьютеров только в Нидерландах (что составило около 10 % от
их общего количества в стране).
В 1998 году тайваньским студентом был создан вирус «WIN.CIH» и разослан в ряд
электронных конференций Интернет. 26 апреля 1999 года, в годовщину Чернобыльской
аварии, вирус активизировался и уничтожил данные на жёстких дисках. На некоторых
компьютерах было испорчено содержимое микросхем «BIOS». Именно совпадение даты
активации вируса и даты аварии на ЧАЭС дали вирусу второе название - «Чернобыль». По
различным оценкам, от вируса пострадало около полумиллиона компьютеров по всему миру.
26 марта 1999 года вирус «Melissa» стал главной темой в интернете и мировых СМИ.
По приблизительным оценкам, вирус поразил не менее 20% всех деловых компьютеров.
Вирус использовал «Microsoft Outlook» для отсылки самого себя на 50 адресов из списка
контактов пользователя. Таким образом, жертва сама предоставляла базу данных для
заражения. Ущерб от вируса составил $600 млн.
В 2000 году на Филиппинах был разработан уникальный почтовый вирус «LoveLetter»,
который разошелся миллионным тиражом по всему миру. Он представлял собой электронное
письмо с фразой «ILOVEYOU» и вложенным вирусным скриптом. После открытия это
письмо рассылало само себя от имени пользователя всем его контактам. В итоге, ущерб, в
процессе его искоренения составил около $10-15 млрд. За его разрушительность, он даже
попал в книгу рекордов Гиннесса.
13 июля 2001 года началась атака червя «Code Red» на веб-сервер «Microsoft Internet
Information Server». Вирус заменял содержимое сайта, и при заходе на него высвечивалось
сообщение «Hacked By Chinese!». После этого вирус начинал поиск других уязвимых сайтов.
Приблизительно через 20 дней все веб сайты должны были начать DDoS-атаку на
определенные IP адреса, включая Web-сервер Белого Дома. Меньше чем через неделю, вирус
заразил около 400 тысяч серверов. Ущерб составил $3 млрд.
После трагических событий 11 сентября 2001 года в Нью-Йорке появился червь
«Nimda» (слово «admin», написанное в обратном порядке). Попадая на компьютер, вирус
сразу назначал себе права администратора, после чего изменял и нарушал конструкцию
сайтов, блокировал доступ на хосты, IP-адреса и т.п. Делал он это настолько эффективно, что
уже через 22 минуты после своего запуска в сеть стал самым распространенным
компьютерным вирусом в сети Интернет. В результате ущерб составил $635 млн.
В 2003 году массовое заражение интернет-сайтов начали черви «Blaster» и «Sobiq». За
первые же сутки «Sobiq» произвел более миллиона собственных копий. Целью вируса было
получить все возможные электронные адреса хранящиеся на компьютере и передать им свою
копию. Главной задачей «Blaster» была DDоS-атака на сайт windowsupdate.com - все
зараженные машины с 16 августа начали беспрерывно отправлять запросы на обновление
системы и сайт «упал», не выдержав нагрузки. Совокупный ущерб от червей составил $20
млрд.
В январе 2004 года был запущен червь «My Doom». Каждый последующий зараженный
компьютер отправлял спама больше, чем предыдущий. Кроме того, он изменял
операционную систему, блокируя доступ к сайтам антивирусных компаний, сайту
«Microsoft», новостным лентам. Этим вирусом была даже предпринята попытка DDоS-атаки
на сайт «Microsoft» - одновременно все множество зараженных компьютеров обрушило
огромное количество запросов на сайт с разных концов света.
В 2004 году немецкий школьник создал вирус «Sasser». Только в почтовой службе
Германии зараженными оказались до 300 тысяч терминалов, из-за чего сотрудники не могли
выдавать наличные деньги клиентам. Жертвами червя стали также компьютеры
инвестиционного банка «Goldman Sachs», Еврокомиссии, 19 региональных офисов
управления береговой охраны Британии. В одном из терминалов лондонского аэропорта
«Hithrow» у авиакомпании «British Airways» отказала половина всех компьютеров на стойках
регистрации пассажиров, а в американском городе Новый Орлеан до 500 больниц были
закрыты в течение нескольких часов. Пострадали также социальные и здравоохранительные
учреждения в Вашингтоне.
В 2005 году россиян Никита Кузьмин вместе со своими подельниками из Латвии и
Румынии создал вирус «Gozy». В 2010 году этот вирус поразил более 1 млн. компьютеров, а
сумма нанесенного ущерба составила около $50 млн. В числе инфицированных оказались
более 40 тысяч компьютеров на территории США, в том числе около 160 компьютеров
американского космического ведомства НАСА. Злоумышленники получали доступ к
банковской информации по всему миру и похищали деньги со счетов физических и
юридических лиц, а также правительственных учреждений.
В 2008 году в сети появился червь «Conficker». Он атаковал операционные системы
семейства «Windows», с целью поиска их уязвимостей, связанных с переполнением буфера.
На январь 2009 года вирус поразил 12 млн компьютеров во всем мире. Вирус нанес такой
вред, что компания «Microsoft» обещала $250 000 за информацию о создателях вируса.
В 2013 году был обнаружен шпионский вирус «Красный октябрь», который
интересовался конфиденциальной информацией, скрытой от общего доступа. Разработчики
вируса работали целых 5 лет и смогли собрать целую сеть из программ которые были
связаны между собой и даже могли фильтровать информацию по тематике. Под
наблюдением у вируса оказалось более 300 организаций Восточной Европы, Азии, Африки и
Северной Америки. Среди жертв вируса оказались НАТО, ядерные объекты Европы,
космические институты бывших союзных республик.
В 2014 году был обнаружен шпионский вирус «Маска», которому удалось атаковать
380 целей. Разработчики вируса атаковали государственные учреждения, дипломатические
офисы и посольства, крупнейшие энергетические и нефтегазовые компании мира,
исследовательские организации, политических и гражданских активистов. Больше всего
нападений было в Марокко, Бразилии и Великобритании. В результате были заражены
компьютеры в 31 стране. Группа работала и оставалась незамеченной целых 7 лет. Главной
их целью был сбор ценной информации из зараженных систем: документы, ключи
шифрования, файлы для управления удаленным доступом к компьютеру, настройки
зашифрованных сетей.
Взломы
В 1999 году 16-летний хакер Джонатан Джеймс нанес ущерб НАСА в $1,7 млн. Джеймс
осуществил первый в истории взлом сервера НАСА и украл несколько файлов, включая
исходный код международной орбитальной станции. Ему даже удалось избежать тюрьмы,
так как на момент преступления он был несовершеннолетним.
В 2000 году англичанин Гари Маккиннон совершил крупнейший по масштабу взлом
государственных информационных систем США, ущерб от которого составил $800 тыс. Ему
удалось проникнуть в 97 компьютеров различных ведомств, включая американское
космическое агентство NASA и Пентагон.
В 2005 году хакерская группа бразильца Валдира Пауло де Алмейда успела украсть, с
помощью «троянов» и фишинг-атак (кража данных кредитных карт), более $37 млн.
Масштабы их деятельности были настолько огромными, что на момент задержания, они
рассылали около 3 млн. зараженных писем в день, различным пользователям, которые
должны были стать их очередными «жертвами».
В июне 2007 года была взломана сеть Пентагона: 1500 сотрудников остались без
электронной почты, а часть внутренней переписки была похищена. Следствие обнаружило,
что следы хакеров ведут в Китай. Вскоре в атаках на свои серверы китайцев обвинили
Англия, Германия, Франция и Новая Зеландия. В целом, в 2006 году Пентагоном было
зарегистрировано около шести миллионов попыток проникновения в его сеть. К 2008 году
количество подобных попыток возросло до 360 млн.
В июне 2007 году веб-сайты правительства, банков и СМИ Эстонии подверглись DDosатаке из-за решения эстонского правительства о перенесении памятника советскому солдату.
Вскоре они вызвали отключение веб-сайтов эстонских министерств иностранных дел и
юстиции. Кибератаки продолжались несколько недель и для атак было использовано 100 000
компьютеров.
В 2009 году британские и канадские ИT-эксперты обнаружили хакерскую сеть
«Ghostnet», взломавшую почти 1300 компьютеров в министерствах, посольствах и
неправительственных организациях в 103 странах мира. Следы снова вели в Китай.
С октября 2007 по март 2009 года украинские иммигранты Юрий Ракушинец, Иван
Билце и Ангелина Китаева взломали банкоматы международного банка «Citibank», в
результате чего, хакеры получили доступ к пин-кодам кредиток клиентов. Было украдено
более $2млн.
Осенью 2009 года, многие вкладчики банков Германии были «удивлены», когда, в один
«прекрасный» день, обнаружили, что баланс на их счетах равен нулю. Причиной всему,
оказался банковский троян «URLzone», запущенный с территории Украины. Хакеров,
создавших его обнаружить не удалось, а вот немецкие граждане, все же лишились 300 тыс.
евро.
1 октября 2013 года реестры Министерства юстиции Украины атаковали хакеры, что
привело к коллапсу работу нотариусов, банков и подразделений ГАИ, Укргосреестра по всей
Украине: у госпредприятия «Информцентр Минюста» в одночасье прекратили работать все
сайты. Два дня не было возможности совершать сделки с любым имуществом, подлежащим
регистрации смены собственника - а это недвижимость, земля, транспорт.
В 2014 году появилась хакерская группа «КиберБеркут», которая постоянно наносит
киберудары по украинским инфоресурсам. Так, 23 мая была заблокирована работа
электронной системы ЦИК Украины, 25 мая - компьютерной сети администрации
Днепропетровской области, 8 июля - компьютерной сети «ПриватБанка», 29 июля - сайта
Президента Украины.
Понятно, что подобных примеров множество, можно привести и другие случаи недостатка в нарушениях ИБ нет и не предвидится.
Некоторые статистические данные
Агентство «Bloomberg», опираясь на данные фирмы «Akamai Technologies», составило
рейтинг стран, наиболее опасных в отношении исходящих оттуда хакерских атак. Как
и ожидалось, лидером является Китай.
Общее число кибератак на сайты в 2012 году выросло на 81% - и это с учётом
сокращения числа уязвимостей на 20%. Доля ежедневных веб-атак выросла на 36%, а
количество уникальных образцов вредоносного кода в мире достигло 403 млн. В сегменте
мобильных устройств рост уязвимости в 2012 году составил 93%, при этом наблюдается
наиболее интенсивный рост угроз для мобильной ОС Android.
К концу 2012 года также заметно увеличилось количество целевых атак. Причём если
прежде они были направлены на правительственные органы, то в прошлом году перечень их
целей заметно расширился за счёт бизнес-структур. При этом 58% атак нацелены не на
менеджмент, а на обычных сотрудников отдела кадров, связей с общественностью, продаж, у
которых может не быть доступа к нужной информации, но которые могут послужить
«входом» в компанию.
На КНР приходится 41% всех хакерских атак, совершенных в мире в течение
последнего квартала 2012 года. Именно эти данные взяты за основу при составлении
рейтинга. Причем в Китае происходит бурный рост количества кибератак. По сравнению с
предыдущим кварталом доля КНР выросла на 33%, а в сравнении с четвертым кварталом
предыдущего года – на 13%.
На втором месте с большим отставанием идут США, на долю которых приходится 10%
всего хакерского трафика. По сравнению с третьим кварталом 2012 года произошло
сокращение на 3%, в годовом исчислении цифра осталась неизменной.
На третьем месте – Турция. На ее долю приходится 4,7% всех атак, что больше на 0,4%,
чем было во втором квартале, но меньше, чем в 2012 году, когда эта доля достигала 5,6%.
Четвертое место занимает Россия. Ее доля в четвертом квартале составила 4,3%
мировых хакерских атак. Тем не менее заметно улучшение ситуации. Во втором квартале
этот показатель составлял 4,7%, а годом ранее – 6,8%. Как минимум 40 корпораций
становились целью кибератак, исходивших из России и Восточной Европы. Среди них
«Apple», «Facebook» и «Twitter».
Целью хакеров была добыча засекреченной корпоративной информации, особенно
интеллектуальной собственности, которую можно было бы продать по подпольным каналам.
Это касается в первую очередь «Apple». Раньше такие атаки исходили в основном из Китая.
Службы кибербезопасности корпораций особо отмечали особую изощренность и высокий
уровень совершенных нападений.
«Facebook» сообщал, что он подвергся атаке, которая использовала слабые места сайта,
разработанного для мобильных устройств. «Apple» заявляла об аналогичном нападении. В
ходе расследования подозрение пало на криминальные группы хакеров из России или
Восточной Европы. Удалось выяснить, что как минимум один сервер, использованный
хакерами, находился на Украине.
На пятом месте в рейтинге – Тайвань, входящий в состав Китая. На его долю
приходится 3,7% всех хакерских атак. По сравнению с последним кварталом предыдущего
года она сократилась в два раза. Любопытно, что, оставаясь одной из самых опасных стран в
плане киберпреступности, Тайвань еще и является лакомым куском для хакеров. 12,7%
хакерских атак в мире совершается на компьютеры в этой стране.
На шестом месте идет еще одна развивающаяся страна – Бразилия. По итогам
последнего квартала прошлого года на ее долю пришлось 3,3% всех хакерских атак в мире.
На Румынию пришлось 2,8% всех хакерских атак в мире в последнем квартале
прошлого года, в результате чего страна очутилась на седьмом месте в рейтинге. Эта доля
немного выросла – на 0,2% по сравнению с результатами последнего квартала 2012 года.
Индия очутилась на восьмом месте рейтинга с долей 2,3%. На девятом – Италия с
долей в 1,6%, а замыкает десятку Венгрия, на которую пришлось 1,4% всех хакерских атак в
мире.
На данный момент самой изощренной из раскрытых кибератак считается атака вируса
«Eurograbber» 2012 года, в ходе которой было украдено 36 млн. евро. Были взломаны счета
свыше 30 тысяч клиентов из более чем 30 банков четырех европейских стран, а
использованное вредоносное ПО поразило как ПК, так и мобильные телефоны.
В целом, киберпреступления ежегодно наносят ущерб мировой экономике в размере
$445 млрд, говорится в исследовании Центра стратегических и международных
исследований. Больше всего угрозу представляют финансовые и энергетические компании, а
также розничный бизнес.
В 2011 году из-за киберпреступлений пострадали как минимум 40 млн американцев, а
также одна неназванная нефтяная компания, чьи данные по разведке месторождений попали
к хакерам. США, Китай, Япония и Германия ежегодно теряют около $200 млрд. Потери,
связанные с личными данными граждан, оцениваются в рекордные $150 млрд.
Также сообщается, что в США порядка 40 млн людей, около 15% всего населения,
сталкивались с кражей личной информации хакерами. В Турции от подобного рода
преступлении пострадали 54 млн человек, в Германии - 16 млн, в Китае - более 20 млн
человек.
В таких условиях системы информационной безопасности должны уметь
противостоять разнообразным техническим сбоям и атакам, как внешним, так и внутренним,
атакам автоматизированным и скоординированным.
Контрольные вопросы
1. Что такое информационная опасность?
2. Что такое информационная угроза?
3. Что такое информационная безопасность?
4. Что такое защита информации?
5. Что относится к объектам информационной безопасности?
6. Какие свойства информации надо защищать?
7. На какие 2 вида можно разделить целостность?
8. На какие подсистемы можно разбить систему обеспечения безопасности ИС?
9. Чем отличаются термины «менеджмент» и «управление»?
10. Что такое управление информационной безопасностью?
11. Что такое система управления информационной безопасностью?
12. На какие 3 группы можно разделить реальные угрозы ИБ?
13. Когда и кто создал первую в мире программу заражения компьютеров?
14. Когда появился и как назывался первый в мире стелс-вирус?
15. Когда появился и как назывался первый в мире сетевой червь?
16. С каким вирусом связано появление Международного дня защиты информации?
17. Кто и когда создал вирус «Чернобыль»?
18. Как называются выявленные в последние годы 2 шпионских вируса?
19. Как называется хакерская группа, наносящая киберудары по украинским
инфоресурсам в 2014 году?
2. Оценочные стандарты информационной безопасности
2.1. Роль стандартов в сфере ИБ
В общем случае стандартом принято называть документ, в котором устанавливаются
требуемые характеристики продукции, правила осуществления и характеристики процессов
производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения
работ или оказания услуг. Стандарт может задавать и другие требования - например, к
символике или терминологии.
Цель:
1) обеспечение необходимого уровня качества продуктов, товаров и услуг;
2) обеспечения единых характеристик продуктов, товаров и услуг.
Причиной необходимости использования стандартов является то, что необходимость
соблюдения некоторых из них закреплена законодательно. Реальные причины гораздо
глубже - обычно стандарт является обобщением опыта лучших специалистов в той или иной
области, и потому представляет собой надёжный источник оптимальных и проверенных
решений.
В зависимости от статуса стандарты делятся на:
1) международные – стандарты, принятые международной организацией по
стандартизации;
2) региональные – стандарты, принятые региональной организацией по
стандартизации;
3) национальные – стандарты, принятые национальным органом стандартизации;
4) ведомственные – стандарты, принятые органом стандартизации определенного
ведомства.
В зависимости от специфики объекта стандартизации установлены следующие виды
стандартов:
1) основополагающий стандарт – стандарт, имеющий широкую сферу распространения
или содержащий общие положения для определенной области (организационнометодические, общетехнические и терминологические);
2) стандарт на методы (методики) испытания (измерения, анализа, контроля) –
стандарт, устанавливающий методы испытания, например, использование статистических
методов и порядок проведения испытаний;
3) стандарт на продукцию – стандарт, устанавливающий требования, которым должно
удовлетворять изделие (группа изделий), чтобы обеспечить свою соответствие назначению;
4) стандарт на процесс – стандарт, устанавливающий требования, которым должен
удовлетворять процесс, чтобы обеспечить свое соответствие назначению;
5) стандарт на услугу – стандарт, устанавливающий требования, которым должна
удовлетворить услуга, чтобы обеспечить свое соответствие назначению;
6) стандарт на совместимость продукции, услуг или систем в их совместном
использовании;
7) стандарт общих технических требований – содержит перечень характеристик,
значения которых или другие данные устанавливаются для изделия, процесса или услуги в
каждом случае отдельно.
Стандартизация в области ИБ необходима по трем основным причинам:
1) необходимость выработки единых требований по ИБ (единый набор требований);
2) необходимость выработки единых подходов к решению проблем ИБ;
3) необходимость выработки единых качественных показателей для оценки
безопасности ИС и средств защиты.
Основными областями стандартизации ИБ являются:
- аудит ИБ;
- модели ИБ;
- методы и механизмы обеспечения ИБ;
- криптография;
- безопасность межсетевых взаимодействий;
- управление ИБ.
Потребители (заказчики) продуктов информационных технологий без стандартов не
смогут сформулировать свои требования по ИБ производителям информационных систем
(нужны какие-то критерии, показатели, единицы измерения ИБ и т.д.).
Производители продукции ИТ и средств защиты (программных, технических)
нуждаются в стандартах для того, чтобы можно было бы объективно оценить свою
продукцию с точки зрения обеспечения ИБ, то есть СЕРТИФИЦИРОВАТЬ ее. Им также
необходим стандартный набор требований для того, чтобы ограничить фантазию заказчика и
заставить выбирать конкретные требования из этого набора.
Стандарты нужны экспертам по ИБ и специалистам по сертификации как инструмент
для оценки уровня безопасности, обеспечиваемого конкретными механизмами и средствами
защиты информации (техническими, программными и т.д.) либо комплексами таких средств.
Международные организации по стандартизации, входящие в структуру ООН:
- ISO (International Organization for Standardization – Международная организация по
стандартизации) - серии стандартов ISO;
- IEC (International Electrotechnical Commission – Международная электротехническая
комиссия) - серии стандартов IEC;
- ITU-T (International Telecommunication Union - Telecommunications – Международный
союз по телекоммуникации) - стандарты серии X (сети передачи данных, взаимосвязь
открытых систем и безопасность).
В настоящее время существует довольно много стандартов, а также других
нормативных и руководящих документов в области ИБ. Все их рассмотреть в рамках
данного курса не представляется возможным. Поэтому мы будем рассматривать только
базовые стандарты в области ИБ, которыми руководствуются при создании, сертификации и
эксплуатации СУИБ.
Эти стандарты можно разбить на две группы.
1 группа - оценочные стандарты. Они предназначены для оценки и классификации ИС
и средств защиты информации по требованиям безопасности. Ими руководствуются для
того, чтобы ответить на вопрос: Соответствует ли ваша ИС и ваши механизмы и средства
защиты требованиям безопасности?
К ним относятся:
№
1
2
3
4
5
6
Наименование стандарта
Критерии оценки доверенной компьютерной
системы (Trusted Computer System Evaluation
Criteria, TCSEC)
Критерии оценки безопасности
информационных технологий (Information
Technology Security Evaluation Criteria,
ITSEC)
Федеральные критерии безопасности
информационной технологии (Federal Criteria
for Information Technology Security)
Канадские критерии оценки доверенного
компьютерного продукта (Canadian Trusted
Computer Product Evaluation Criteria)
Общие критерии безопасности
информационной технологии (Common
Criteria for Information Technology Security
Evaluation, CCITSE)
Критерии оценки безопасности
информационной технологии (Evaluation
Criteria for Information Technology Security)
Год
Страна
Обозн.
1985
США
Оранжевая
книга
1991
Франция,
Германия,
Великобритания,
Нидерланды
Белая
книга
1993
США
1993
Канада
1996
США, Канада,
Франция,
Великобритания,
Нидерланды
Общие
критерии
1999
ISO/IEC
15408
Базовые документы
«ОРАНЖЕВАЯ КНИГА»
(TCSEC),1985
«Канадские
критерии»,
1993
«Федеральные
критерии».
Рабочая версия,
1993
Великобритания. «Уровни
уверенности»,1989
«Германские критерии»
ITSEC,
1991
«Общие критерии».
Версия 1.0, 1996.
Версия 2.0, 1998.
Версия 2.1, 1999.
«Французские критерии»
2 группа - так называемые спецификации. Они регламентируют различные вопросы
реализации и использования методов и средств защиты информации. Ими руководствуются
для того, чтобы ответить на вопрос: Как обеспечить информационную безопасность, какие
подходы, какие методы и какие средства необходимо для этого использовать?
К ним относятся :
№
1
2
3
4
5
Наименование стандарта
Архитектура безопасности для
взаимодействия открытых систем (Security
architecture for Open Systems Interconnection)
Свод практических правил УИБ (Code of
Practice for Information Security Management)
Свод практических правил УИБ
СУИБ. Свод норм и правил УИБ
СУИБ. Требования
Год
Страна
Обозн.
1991
ITU-Т
Х.800
1995
Великобритания
BS 7799
2000
2005
2005
ISO/IEC
ISO/IEC
ISO/IEC
17799
27002
27001
Далее мы рассмотрим более подробно вышеназванные стандарты.
2.2. «Оранжевая книга» (TCSEC)
История стандартизации ИБ началась в январе 1981 года созданием Центра
компьютерной безопасности Министерства обороны США, перед которым была поставлена
задача определения пригодности предлагаемых различными разработчиками компьютерных
систем. Позднее, в сентябре 1985 года, этот центр был переименован в Национальный центр
компьютерной безопасности США (англ. National Computer Security Center, NCSC).
В 1983 году центром был разработан стандарт «Критерии оценки доверенных
компьютерных систем» (англ. Trusted Computer System Evaluation Criteria, TCSEC), по цвету
своей обложки более известный как «Оранжевая книга», который стал первым в истории
общедоступным оценочным стандартом ИБ.
Разработка и публикация TCSEC стали важнейшей вехой в становлении теории ИБ.
Такие базовые понятия, как «политика безопасности», «монитор безопасности обращений»
или «администратор безопасности» впервые в открытой литературе появились именно в
TCSEC.
TCSEC определяет доверенную систему как «систему, использующую достаточные
аппаратные и программные средства, чтобы обеспечить одновременную обработку
информации разной степени секретности группой пользователей без нарушения прав
доступа».
Доверенность систем оценивается по двум основным критериям:
1. Политика безопасности - набор законов, правил и норм поведения, определяющих,
как организация обрабатывает, защищает и распространяет информацию. В частности,
правила определяют, в каких случаях пользователь имеет право оперировать с
определенными наборами данных. Чем надежнее система, тем строже и многообразнее
должна быть политика безопасности. В зависимости от сформулированной политики можно
выбирать конкретные механизмы, обеспечивающие безопасность системы. Политика
безопасности - это активный компонент защиты, включающий в себя анализ возможных
угроз и выбор мер противодействия.
2. Гарантированность - мера доверия, которая может быть оказана архитектуре и
реализации системы. Гарантированность можно определить тестированием системы в целом
и ее компонентов. Гарантированность показывает, насколько корректны механизмы,
отвечающие за проведение в жизнь политики безопасности. Гарантированность можно
считать пассивным компонентом защиты, надзирающим за самими защитниками.
Важным средством обеспечения безопасности является механизм подотчетности
(протоколирования). Доверенная система должна фиксировать все события, касающиеся
безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом
регистрационной информации.
При оценке степени гарантированности, с которой систему можно считать доверенной,
центральной является концепция надежной вычислительной базы. Вычислительная база - это
совокупность защитных механизмов компьютерной системы (включая аппаратное и
программное обеспечение), отвечающих за проведение в жизнь политики безопасности.
Доверенность вычислительной базы определяется исключительно ее реализацией и
корректностью исходных данных, которые вводит административный персонал (например,
это могут быть данные о степени благонадежности пользователей).
Основное назначение надежной вычислительной базы - выполнять функции монитора
обращений, то есть контролировать допустимость выполнения субъектами определенных
операций над объектами. Каждое обращение пользователя к программам или данным
проверяется на предмет согласованности со списком действий, допустимых для
пользователя.
От монитора обращений требуется выполнение трех свойств:
 Изолированность. Монитор должен быть защищен от отслеживания своей работы;
 Полнота. Монитор должен вызываться при каждом обращении, не должно быть
способов его обхода;
 Верифицируемость. Монитор должен быть компактным, чтобы его можно было
проанализировать и протестировать, будучи уверенным в полноте тестирования.
Реализация монитора обращений называется ядром безопасности. Ядро безопасности это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше
свойств монитора обращений, ядро должно гарантировать собственную неизменность.
Границу доверенной вычислительной базы называют периметром безопасности. Как
уже указывалось, компоненты, лежащие вне периметра безопасности, вообще говоря, могут
не быть доверенными.
Согласно TCSEC политика безопасности должна включать в себя такие элементы:
- произвольное управление доступом;
- безопасность повторного использования объектов;
- метки безопасности;
- принудительное управление доступом.
Произвольное (или дискреционное) управление доступом - это метод разграничения
доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект
входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец
объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них
права доступа к объекту.
Безопасность повторного использования объектов - важное дополнение средств
управления доступом, предохраняющее от случайного или преднамеренного извлечения
конфиденциальной информации из «мусора». Безопасность повторного использования
должна гарантироваться для областей оперативной памяти (в частности, для буферов с
образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и носителей в
целом.
Для реализации принудительного управления доступом с субъектами и объектами
ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка
объекта - степень конфиденциальности содержащейся в нем информации.
Согласно «Оранжевой книге» метки безопасности состоят из двух частей - уровня
секретности и списка категорий. Уровни секретности образуют упорядоченное множество,
категории - неупорядоченное. Назначение последних - описать предметную область, к
которой относятся данные.
Принудительное (или мандатное) управление доступом основано на сопоставлении
меток безопасности субъекта и объекта.
Субъект может читать информацию из объекта, если уровень секретности субъекта не
ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта,
присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над
меткой объекта. Смысл сформулированного правила понятен - читать можно только то, что
положено.
Субъект может записывать информацию в объект, если метка безопасностио бъекта
доминирует над меткой субъекта. В частности, «конфиденциальный» субъект может
записывать данные в секретные файлы, но не может - в несекретные (разумеется, должны
также выполняться ограничения на набор категорий).
Описанный способ управления доступом называется принудительным, поскольку он не
зависит от воли субъектов (даже системных администраторов). После того, как
зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными
и права доступа.
Если понимать политику безопасности узко, то есть как правила разграничения
доступа, то механизм подотчетности является дополнением подобной политики. Цель
подотчетности- в каждый момент времени знать, кто работает в системе и что делает.
Средства подотчетности делятся на 3 категории:
- идентификация и аутентификация;
- предоставление доверенного пути;
- анализ регистрационной информации.
Кроме того, TCSEC определяет 4 уровня доверенности (безопасности) - D, C, B и A.
Уровень D предназначен для систем, признанных неудовлетворительными. По мере
перехода от уровня C к A к надежности систем предъявляются все более жесткие
требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным
возрастанием надежности. Таким образом, всего имеется 6 классов безопасности - C1, C2,
B1, B2, B3, A1.
Требуемый уровень безопасности ИС возрастает от группы D к группе А, а в пределах
одной группы - с увеличением номера класса. Каждый класс характеризуется определённым
фиксированным набором требований к подсистеме обеспечения ИБ, реализованной в ИС.
1. Группа С - Discretionary Protection (избирательная защита) - объединяет ИС,
обеспечивающие набор средств защиты, применяемых пользователем, включая средства
общего контроля и учета субъектов и их действий.
Эта группа имеет два класса:
1) класс С1 - Discretionary Security Protection (избирательная защита безопасности) объединяет ИС с разделением пользователей и данных;
2) класс С2 - Controlled Access Protection (защита контролируемого доступа) объединяет ИС, обеспечивающие более тонкие средства защиты по сравнению с ИС класса
С1, делающие пользователей индивидуально различимыми в их действиях посредством
процедур контроля входа и контроля за событиями, затрагивающими безопасность ИС и
изоляцию данных.
2. Группа В - Mandatory Protection (полномочная защита) - имеет три класса:
1) класс В1 - Labeled Security Protection (меточная защита безопасности) - объединяет
ИС, удовлетворяющие всем требованиям класса С2, дополнительно реализующие заранее
определенную модель безопасности, поддерживающие метки субъектов и объектов, полный
контроль доступа. Вся выдаваемая информация регистрируется, все выявленные при
тестировании недостатки должны быть устранены;
2) класс В2 - Structured Protection (структурированная защита) - объединяет ИС, в
которых реализована четко определенная и задокументированная формализованная модель
обеспечения безопасности, а меточный механизм разделения и контроля доступа,
реализованный в системах класса В1, распространен на всех пользователей, все данные и все
виды доступа. По сравнению с классом В1 ужесточены требования по идентификации
пользователей, контролю за исполнением команд управления, усилена поддержка
администратора и операторов системы. Должны быть проанализированы и перекрыты все
возможности обхода защиты. ИС класса В2 считаются «относительно неуязвимыми» для
несанкционированного доступа;
3) класс В3 - Security Domains (области безопасности) - объединяет ИС, имеющие
специальные комплексы безопасности. В ИС этого класса должен быть механизм
регистрации всех видов доступа любого субъекта к любому объекту. Должна быть
полностью исключена возможность несанкционированного доступа. Система безопасности
должна иметь небольшой объем и приемлемую сложность для того, чтобы пользователь мог
в любой момент протестировать механизм безопасности. ИС этого класса должны иметь
средства поддержки администратора безопасности; механизм контроля должен быть
распространен вплоть до сигнализации о всех событиях, затрагивающих безопасность;
должны быть средства восстановления системы. ИС этого класса считаются устойчивыми к
несанкционированному доступу.
3. Группа А - Verified Protection (проверяемая защита) - объединяет ИС, характерные
тем, что для проверки реализованных в системе средств защиты обрабатываемой или
хранимой информации применяются формальные методы. Обязательным требованием
является полная документированность всех аспектов проектирования, разработки и
исполнения ИС.
Выделен единственный класс А1 - Verified Desing (проверяемая разработка) объединяющий системы, функционально эквивалентные системам класса В3 и не требующие
каких-либо дополнительных средств. Отличительной чертой ИС этого класса является
анализ формальных спецификаций проекта системы и технологии исполнения, дающий в
результате высокую степень гарантированности корректного исполнения ИС. Кроме этого,
системы должны иметь мощные средства управления конфигурацией и средства поддержки
администратора безопасности.
Основное содержание требований по классам безопасности приведено в таблице.
Классы
С1 C2 B1 B2 B3 A1
1. Требования к политике безопасности
1.1. Произвольное управление доступом
+
+
=
=
+
=
1.2. Повторное использование объектов
–
+
=
=
=
=
1.3. Метки безопасности
–
–
+
+
=
=
Требования
1.4. Целостность меток безопасности
–
–
1.5. Принудительное управление доступом
–
–
2. Требования к подотчетности
2.1. Идентификация и аутентификация
+
+
2.2. Предоставление надежного пути
–
–
2.3. Аудит
–
+
3. Требования к гарантированности
3.1. Операционная гарантированность
3.1.1. Архитектура системы
+
+
3.1.2. Целостность системы
+
=
3.1.3. Анализ тайных каналов передачи информации
–
–
3.1.4. Надежное администрирование
–
–
3.1.5. Надежное восстановление
–
–
3.2. Технологическая гарантированность
3.2.1. Тестирование
+
+
3.2.2. Верификация спецификаций архитектуры
–
–
3.2.3. Конфигурационное управление
–
–
3.2.4. Надежное распространение
–
–
4.Требования к документации
4.1. Руководство пользователя по средствам
+
=
безопасности
4.2. Руководство администратора по средствам
+
+
безопасности
4.3. Тестовая документация
+
=
4.4. Описание архитектуры
+
=
+
+
+
+
=
=
=
=
+
–
+
=
+
+
=
+
+
=
=
=
+
=
–
–
–
+
=
+
+
–
+
=
+
+
+
=
=
+
=
=
+
+
–
–
+
+
+
–
+
+
=
–
+
+
+
+
=
=
=
=
+
+
+
+
=
+
+
+
=
+
+
+
Обозначения: «–» - нет требований к данному классу;
«+» - новые или дополнительные требования;
«=» - требования совпадают с требованиями предыдущего класса.
Очень важный методологический недостаток «Оранжевой книги» - явная ориентация
на производителя и оценщика, а не на покупателя систем. Она не дает ответ на вопрос, как
безопасным образом строить систему, как наращивать отдельные компоненты и
конфигурацию в целом. «Критерии» рассчитаны на статичные, замкнутые системы, которые,
вероятно, доминируют в военной среде, но крайне редки в среде коммерческой. Покупателям
нужны более динамичные и структурированные критерии.
Тем не менее следует подчеркнуть, что публикация «Оранжевой книги» без всякого
преувеличения стала эпохальным событием в области защиты коммерческих
информационных систем. Появился общепризнанный понятийный базис, без которого даже
обсуждение проблем безопасности было бы затруднительным. Именно в этом видится
главная ценность Критериев оценки надежных компьютерных систем Министерства
обороны США.
В настоящее время «Оранжевая книга» не используется для оценки информационных
систем и представляет интерес исключительно с исторической точки зрения.
2.3. Общие критерии - ISO/IEC 15408
В 1990 году рабочая группа WG3 подкомитета SC27 объединенного технического
комитета JTC1 Международной организации по стандартизации (ISO) и Международной
электротехнической комиссии (IEC) приступила к разработке «Критериев оценки
безопасности информационной технологии» (англ. Evaluation Criteria for IT Security, ECITS).
Несколько позже, в 1993 году, правительственные организации 6 стран - Канады, США,
Великобритании, Германии, Нидерландов и Франции - занялись составлением так
называемых «Общих критериев оценки безопасности информационных технологий» (англ.
Common Criteria for IT Security Evaluation, СCITSЕ). За этим документом исторически
закрепилось более короткое название – Общие критерии (ОК).
В 1996 году появилась первая версия ОК, которая была одобрена ISO/IEC. В результате
совместных усилий всех заинтересованных сторон 1 декабря 1999 года был введен в
действие стандарт ISO/IEC 15408-1999 «Критерии оценки безопасности информационной
технологии».
В России стандарт был принят как национальный в 2002 году и введён в действие с 1
января 2004 года. В 2008 году стандарт был обновлен. Однако Украина, к сожалению, этот
стандарт как национальный не приняла до сих пор.
Критерии предназначены служить основой при оценке характеристик безопасности
продуктов и систем ИТ. Заложенные в стандарте наборы требований позволяют сравнивать
результаты независимых оценок безопасности. На основании этих результатов потребитель
может принимать решение о том, достаточно ли безопасны ИТ-продукты или системы для их
применения с заданным уровнем риска.
Стандарт устанавливает основные понятия и принципы оценки безопасности ИТ, а
также определяет общую модель оценки, которой посвящены различные части стандарта,
предназначенного в целом для использования в качестве основы при оценке характеристик
безопасности продуктов ИТ. Стандарт ISO/IEC 15408 состоит из трех частей.
Часть 1 «Введение и общая модель» устанавливает общий подход к формированию
требований безопасности и оценке безопасности, на их основе разрабатываются основные
конструкции (профиль защиты и задание по безопасности) представления требований безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем ИТ.
Требования безопасности объекта оценки (далее - ОО) по методологии стандарта
определяются, исходя из целей безопасности, которые основываются на анализе назначения
ОО и условий среды его использования (угроз, предположений, политики безопасности).
Часть 2 «Функциональные требования безопасности» содержит универсальный каталог
функциональных требований безопасности (далее - ФТБ) и предусматривает возможность их
детализации и расширения по определенным правилам.
Часть 3 «Компоненты доверия к безопасности» включает в себя систематизированный
каталог требований доверия, определяющих меры, которые должны быть приняты на всех
этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что
они удовлетворяют предъявленным к ним функциональным требованиям. Здесь же
содержатся оценочные уровни доверия, определяющие шкалу требований, которые
позволяют с возрастающей степенью полноты и строгости оценить проектную, тестовую и
эксплуатационную документацию, правильность реализации функций безопасности ОО,
уязвимости продукта или системы ИТ, стойкость механизмов защиты и сделать заключение
об уровне доверия к безопасности объекта оценки.
Обобщая вышесказанное, можно отметить, что каркас безопасности, заложенный
частью 1 стандарта, заполняется содержимым из классов, семейств и компонентов в части 2,
а часть 3 определяет, как оценить прочность всего «строения».
Основные идеи стандарта
Под ОО понимается набор программных, программно-аппаратных и/или аппаратных
средств, возможно сопровождаемых руководствами.
В оценке характеристик безопасности ОО заинтересованы в основном 3 группы
пользователей: потребители, разработчики и оценщики.
Потребители по результатам оценки смогут решить, удовлетворяет ли ОО их
потребности в безопасности. Эти потребности обычно определяются как следствие анализа
рисков, а также направленности политики безопасности. Потребители могут также
использовать результаты оценки для сравнения различных ОО.
Стандарт предоставляет потребителям, особенно входящим в группы и сообщества с
едиными интересами, независимую от реализации структуру, называемую профилем защиты
(далее - ПЗ), для однозначного выражения их требований безопасности.
Стандарт предназначен для поддержки разработчиков при подготовке к оценке своих
ОО и содействии в ее проведении, а также при установлении требований безопасности,
которым должны удовлетворять эти ОО. Данные требования содержатся в зависимой от
реализации конструкции, называемой заданием по безопасности (далее - ЗБ). Эти ЗБ могут
базироваться на одном или нескольких ПЗ, чтобы показать, что ЗБ соответствуют
требованиям безопасности, предъявленных потребителями, которые установлены в данных
ПЗ.
Стандарт содержат критерии, предназначенные для использования оценщиками ОО
при формировании заключения о соответствии объектов оценки предъявленным к ним
требованиям безопасности.
Согласно стандарту безопасность связана с защитой активов. Активы - это сущности,
представляющие ценность для кого-либо. Среда, в которой размещаются эти активы,
называется средой функционирования.
Многие активы представлены в виде информации, которая хранится, обрабатывается и
передается продуктами ИТ таким образом, чтобы удовлетворить требования владельцев этой
информации. Владельцы информации вправе требовать, чтобы доступность,
распространение и модификация любой такой информации строго контролировались и
активы были защищены от угроз контрмерами. Рисунок иллюстрирует высокоуровневые
понятия безопасности и их взаимосвязь.
Многие владельцы активов не имеют знаний, опыта или ресурсов, необходимых для
вынесения суждения о достаточности и корректности контрмер, и при этом они могут не
захотеть полагаться исключительно на утверждения разработчиков этих контрмер.
Вследствие этого данные потребители могут захотеть повысить свою уверенность в
достаточности и корректности некоторых или всех контрмер путем заказа оценки этих
контрмер. Рисунок иллюстрирует понятия, используемые при оценке, и их взаимосвязь.
При оценке достаточность контрмер анализируется через конструкцию, называемую
ЗБ. Оно начинается с описания активов и угроз этим активам. Затем в ЗБ описываются
контрмеры (в форме целей безопасности) и демонстрируется, что данные контрмеры
являются достаточными, чтобы противостоять описанным угрозам: если контрмеры
осуществляют то, что заявлено по отношению к ним, то обеспечено противостояние угрозам.
Далее в ЗБ контрмеры делятся на две группы:
a) цели безопасности для ОО: они описывают контрмеры, корректность которых будет
определяться при оценке;
b) цели безопасности для среды функционирования: они описывают контрмеры,
корректность которых не будет определяться при оценке.
В ЗБ для ОО, корректность контрмер ИТ которого будут оценивать в процессе оценки,
требуется дальнейшая детализация целей безопасности для ОО в функциональных
требованиях безопасности (далее - ФТБ).
Таким образом, в ЗБ демонстрируется, что:
- ФТБ удовлетворяют целям безопасности для ОО;
- цели безопасности для ОО и цели безопасности для среды функционирования
противостоят угрозам;
- и ФТБ, и цели безопасности для среды функционирования противостоят угрозам.
Из этого следует, что корректный ОО (удовлетворяющий ФТБ) в сочетании с
корректной средой функционирования (удовлетворяющей целям безопасности) будет
противостоять угрозам.
Для определения корректности ОО могут выполняться различные виды деятельности,
такие как:
- тестирование ОО;
- исследование различных проектных представлений ОО;
- исследование физической безопасности среды разработки ОО.
ЗБ обеспечивает структурированное описание этих видов деятельности для
определения корректности в форме требований доверия к безопасности (далее - ТДБ).
По стандарту признают два типа оценки: оценка ЗБ/ОО и оценка ПЗ.
Оценка ЗБ/ОО проходит в два этапа:
- оценка ЗБ: на этом этапе определяют достаточность ОО и среды функционирования;
- оценка ОО: на этом этапе определяют корректность ОО; как отмечалось ранее, оценка
ОО не включает оценку корректности среды функционирования.
Результатом процесса оценки ОО будет:
- либо утверждение, что не все ТДБ удовлетворены, и поэтому не достигнут заданный
уровень доверия к тому, что ОО удовлетворяет ФТБ, которые изложены в ЗБ;
- либо утверждение, что все ТДБ удовлетворены, и поэтому достигнут заданный
уровень доверия к тому, что ОО удовлетворяет ФТБ, которые изложены в ЗБ.
Чтобы дать возможность заинтересованным группам или сообществам потребителей
выражать свои потребности безопасности и облегчить разработку ЗБ, стандарт предоставляет
две специальные конструкции: пакеты и ПЗ.
Пакет - это именованный набор требований безопасности. Пакеты делятся на:
- функциональные пакеты, включающие только ФТБ;
- пакеты доверия, включающие только ТДБ.
В то время, как ЗБ всегда описывает конкретный ОО (например, межсетевой экран Х-2,
версия 3.1), ПЗ предназначен для описания типа ОО (например, межсетевые экраны
прикладного уровня). Поэтому один и тот же ПЗ можно использовать в качестве шаблона
для множества различных ЗБ, которые будут использовать в различных оценках.
Обычно ЗБ описывает требования для ОО и его формирует разработчик ОО, в то время
как ПЗ описывает общие требования для некоторого типа ОО.
Поэтому ПЗ обычно разрабатывается:
- сообществом пользователей, стремящихся прийти к консенсусу относительно
требований для данного типа ОО;
- разработчиком ОО или группой разработчиков подобных ОО, желающих установить
минимальный базис для конкретного типа ОО;
- правительственной организацией или крупной корпорацией, определяющими свои
требования как часть процесса закупки.
ПЗ определяет допустимый тип соответствия ЗБ профилю защиты. То есть в ПЗ
устанавливают, какие типы соответствия являются допустимыми для ЗБ, а именно:
- если в ПЗ установлено, что требуется «строгое соответствие», то ЗБ должно в строгой
форме соответствовать ПЗ;
- если в ПЗ установлено, что требуется «демонстрируемое соответствие», то ЗБ должно
либо строго соответствовать ПЗ, либо его соответствие ПЗ может быть продемонстрировано.
Взаимосвязь между содержанием ПЗ, ЗБ и ОО продемонстрирована на рисунке 4.
Ожидаемые результаты оценки ПЗ и ЗБ/ОО:
- оценки ПЗ позволяют создавать каталоги (реестры) оцененных ПЗ;
- оценка ЗБ дает промежуточные результаты, которые затем используются при оценке
ОО;
- оценки ЗБ/ОО позволяют создавать каталоги (реестры) оцененных ОО.
На рисунке 5 продемонстрированы ожидаемые результаты оценки ПЗ и ЗБ/ОО.
Необходимо, чтобы оценка приводила к объективным и повторяемым результатам, на
которые затем можно ссылаться как на свидетельство даже при отсутствии абсолютно
объективной шкалы для представления результатов оценки безопасности ИТ. Наличие
совокупности критериев оценки является необходимым предварительным условием для того,
чтобы оценка приводила к значимому результату, предоставляя техническую основу для
взаимного признания результатов оценки различными органами оценки.
После оценки ЗБ и ОО у владельцев активов имеется доверие (как определено в ЗБ) к
тому, что ОО вместе со средой функционирования противостоят конкретным угрозам.
Результаты оценки могут быть использованы владельцем активов при принятии решения о
принятии риска, связанного с подверженностью активов воздействию конкретных угроз.
После ввода оцененного ОО в эксплуатацию сохраняется возможность проявления в
ОО ранее неизвестных ошибок или уязвимостей. В этом случае разработчик может внести
изменения в ОО (чтобы устранить уязвимости) или изменить ЗБ, чтобы исключить
уязвимости из области оценки. В любом случае прежние результаты оценки могут оказаться
уже недействительными. Если окажется необходимым восстановить уверенность, то
потребуется переоценка.
Контрольные вопросы
1. Какие 2 цели преследуют стандарты?
2. Как делятся стандарты в зависимости от статуса?
3. Как делятся стандарты в зависимости от специфики объекта стандартизации?
4. По каким 3 причинам необходима стандартизация в области ИБ?
5. Какие организации по стандартизации входят в структуру ООН?
6. На какие 2 группы можно разбить стандарты ИБ?
7. Какие есть области стандартизации ИБ?
8. На какой вопрос отвечают оценочные стандарты?
9. На какой вопрос отвечают стандарты - спецификации?
10. Когда и где началась история стандартизации ИБ?
11. Какое название имеет «Оранжевая книга»?
12. По каким 2 критериям оценивается доверенность систем?
13. Какие 3 свойства требуются от монитора обращений?
14. Какие элементы должна включать в себя политика безопасности?
15. На какие 3 категории делятся средства подотчетности системы?
16. Какое полное название имеют «Общие критерии»?
17. Как называется в «Общих критериях» независимая от реализации структура для
выражения требований безопасности?
18. Как называется в «Общих критериях» зависимая от реализации структура для
установления требований безопасности?
19. Какие 2 типа оценки признают по «Общим критериям»?
20. На какие пакеты делится набор требований безопасности в «Общих критериях»?
3. Стандарты управления информационной безопасностью
3.1. История развития стандартов управления информационной безопасностью
Сегодня безопасность цифрового пространства показывает новый путь национальной
безопасности каждой страны. В соответствии с ролью информации как ценного товара в
бизнесе, её защита, безусловно, необходима. Для достижения этой цели, каждой
организации, в зависимости от уровня информации (с точки зрения экономической
ценности), требуется разработка системы управления информационной безопасностью
(далее - СУИБ), пока существует возможность, защиты своих информационных активов.
В организациях, существование которых значительно зависит от информационных
технологий (далее - ИТ), могут быть использованы все инструменты для защиты данных.
Тем не менее, безопасность информации необходима для потребителей, партнеров по
сотрудничеству, других организаций и правительства. В связи с этим, для защиты ценной
информации, необходимо что бы каждая организация стремилась к той или иной стратегии и
реализации системы безопасности на её основе.
СУИБ является частью комплексной системы управления, основанной на оценке и
анализов рисков, для разработки, реализации, администрирования, мониторинга, анализа,
поддержания и повышения ИБ и ее реализации, полученных из целей организации и
требования, требования безопасности, используемых процедур и размерах и структуре ее
организации.
Зарождение принципов и правил управления ИБ началось в Великобритании в 1990-х
годах. В те годы Министерство торговли и промышленности Великобритании (англ.
Department of Trade and Industry, DTI) организовало рабочую группу для разработки свода
лучших практик по обеспечению ИБ.
В 1989 году DTI опубликовало первый стандарт в этой области, который назывался PD
0003 «Практические правила управления ИБ». Он представлял собой перечень средств
управления безопасностью, которые в то время считались адекватными, нормальными и
хорошими, применимыми как к технологиям, так и средам того времени. Документ DTI был
опубликован как руководящий документ британской системы стандартов (англ.
British Standard, BS).
В 1995 году Британский институт стандартов (англ. British Standards Institution, BSI)
принял национальный стандарт BS 7799-1 «Практические правила управления ИБ». Она
описывал 10 областей и 127 механизмов контроля, необходимых для построения СУИБ
(англ. Information Security Management System, ISMS), определенных на основе лучших
примеров из мировой практики.
Этот стандарт и стал прародителем всех международных стандартов СУИБ. Как и
любой национальный стандарт BS 7799 в период 1995-2000 годов пользовался, скажем так,
умеренной популярностью только в рамках стран британского содружества.
В 1998 году появилась вторая часть этого стандарта - BS 7799-2 «СУИБ Спецификация и руководство по применению», определившая общую модель построения
СУИБ и набор обязательных требований, на соответствие которым должна производиться
сертификация. С появлением второй части BS 7799, определившей, что должна из себя
представлять СУИБ, началось активное развитие системы сертификации в области
управления безопасностью.
В конце 1999 года эксперты Международной организации по стандартизации (англ.
International Organization for Standardization, ISO) и Международной электротехнической
комиссии (англ. International Electrotechnical Commission, IEC) пришли к выводу, что в
рамках существующих стандартов отсутствует специализированный стандарт управления
ИБ. Соответственно, было принято решение не заниматься разработкой нового стандарта, а
по согласованию с британским институтом стандартов, взяв за базу BS 7799-1, принять
соответствующий международный стандарт ISO/IEC.
В конце 1999 года обе части BS 7799 были пересмотрены и гармонизированы с
международными стандартами систем управления качеством ISO/IEC 9001 и экологией
ISO/IEC 14001, а год спустя без изменений BS 7799-1 был принят в качестве
международного стандарта ISO/IEC 17799:2000 «Информационные технологии Практические правила управления ИБ».
В 2002 году была обновлена и первая часть стандарта BS 7799-1 (ISO/IEC 17799), и
вторая часть BS 7799-2.
Что же касается официальной сертификации по ISO/IEC 17799, то она изначально не
была предусмотрена (полная аналогия с BS 7799). Была предусмотрена только сертификация
по BS 7799-2, который представлял собой ряд обязательных требований (не вошедших в BS
7799-1) и в приложении перечень условно обязательных (на усмотрение сертификатора)
наиболее важных требований BS 7799-1 (ISO/IEC 17799).
На территории СНГ первой страной, которая в ноябре 2004 года приняла стандарт
ISO/IEC 17799:2000 в качестве национального, была Беларусь. Россия ввела этот стандарт
только в 2007 году. Центральный Банк РФ на его базе создал стандарт управления
информационной безопасностью для банковской сферы РФ.
В составе ISO/IEC за разработку семейства международных стандартов по управлению
ИБ отвечает подкомитет № 27, поэтому была принята схема нумерации данного семейства
стандартов с использованием серии последовательных номеров, начиная с 27000.
В 2005 году подкомитет SC 27 «Методы защиты информационных технологий»
Объединенного технического комитета JTC 1 «Информационные технологии» ISO/IEC
разработал сертификационный стандарт ISO/IEC 27001 «Информационные технологии Методы и средства обеспечения безопасности - СУИБ - Требования», пришедший на смену
BS 7799-2, и теперь сертификация проводится уже по ISO 27001.
В Украине ISO/IEC 27001:2005 в качестве национального стандарта введен в действие
только с 1 июля 2012 года, а остальные не введены до сих пор.
В 2005 году на основе ISO/IEC 17799:2000 был разработан ISO/IEC 27002:2005
«Информационные технологии - Методы и средства обеспечения безопасности - Свод норм и
правил управления ИБ».
В начале 2006 года был принят новый британский национальный стандарт в области
управления рисками ИБ BS 7799-3, который в 2008 году получил статус международного
стандарта ISO/IEC 27005 «Информационные технологии - Методы и средства обеспечения
безопасности - Управление рисками ИБ».
В 2004 году Британским институтом стандартов был опубликован стандарт ISO/IEC TR
18044 «Информационная технология - Методы обеспечения безопасности - Управление
инцидентами ИБ». В 2011 году на его базе был разработан стандарт ISO/IEC 27035
«Информационная технология - Методы обеспечения безопасности - Управление
инцидентами ИБ».
В 2009 году был принят стандарт ISO/IEC 27000 «ИТ - СУИБ - Общий обзор и
терминология», последнее обновление которого состоялось 14 января 2014 года. Он
предоставляет обзор систем управления ИБ и определяет соответствующие термины.
Словарь тщательно сформулированных формальных определений охватывает большинство
специализированных терминов, связанных с ИБ и используемых в стандартах группы
ISO/IEC 27.
25 сентября 2013 года были опубликованы новые версии стандартов ISO/IEC 27001 и
27002. С этого момента стандарты серии ISO/IEC 27k (управление ИБ) полностью
интегрированы со стандартами серии ISO/IEC 20k (управление ИТ-сервисами). Вся
терминология из ISO/IEC 27001 перенесена в ISO/IEC 27000, который определяет общий
терминологический аппарат для всего семейства стандартов ISO/IEC 27k.
Взаимосвязь международных и национальных стандартов
Британский
стандарт
BS 7799-1:2005
Международный
стандарт
ISO/IEC 27002:2013
(ISO/IEC 17799:2005)
BS 7799-2:2005
ISO/IEC 27001:2013
BS 7799-3:2006
ISO/IEC 27005:2008
(ISO/IEC TR 13335-4,5)
–
ISO/IEC 27000:2014
BS ISO/IEC TR
18044:2004
ISO/IEC 27035:2011
Российский
стандарт
ГОСТ Р ИСО/МЭК
27002:2012
ГОСТ Р ИСО/МЭК
27001:2006
ГОСТ Р ИСО/МЭК
27005:2010
ГОСТ Р ИСО/МЭК
27000:2012
Украинский
стандарт
–
ДСТУ ISO/IEC
27001:2010
ДСТУ ISO/IEC TR
13335-4,5:2005
–
–
–
Сравнительный анализ разделов ISO/IEC 17799 и 27002 (правила)
ISO/IEC 17799:2000 (ВS 7799-1)
3. Политика безопасности
4. Организационные вопросы
безопасности
5. Классификация и управление активами
6. Вопросы безопасности, связанные с
персоналом
7. Физическая защита и защита от
воздействий окружающей среды
8. Управление передачей данных и
операционной деятельностью
9. Контроль доступа
10. Разработка и обслуживание систем
11. Управление непрерывностью бизнеса
12. Соответствие требованиям
ISO/IEC 27002:2005
4. Оценка и обработка рисков
5. Политика безопасности
6. Организация ИБ
7. Управление активами
8. Безопасность, связанная с персоналом
9. Физическая безопасность и защита от
окружающей среды
10. Управление средствами коммуникаций и
их функционированием
11. Контроль доступа
12. Разработка, внедрение и обслуживание
информационных систем
13. Управление инцидентами ИБ
14. Управление непрерывностью бизнеса
15. Соответствие требованиям
Сравнительный анализ разделов ISO/IEC 27001 (требования)
2005
0. Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Система ИБ
5. Обязательства руководства
6. Внутренние аудиты
7. Анализ системы менеджмента
8. Совершенствование
2013
0. Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Установление контекста
5. Ответственность руководства
6. Планирование
7. Поддержка
8. Эксплуатация
9. Измерение результативности
10. Улучшение
Приложение А
5. Политика безопасности
5. Политики ИБ
6. Организация ИБ
6. Организация ИБ
8. Безопасность, связанная с персоналом
7. Безопасность, связанная с персоналом
7. Управление активами
8. Управление активами
9. Физическая безопасность и защита от
11. Физическая безопасность и защита от
окружающей среды
окружающей среды
12. Безопасность при обработке
10. Управление средствами коммуникаций информации
и их функционированием
13. Безопасность связи
15. Взаимоотношения с поставщиками
11. Контроль доступа
9. Управление доступом
14. Приобретение, разработка и поддержка
12. Разработка, внедрение и обслуживание
информационных систем
информационных систем
10. Криптография
13. Управление инцидентами ИБ
16. Управление инцидентами ИБ
17. Аспекты ИБ при управлении
14. Управление непрерывностью бизнеса
непрерывностью бизнеса
15. Соответствие требованиям
18. Соответствие требованиям
В Украине внедрением международных стандартов в национальные стандарты,
обобщением мирового опыта в отрасли стандартизации и внедрением международных
стандартов в Украине занимется Технический комитет по стандартизации ТК-20
«Информационные технологии», который функционирует на базе Международного научноучебного центра ИТ и систем Национальной академии наук и Министерства образования и
науки Украины.
ТК-20 является активным участником подкомитетов Международной организации из
стандартизации и Международной электротехнической комиссии (ISO/IEC), Европейской
организации по стандартизации (СEN), а также Европейского комитета по стандартизации в
отрасли электротехники (CENELEC). ТК-20 также осуществляет формирование направлений
развития научно-технической политики Украины в сфере международной стандартизации в
отрасли ИТ и ЭЦП.
Официальный сайт Центра: http://www.irtc.org.ua.
В настоящее время в Украине в качестве национальных внедрены такие
международные стандарты:
1) утверджены приказом Госпотребстандарта от 31.10.2003 № 189:
- ДСТУ ISO/IEC TR 13335-1:2003 Iнформацiйнi технологiї. Настанови з керування
безпекою інформацiйних технологiй. Частина 1. Концепцiї та моделi безпеки інформацiйних
технологiй (ISO/IEC TR 13335-1:1996, IDT);
- ДСТУ ISO/IEC TR 13335-2:2003 Iнформацiйнi технологiї. Настанови з керування
безпекою інформацiйних технологiй. Частина 2. Керування та планування безпеки
інформацiйних технологiй (ISO/IEC TR 13335-2:1997, IDT);
- ДСТУ ISO/IEC TR 13335-3:2003 Iнформацiйнi технологiї. Настанови з керування
безпекою інформацiйних технологiй. Частина 3. Методи керування захистом інформацiйних
технологiй (ISO/IEC TR 13335-3:1998, IDT)
2) утверджены приказом Госпотребстандарта от 03.03.2005 № 57:
- ДСТУ ISO/IEC TR 13335-4:2005 Iнформацiйнi технологiї. Настанови з управлiння
безпекою інформацiйних технологiй. Частина 4. Вибирання засобiв захисту (ISO/IEC TR
13335-4:2000, IDT);
- ДСТУ ISO/IEC TR 13335-5:2005 Iнформацiйнi технологiї. Настанови з управлiння
безпекою інформацiйних технологiй. Частина 5. Настанова з управлiння мережною безпекою
(ISO/IEC TR 13335-5:2001, IDT);
3) утверджены приказом Госпотребстандарта от 28.12.2010 № 631:
- ДСТУ ISO/IEC 27001:2010 Iнформацiйнi технологiї. Методи та засоби досягнення
інформаційної безпеки. Системи керування інформаційною безпекою. Вимоги (ISO/IEC
27001:2005, IDT).
28 октября 2010 года постановлением Правления Национального банка Украины № 474
вступили в силу такие стандарты по управлению информационной безопасностью в
банковской системе Украины:
- СОУ Н НБУ 65.1 СУІБ 1.0:2010 Методи захисту в банківській діяльності. Система
управління інформаційною безпекою. Вимоги (ISO/IEС 27001:2005, MOD);
- СОУ Н НБУ 65.1 СУІБ 2.0:2010 Методи захисту в банківській діяльності. Звід правил
для управління інформаційною безпекою (ISO/IEС 27002:2005, MOD).
Кроме того, 5 декабря 2013 года совместным приказом Администрации Госспецсвязи и
Министерства юстиции Украины № 2563/5/645 утверджены перечни международных
стандартов в сфере электронной цифровой подписи для их дальнейшего внедрения в
Украине:
1. Перелік стандартів у сфері електронного цифрового підпису для гармонізації з
європейськими та міжнародними стандартами:
60. ISO/IEC 17799:2005 IT - Security techniques - Code of practice for information security
management
71. ISO/IEC 27002:2005 IT - Security techniques - Code of practice for information security
management
72. ISO/IEC 27004:2009 IT - Security techniques - Information security management Measurement
73. ISO/IEC 27005:2008 IT - Security techniques - Information security risk management"
74. ISO/IEC 27006:2007 IT - Security techniques - Requirements for bodies providing audit
and certification of information security management systems
75. ISO/IEC 27011:2008 IT - Security techniques - Information security management
guidelines for telecommunications organizations based on ISO/IEC 27002
2. Перелік стандартів у сфері електронного цифрового підпису, що підлягають
перегляду:
60. ДСТУ ISO/IEC 27000 Інформаційні технології. Методи захисту. Система управління
інформаційною безпекою. Overview and vocabulary
61. ДСТУ ISO/IEC 27001 Інформаційні технології. Методи захисту. Система управління
інформаційною безпекою. Вимоги
62. ДСТУ ISO/IEC TR 13335-1:2003 IT. Настанови з управління безпекою IT. Частина 1.
Концепції та моделі безпеки ІТ
63. ДСТУ ISO/IEC TR 13335-2:2003 IT. Настанови з управління безпекою інформаційних
технологій. Частина 2. Управління та планування безпекою ІТ
64. ДСТУ ISO/IEC TR 13335-3:2003 IT. Настанови з управління безпекою IT. Частина 3.
Методи керування захистом IT
3.2. Семейство стандартов ISO/IEC 27k
Международные стандарты системы управления представляют модель для
налаживания и функционирования системы управления. Эта модель включает в себя
функции, по которым эксперты достигли согласия на основании международного опыта,
накопленного в этой области.
При использовании семейства стандартов СУИБ организации могут реализовывать и
совершенствовать СУИБ и подготовиться к ее независимой оценке, применяемой для
защиты информации, такой как финансовая информация, интеллектуальная собственность,
информация о персонале, а также информация, доверенная клиентами или третьей стороной.
Семейство стандартов СУИБ предназначено для помощи организациям любого типа и
величины в реализации и функционировании СУИБ. Семейство стандартов СУИБ состоит из
следующих международных стандартов под общим названием «Information technology Security techniques» - ИТ - Методы и средства обеспечения безопасности:
- ISO/IEC 27000 СУИБ. Общий обзор и терминология;
- ISO/IЕС 27001 СУИБ. Требования;
- ISO/IEC 27002 Свод правил по управлению ИБ;
- ISO/IEC 27003 Руководство по реализации СУИБ;
- ISO/IEC 27004 УИБ. Измерения;
- ISO/IEC 27005 Управление рисками ИБ;
- ISO/IЕС 27006 Требования для органов, обеспечивающих аудит и сертификацию
СУИБ;
- ISO/IEС 27007 Руководство для проведения аудита СУИБ;
- ISO/IEС TR 27008 Руководство для аудита механизмов контроля ИБ;
- ISO/IEС 27010 УИБ для межсекторных и межорганизационных коммуникаций;
ISO/IЕС
27011
Руководство
пo
УИБ
организаций,
предлагающих
телекоммуникационные услуги, на основе ISО/IEC 27002;
- ISO/IEС 27013 Руководство пo интегрированной реализации стандартов ISO/IEC
27001 и ISO/IEC 20000-1;
- ISO/IEС 27014 Управление ИБ высшим руководством;
- ISO/IEС TR 27015 Руководство пo УИБ для финансовых сервисов;
- ISO/IEС TR 27016 УИБ. Организационная экономика;
- ISO/IEС 27035 Управление инцидентами ИБ.
Международный стандарт, не имеющие этого общего названия:
- ISO 27799 Информатика в здравоохранении. УИБ по стандарту ISO/IEC 27002.
Семейство стандартов СУИБ содержит стандарты, которые:
- определяют требования к СУИБ и к сертификации таких систем;
- содержат прямую поддержку, детальное руководство и интерпретацию полных
процессов «План (Plan) - Осуществление (Do) - Проверка (Check) -Действие (Act)» (PDCA) и
требования;
- включают в себя специальные руководящие принципы для СУИБ;
- руководят проведением оценки соответствия СУИБ.
3.3. Стандарт ISO/IEC 27000
Содержит в себе:
- обзор семейства стандартов СУИБ;
- введение в СУИБ;
- краткое описание процесса «PDCA»;
- термины и определения для использования в семействе стандартов СУИБ.
Этот международный стандарт применим ко всем типам организаций (например,
коммерческие предприятия, правительственные учреждения, некоммерческие организации).
Основные принципы
СУИБ представляет модель для создания, внедрения, функционирования, мониторинга,
анализа, поддержки и улучшения защиты информационных активов для достижения деловых
целей, основанную на оценке риска и на принятии уровней риска организации,
разработанную для эффективного рассмотрения и управления рисками. Анализ требований
для защиты информационных активов и применение соответствующих средств управления,
чтобы обеспечить необходимую защиту этих информационных активов, способствует
успешной реализации СУИБ.
Следующие основные принципы способствуют успешной реализации СУИБ:
- понимание необходимости системы ИБ;
- назначение ответственности за ИБ;
- соединение административных обязанностей и интересов заинтересованных лиц;
- возрастание социальных ценностей;
- оценка риска, определяющая соответствующие меры и средства контроля и
управления для достижения допустимых уровней риска;
- безопасность как неотъемлемый существенный элемент информационных сетей и
систем;
- активное предупреждение и выявление инцидентов ИБ;
- обеспечение комплексного подхода к УИБ;
- непрерывная переоценка и соответствующее улучшение системы ИБ.
Управление (менеджмент) включает в себя действия по управления, контролю и
непрерывному совершенствованию организации в рамках соответствующих структур.
Управленческие действия включают в себя действия, методы или практику
формирования, обработки, направления, наблюдения и управления ресурсами.
Величина управленческой структуры может варьироваться от одного человека в
небольших организациях до управленческой иерархии в крупных организациях, состоящих
из многих людей.
Относительно СУИБ менеджмент включает в себя наблюдение и выработку решений,
необходимых для достижения деловых целей посредством защиты информационных активов
организации. УИБ выражается через формулирование и использование политики ИБ,
стандартов, процедур и рекомендаций, которые применяются повсеместно в организации
всеми лицами, связанными с ней.
Система управления использует совокупность ресурсов для достижения целей
организации. Система управления включает в себя организационную структуру, политику,
планирование действий, обязательства, методы, процедуры, процессы и ресурсы.
В части ИБ система управления позволяет организации:
- удовлетворять требования безопасности клиентов и других заинтересованных лиц;
- улучшать планы и действия организации;
- соответствовать целям информационной безопасности организации;
- выполнять регулирующие требования, требования законодательства и отраслевые
нормативные документы;
- организованно управлять информационными активами для облегчения непрерывного
совершенствования и регулирования текущих организационных целей и внешних условий.
Процессный подход
Организации нужно вести различные виды деятельности и управлять ими для того,
чтобы функционировать результативно. Любой вид деятельности, использующий ресурсы и
управляемый для того, чтобы обеспечить возможность преобразования входов в выходы,
можно считать процессом. Выход одного процесса может непосредственно формировать
вход следующего процесса. Обычно такая трансформация происходит в условиях
планирования и управления. Применение системы процессов в рамках организации вместе с
идентификацией и взаимодействием этих процессов, а также их управлением может быть
определено как «процессный подход».
Родоначальником процессного подхода к управлению качеством принято считать
американского ученого Уолтера Шухарта. Книга начинается с выделения 3-х стадий в
управлении качеством результатов деятельности организации:
1) разработка спецификации (техническое задание, технические условия, критерии
достижения целей) того, что требуется;
2) производство продукции, удовлетворяющей спецификации;
3) проверка (контроль) произведенной продукции для оценки ее соответствия
спецификации.
Спецификации ► Производство ► Проверка
Шухарт одним из первых предложил линейное восприятие указанных стадий замкнуть
в цикл, который он отождествил с «динамическим процессом приобретения знаний».
После первого цикла результаты проверки должны являться основой
совершенствования спецификации на продукцию. Далее производственный процесс
корректируется на основе уточненной спецификации, а новый результат производственного
процесса опять же подвергается проверке и т. д.
Американский ученый Эдвардс Деминг трансформировал цикл Шухарта в форму,
наиболее часто встречаемую сегодня. Он, чтобы перейти от контроля качества к управлению
организации, дал более общие названия каждому из этапов, и, кроме того, добавил еще один,
4-й этап, с помощью которого он хотел обратить внимание американских менеджеров на то,
что они склонны слишком поспешно действовать, не проанализировав полученную на
втором этапе информацию. Именно поэтому этот этап называется «проверка» (check) или
«изучение» (study), и соответственно цикл Шухарта-Деминга называют либо «PDCA», либо
«PDSA»:
Планируй (Plan) ► Делай (Do) ► Проверяй (Check) или Изучай (Study) ► Воздействуй (Act)
Plan – идентификация и анализ проблем; оценка возможностей, постановка целей и
разработка планов.
Do – поиск решения проблем и реализация планов.
Check (Study) – оценка результатов и выводы в соответствии с поставленной задачей.
Act – принятие решений на основе полученных выводов; коррекция и улучшение
работы; если изменение не решает поставленную задачу следует повторить цикл, внеся
коррективы в план.
Метод и цикл Шухарта-Деминга, который чаще называют циклом Деминга, обычно
иллюстрируют схему управления любым процессом деятельности. Он с необходимыми
уточнениями к настоящему времени получил широкое применение в международных
стандартах управления:
- качеством продукции ISO 9000;
- охраной окружающей среды ISO 14000;
- техникой безопасности и охраной труда OHSAS 18000;
- информационными сервисами ISO/IEC 20000;
- безопасностью пищевой продукции ISO 22000;
- информационной безопасностью ISO/IEC 27000;
- безопасностью ISO 28000;
- непрерывностью бизнеса ISO 22300;
- рисками ISO 31000;
- энергетикой ISO 50000.
Процессный подход для СУИБ
Планирование
(разработка СУИБ)
Разработка политики, установление целей, процессов и
процедур СУИБ, относящихся к управлению рисками и
улучшению ИБ, для достижения результатов,
соответствующих общей политике и целям организации
Осуществление
(внедрение и обеспечение
функционирования СУИБ)
Внедрение и применение политики ИБ, мер управления,
процессов и процедур СУИБ
Проверка
(проведение мониторинга
и анализа СУИБ)
Оценка, в том числе, по возможности, количественная,
результативности процессов относительно требований
политики, целей безопасности и практического опыта
функционирования СУИБ и информирование высшего
руководства о результатах для последующего анализа
Действие
(поддержка и
улучшение СУИБ)
Проведение корректирующих и предупреждающих
действий, основанных на результатах внутреннего аудита
или другой соответствующей информации, и анализа со
стороны руководства в целях достижения непрерывного
улучшения СУИБ
Цели внедрения СУИБ
В качестве части СУИБ организации должны быть определены риски, связанные с
информационными активами организации. Достижение информационной безопасности
требует управления риском и охватывает риски физические, человеческие и
технологические, относящиеся к угрозам, касающимся всех форм информации внутри
организации или используемой организацией.
Принятие СУИБ является стратегическим решением для организации, и необходимо,
чтобы это решение неразрывно интегрировалось, оценивалось и обновлялось в соответствии
с потребностями организации.
На разработку и реализацию СУИБ организации влияют потребности и цели
организации, требования безопасности, используемые бизнес-процессы, а также размер и
структура организации. Разработка и функционирование СУИБ должны отражать интересы
и требования ИБ всех заинтересованных лиц организации, включая клиентов, поставщиков,
деловых партнеров, акционеров и других третьих лиц.
Во взаимосвязанном мире информация и относящиеся к ней процессы, системы и сети
составляют критические деловые активы. Организации и их информационные системы и
сети сталкиваются с угрозами безопасности из широкого диапазона источников, включая
компьютерное мошенничество, шпионаж, саботаж, вандализм, а также пожар и наводнение.
Повреждения информационных систем и сетей, вызванные вредоносным кодом, действиями
хакеров и DoS-атаками, стали более распространенными, более масштабными и все более и
более серьезными.
СУИБ важна для предприятий как государственного, так частного сектора. В любой
отрасли СУИБ является необходимым инструментом для поддержания электронного бизнеса
и важна для действий менеджмента риска. Взаимосвязь общедоступных и частных сетей и
распределенность информационных активов увеличивают трудность управления доступом к
информации и ее обработки.
Кроме того, распространение мобильных устройств хранения данных, содержащих
информационные активы, может ослабить эффективность традиционных средств контроля.
Когда организации принимают семейство стандартов СУИБ, способность применить
последовательные и взаимно известные принципы ИБ может быть продемонстрирована
деловым партнерам и другим заинтересованным сторонам.
ИБ не всегда учитывается при проектировании и расширении ИС. Кроме того, часто
считают, что ИБ - это техническая проблема. Однако уровень безопасности, который может
быть достигнут с помощью технических средств, ограничен. Такая защита может быть
неэффективной, не будучи поддержанной соответствующим управлением и процедурами в
контексте СУИБ. Последующее встраивание системы безопасности в ИС может быть
трудным и дорогостоящим.
СУИБ включает в себя идентификацию имеющихся средств управления и требует
тщательного планирования и внимания к деталям. Например, средства контроля доступа,
которые могут быть техническими (логическими), физическими, административными
(организационными), или их комбинация гарантируют, что доступ к информационным
активам разрешен и ограничен на основании требований бизнеса и требований безопасности.
Принятие СУИБ важно для защиты информационных активов.
Это позволяет организации:
- повысить гарантии того, что ее информационные активы в достаточной мере на
непрерывной основе защищены от угроз ИБ;
- поддерживать структурированную и всестороннюю систему для идентификации и
оценки угроз информационной безопасности, выбора и применения соответствующих
средств управления и измерения и улучшения их эффективности;
- непрерывно улучшать ее среду контроля;
- соответствовать юридическим и регулирующим требованиям.
Организация должна предпринимать следующие меры по внедрению, контролю,
поддержке и улучшению ее СУИБ:
- определение информационных активов и связанных с ними требований безопасности;
- оценка рисков ИБ;
- выбор и реализация соответствующих средств управления для управления
неприемлемыми рисками;
- контроль, поддержка и повышение эффективности средств управления
безопасностью, связанных с информационными активами организации.
Для гарантии эффективной непрерывной защиты информационных активов
организации с помощью СУИБ необходимо постоянно повторять все шаги, чтобы выявлять
изменения рисков, стратегии организации или деловых целей.
Требования ИБ организации в пределах ее общей стратегии и деловых целей, размера и
географического распространения могут быть определены при анализе таких факторов:
- идентифицированные информационные активы и их ценность;
- деловые потребности в обработке и хранении информации;
- нормативно-правовые и договорные требования.
Проведение методической оценки рисков, связанных с информационными активами
организации, включает в себя анализ угроз информационным активам, уязвимостей
информационных активов и вероятности угрозы информационным активам, потенциального
воздействия любого инцидента ИБ на информационные активы. Расходы на
соответствующие меры и средства контроля и управления безопасностью пропорциональны
оцениваемому деловому воздействию в случае осуществления риска.
Управление рисками ИБ требует соответствующей оценки риска и метода обработки
риска. Это может включать в себя оценку затрат и преимуществ, законных требований,
социальных, экономических и экологических аспектов, проблем заинтересованных лиц,
приоритетов и других входов и переменных. Результаты оценки риска ИБ помогут
выработать и провести соответствующие управленческие решения для действий и
установления приоритетов для управления рисками ИБ, а также для реализации
соответствующих средств управления безопасностью для защиты от этих рисков.
После определения требований к ИБ и оценки рисков ИБ для идентифицированных
информационных активов (включая решения для обработки рисков информационной
безопасности) должны быть выбраны и реализованы соответствующие меры и средства
контроля и управления, чтобы гарантировать, что риски ИБ уменьшены до уровня,
приемлемого для организации.
Также для удовлетворения специфических потребностей могут быть разработаны
новые соответствующие меры и средства контроля и управления. Выбор средств управления
безопасностью зависит от требований безопасности, принимающих во внимание критерии
для принятия риска ИБ, вариантов обработки риска и общего подхода управления рисками,
применяемого организацией. Выбор и реализация средств управления могут быть
документированы в заявлении о применимости.
Организация должна поддерживать работоспособность и улучшать СУИБ посредством
контроля и оценки деятельности, направленной против политики и целей организации, и
сообщения о результатах менеджменту для анализа. Этот анализ СУИБ позволит наглядно
показать правильность и отслеживаемость корректирующих, профилактических действий и
действий по усовершенствованию, основанных на этих результатах, включая контроль
средств УИБ.
Для успешной реализации СУИБ, позволяющей организации достичь своих деловых
целей, имеет значение большое количество факторов.
Примеры критических факторов успеха включают в себя следующие:
- политика ИБ, цели и действия, ориентированные на достижение целей;
- методика и структура для разработки, реализации, контроля, поддержания и
улучшения ИБ, которые соответствуют корпоративной культуре;
- видимая поддержка и обязательства со стороны всех уровней управления, особенно
высшего руководства:
- понимание требований информационной защиты активов, достигаемое через
применение управления рисками ИБ;
- эффективное информирование об ИБ, обучение и образовательная программа,
доводящая до сведения всех служащих и других причастных сторон их обязательства по ИБ,
сформулированные в политике ИБ, стандартах и т. д., а также их мотивирование к
соответствующим действиям;
- эффективный процесс управления инцидентами ИБ:
- эффективный управленческий подход непрерывности бизнеса;
- система измерения, которая используется для оценки УИБ, и предложения по
улучшению, поступающие по цепочке обратной связи.
СУИБ увеличивает вероятность того, что организация будет последовательно достигать
решающих факторов успеха, необходимых для защиты ее информационных активов.
Преимущества реализации СУИБ вытекают, прежде всего, из сокращения рисков ИБ
(то есть уменьшения вероятности воздействия и/или уменьшения воздействия, вызванного
инцидентами ИБ).
В частности, преимущества, полученные от внедрения семейства стандартов СУИБ,
включает в себя следующие:
- поддержка процесса определения, реализации, функционирования и поддержания
работоспособности полной и экономически эффективной комплексной СУИБ, которая
удовлетворяет потребности организации;
- помощь для руководства в структурировании его подхода к УИБ в контексте
корпоративного управления рисками и инцидентами, включая обучение и тренинг по
единому УИБ;
- продвижение общепринятых лучших методов ИБ в необязывающей форме, что
предоставляет организациям свободу для принятия и улучшения средств управления,
которые соответствуют их особенностям и оказывают им поддержку перед лицом
внутренних и внешних изменений;
- предоставление общего языка и концептуального основания для ИБ, что облегчает
взаимопонимание с деловыми партнерами, особенно если они требуют свидетельства
соответствия ISO/IEC 27001 от аккредитованного органа сертификации.
3.4. Сертификация СУИБ
Для подтверждения соответствия существующей в организации СУИБ требованиям
стандарта, а также ее адекватности существующим бизнес рискам используется процедура
добровольной сертификации. Хотя без этого можно и обойтись, в большинстве случаев
сертификация полностью оправдывает вложенные средства и время.
Во-первых, официальная регистрация СУИБ организации в реестре авторитетных
органов, таких как служба аккредитации Великобритании (UKAS), что укрепляет имидж
компании, повышает интерес со стороны потенциальных клиентов, инвесторов, кредиторов и
спонсоров.
Во-вторых, в результате успешной сертификации расширяется сфера деятельности
компании за счет получения возможности участия в тендерах и развития бизнеса на
международном уровне. В наиболее чувствительных к уровню ИБ областях, такой,
например, как финансы, наличие сертификата соответствия ISO/IEC 27001 начинает
выступать как обязательное требование для осуществления деятельности. Некоторые
украинские компании уже сталкиваются с этими ограничениями.
Также очень важно, что процедура сертификации оказывает серьезное мотивирующее и
мобилизующее воздействие на персонал компании: повышается уровень осведомленности
сотрудников, эффективнее выявляются и устраняются недостатки и несоответствия в СУИБ,
что в перспективе означает для организации снижение среднестатистического ущерба от
инцидентов ИБ, а также сокращение накладных расходов на эксплуатацию информационных
систем. Вполне возможно, наличие сертификата позволит застраховать информационные
риски организации на более выгодных условиях.
Следует подчеркнуть, что все перечисленные преимущества организация получает
только в том случае, если речь идет о системе сертификации, имеющей международное
признание, в рамках которой обеспечивается надлежащее качество проведения работ и
достоверность результатов.
Подготовка к сертификации
Подготовка организации к сертификации по ISO/IEC 27001 - процесс довольно
длительный и трудоемкий. В общем случае, он включает в себя 6 последовательных этапов,
которые выполняются организацией, как правило, при помощи внешних консультантов.
1-й этап - предварительный аудит СУИБ, в ходе которого оценивается текущее
состояние, осуществляется инвентаризация и документирование всех основных
составляющих СУИБ, определяются область и границы сертификации и выполняется еще
целый ряд необходимых подготовительных действий. По результатам аудита
разрабатывается детальный план мероприятий по подготовке к сертификации.
2-й этап - оценка информационных рисков, основной целью которой является
определение применимости описанных в стандарте механизмов контроля в данной
конкретной организации, подготовка декларации о применимости и плана обработки рисков.
3-й этап - анализ расхождений с требованиями стандарта, в результате которого
оценивается текущее состояние механизмов контроля в организации и идентифицируются
расхождения с декларацией о применимости.
4-й этап - планирование и подготовка программы внедрения недостающих механизмов
контроля, по каждому из которых разрабатывается соответствующая стратегия и план.
5-й этап - работы по внедрению недостающих механизмов контроля, которые
включают в себя 3 основные составляющие:
- подготовка и повышение осведомленности сотрудников: обучение и тренинги;
- подготовка документации СУИБ: политики, стандарты, процедуры, регламенты,
инструкции, планы;
- подготовка свидетельств функционирования СУИБ: отчеты, протоколы, приказы,
записи, журналы событий и т.п.
6-й этап - подготовка к сертификационному аудиту: анализируется состояние СУИБ,
оценивается степень ее готовности к сертификации, уточняется область и границы
сертификации, проводятся соответствующие переговоры с аудиторами органа по
сертификации.
Точки преткновения
В процессе внедрения СУИБ возникает много точек преткновения. Часть из них
связаны с нарушением описанных выше фундаментальных принципов управления
безопасностью. Серьезные затруднения для украинских организаций лежат в
законодательной области. Использование в Украине ISO/IEC 27001-2005 как национального
стандарта, в то время как уже введен в действие ISO/IEC 27001-2013, а также
неотрегулированность системы сертификации средств защиты информации серьезно
затрудняет выполнение одного из главных требований стандарта - соответствие
действующему законодательству.
Источником затруднений нередко служит неправильное определение области действия
и границ СУИБ. Слишком широкая трактовка области действия СУИБ, например, включение
в эту область всех бизнес-процессов организации, значительно снижает вероятность
успешного завершения проекта по внедрению и сертификации СУИБ.
Столь же важно правильно представлять, где проходят границы СУИБ и каким образом
она связана с другими системами управления и процессами организации. Например, СУИБ и
система управления непрерывностью бизнеса (СУНБ) организации тесно пересекаются.
Последняя является одной из 14 определяемых стандартом областей контроля ИБ. Однако
СУИБ включает в себя только ту часть СУНБ, которая связана с ИБ - это защита критичных
бизнес процессов организации от крупных сбоев и аварий информационных систем. Другие
аспекты СУНБ выходят за рамки СУИБ.
Стандарт - гарантия безопасности
Сегодня организация работы серьезной и эффективной компании, претендующей на
успешное развитие, обязательно базируется на современных информационных технологиях.
Поэтому обратить внимание на стандарты управления информационной безопасностью
стоит компаниям любого масштаба. Как правило, вопросы управления информационной
безопасностью тем актуальнее, чем крупнее компания, чем шире масштаб ее деятельности и
претензии на развитие, и, как следствие, выше ее зависимость от информационных
технологий.
Использование семейства международных стандартов ISO/IEC 27k позволяет
существенно упростить создание, эксплуатацию и развитие СУИБ. Требования нормативной
базы и рыночные условия вынуждают организации применять международные стандарты
при разработке планов и политик обеспечения ИБ и демонстрировать свою приверженность
путем проведения аудитов и сертификаций ИБ. Соответствие требованиям стандарта
представляет определенные гарантии наличия в организации базового уровня ИБ, что
оказывает положительное влияние на имидж компании.
Перечень органов сертификации СУИБ в Украине,
акредитованных на соответствие требованиям ISO/IEC 17021:2011
«Требования к органам, проводящим аудит и сертификацию систем менеджмента»
Название
Срок
Товарищество с ограниченной
ответственностью «Сертификационный
центр «СТАНДАРТ» (Киев)
29.04.201428.04.2019
Сфера акредитации
ISO/IEC 27001-2013:
услуги в сфере информатизации;
другие услуги.
Контрольные вопросы
1. Когда и где появился первый стандарт по управлению ИБ?
2. Какое обозначение и название имел первый стандарт по управлению ИБ?
3. Какое обозначение получил первый международный стандарт по управлению ИБ?
4. Когда и где появился первый стандарт по управлению рисками ИБ?
5. Когда и где появился первый стандарт по управлению инцидентами ИБ?
6. Когда и какой стандарт СУИБ был принят в Украине как национальный?
7. В каком году были опубликованы последние версии ISO/IEC 27001 и 27002?
8. В каком году была опубликована последния версия ISO/IEC 27000?
9. Когда и какая серия стандартов «ТО» была принята в Украине как национальная?
10. Когда, какой орган Украины и какие стандарты принял как отраслевые?
11. Что содержит в себе стандарт ISO/IEC 27000?
12. Из каких 4 этапов состоит операционный принцип СУИБ?
13. Кто придумал и трансформировал процессный подход к управлению?
14. Какие меры по внедрению и улучшению СУИБ нужно предпринимать?
15. При анализе каких факторов могут быть определены требования ИБ?
16. Для чего нужна сертификация СУИБ?
17. Что дает официальная регистрация СУИБ в реестре органов аккредитации?
18. За счет чего расширяется сфера деятельности компании в результате успешной
сертификации?
19. Какие есть этапы сертификации СУИБ?
4. Требования к системе управления информационной безопасностью
(стандарт ISO/IEC 27001:2013)
В 1998 году появилась вторая часть британского национального стандарта – BS 7799-2
«СУИБ - Спецификация и руководство по применению», в 2002 году она была пересмотрена,
а в конце 2005 года была принята в качестве международного стандарта ISO/IEC 27001 «ИТ Методы и средства обеспечения безопасности - СУИБ - Требования».
В Украине стандарт ISO/IEC 27001 в качестве национального введен в действие только
с 1 июля 2012 года. 25 сентября 2013 года состоялось последнее обновление стандарта.
Стандарт устанавливает требования к разработке, внедрению, поддержке и
постоянному улучшению СУИБ в контексте организации. Стандарт также включает
требования по оценке и обработке рисков ИБ в соответствии с потребностями организации.
В стандарте представлена модель «Планирование (Plan) - Осуществление (Do) Проверка (Check) - Действие (Act)» (РDСА), которая может быть применена при
структурировании всех процессов СУИБ. СУИБ, используя в качестве входных данных
требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых
действий и процессов выдает выходные данные по результатам обеспечения ИБ, которые
соответствуют этим требованиям и ожидаемым результатам.
Контекст организации
Организация должна определить внешние и внутренние аспекты, которые имеют
отношение к ее цели и влияют на ее способность к достижению ожидаемых результатов от
СУИБ.
Организация должна определить:
- заинтересованные стороны, которые имеют отношение к СУИБ;
- требования этих заинтересованных сторон, имеющих отношение к ИБ.
Организация для определения области применения СУИБ должна определить границы
и возможность применения СУИБ.
При определении этой области применения организация должна рассмотреть
следующие вопросы:
- внешние и внутренние аспекты;
- требования заинтересованных сторон;
- интерфейсы и зависимости между деятельностью, выполняемой организацией, и
деятельностью, которую выполняют другие организации.
Область применения должна быть доступна в виде документированной информации.
Лидерство
Высшее руководство должно продемонстрировать лидерство и приверженность по
отношению к СУИБ путем:
- обеспечения политики ИБ и целей ИБ, которые разработаны и совместимы со
стратегическими задачами организации;
- обеспечения интеграции требований СУИБ в процессы организации;
- обеспечения того, чтобы ресурсы, необходимые для системы менеджмента
информационной безопасности, были доступны;
- информирования о важности достижения результативности УИБ и о соответствии
требованиям СУИБ;
- обеспечения того, что СУИБ позволяет достигать желаемых результатов;
- поддержки и управления персоналом, способствующим повышению результативности
СУИБ;
- содействия постоянному улучшению;
- поддержки других соответствующих ролей управления с целью демонстрации ими
лидерских качеств в применении к сфере их ответственности.
Высшее руководство должно разработать соответствующую целям организации
политику ИБ, которая включает в себя:
- цели ИБ или обеспечивает основу для постановки целей ИБ;
- обязательства по удовлетворению применимых требований, относящихся к ИБ;
- обязательства по постоянному улучшению СУИБ.
Политика ИБ должна быть:
- доступна в виде документированной информации;
- доведена до сведения персонала организации;
- доступна всем заинтересованным сторонам, в случае необходимости.
Политика ИБ должна быть определена, утверждена руководством, опубликована и
доведена до сотрудников организации и соответствующих внешних сторон. Через
запланированные промежутки времени или в случае значительных изменений она должна
быть пересмотрена с целью обеспечения ее постоянной пригодности, адекватности и
эффективности.
Высшее руководство должно создать в организации структуру УИБ с целью
инициировать и управлять внедрением и обеспечением ИБ в организации.
Для этого необходимо провести такие мероприятия:
- все ответственности в поле ИБ должны быть определены и закреплены;
- противоречивые обязанности и зоны ответственности должны быть разделены с
целью снижения возможностей для несанкционированного, случайного изменения или
неправильного использования активов организации;
- поддерживать подходящие контакты с соответствующими органами;
- поддерживать надлежащие контакты со специальными группами или другими
форумами специалистов по безопасности, а также профессиональными ассоциациями.
Высшее руководство должно распределить ответственность и делегировать
полномочия для:
- обеспечения того, чтобы СУИБ соответствовала требованиям стандарта;
- постоянного информирования высшего руководства о результативности СУИБ.
1 этап. Планирование
При планировании СУИБ организация должна учитывать все аспекты и требования и
определить риски и возможности, которые должны быть направлены на:
- обеспечение того, чтобы СУИБ позволила достичь желаемых результатов;
- предотвращение или уменьшение нежелательных эффектов;
- обеспечение непрерывного совершенствования.
Организация должна планировать мероприятия по:
- оценке и обработке рисков и своих возможностей;
- интеграции и осуществлению работ в процессах СУИБ;
- оценке результативности этих работ.
Оценка рисков ИБ
Организация должна определить и внедрить процесс оценки рисков ИБ, на основании
которого:
- установить и поддерживать критерии для рисков ИБ, которые включают в себя:
• критерии принятия рисков;
• критерии для проведения оценки рисков ИБ;
- гарантировать, что повторная оценка рисков ИБ позволит получить логичные,
обоснованные и сопоставимые результаты;
- определить риски ИБ:
• применить процесс оценки рисков ИБ для выявления рисков, связанных с потерей
конфиденциальности, целостности и доступности информации в рамках СУИБ;
• определить владельцев рисков;
- проанализировать риски ИБ:
• определить потенциальные последствия, которые могут возникнуть в случае
возникновения рисков;
• определить реалистичную вероятность возникновения рисков;
• определить уровни риска;
- оценить риски ИБ:
• сравнить результаты анализа рисков с критериями для рисков;
• установить приоритеты по обработке рисков для проанализированных рисков.
Организация должна сохранять документированную информацию о процессе оценки
рисков ИБ.
Обработка рисков ИБ
Организация должна определить и внедрить процесс обработки рисков ИБ, на
основании которого:
- выбрать подходящий вариант по обработке рисков ИБ, принимая во внимание
результаты оценки рисков;
- определить все элементы управления, которые необходимы для реализации
выбранного варианта по обработке рисков ИБ;
- сравнить свои элементы управления с теми, которые приведены в Приложении А
стандарта, и убедиться в том, что не были упущены необходимые элементы управления;
- разработать положение о применимости (Statement of Applicability, SoA), которое
содержит необходимые элементы управления и обоснования их включения (независимо от
того, реализованы они или нет), а также обоснования исключений элементов управления из
Приложения А стандарта;
- сформулировать план по обработке рисков ИБ;
- согласовать с владельцами рисков план по обработке рисков ИБ и получить (от
владельцев рисков) согласие на принятие остаточных рисков ИБ.
Организация должна сохранять документированную информацию о процессе
обработки рисков ИБ.
Цели ИБ и планирование их достижения
Организация должна установить цели ИБ для соответствующих функций и на
соответствующих уровнях.
Цели ИБ должны:
- находиться в соответствии с политикой ИБ;
- быть измеримыми (если это возможно);
- принимать во внимание действующие требования ИБ, результаты оценки и обработки
рисков;
- быть известны соответствующему персоналу организации;
- обновляться по мере необходимости.
Организация должна сохранять документированную информацию о целях ИБ.
При планировании мер по достижению своих целей ИБ организация должна
определить:
- что будет сделано;
- какие ресурсы потребуются;
- кто будет нести ответственность;
- когда меры будут реализованы;
- как будут оцениваться результаты.
Поддержка
Организация должна определить и предоставить ресурсы, необходимые для
разработки, внедрения, поддержки и постоянного улучшения СУИБ.
Организация должна:
- определять необходимую компетентность персонала, который самостоятельно
выполняет работу, что влияет на результативность ИБ;
- обеспечить то, что этот персонал обладает необходимыми компетенциями на основе
соответствующего обучения, тренингов или опыта;
- при необходимости принять меры для получения необходимых компетенций и
оценить эффективность принятых мер;
- сохранять соответствующую документированную информацию в качестве
доказательств наличия компетенций.
Персонал, выполняющий работы в рамках организации, должен быть осведомлен:
- о политике ИБ;
- о вкладе в повышение результативности СУИБ, включая выгоды от улучшения
состояния информационной безопасности;
c) о последствиях в результате не выполнения требований СУИБ.
Организация должна определить необходимые внутренние и внешние способы
передачи информации, относящиеся к СУИБ, включая:
- о чем передавать информацию;
- когда передавать информацию;
- с кем передавать информацию;
- кто должен участвовать в передаче информации;
- процессы, посредством которых должны осуществляется передача информации.
Документированная информация
СУИБ организации должна включать:
- документированную информацию, требуемую настоящим стандартом;
- документированную информацию, определенную организацией в качестве
необходимой для обеспечения результативности СУИБ.
Степень (детализация) документированной информации для СУИБ одной организации
может отличаться от другой в зависимости от:
1) размера организации и ее вида деятельности, процессов, продуктов и услуг;
2) сложности процессов и их взаимодействия;
3) компетенции персонала.
При создании и обновлении документированной информации организация должна
обеспечить следующее:
- идентификацию и описание (например: название, дата, автор или номер);
- оформление (например: язык, версию ПО, рисунки) и тип носителя (например:
электронный, бумажный);
- рассмотрение и утверждение на предмет пригодности для применения и адекватности.
Документированная информация, требуемая СУИБ, должна управляться с целью
обеспечения:
- доступности и пригодности для использования в местах, где она необходима;
- адекватной защиты (например: от потери конфиденциальности, неправильного
использования или потери целостности).
Для управления документированной информацией организация должна рассмотреть
следующие мероприятия (где применимо):
- распространение информации, доступ, восстановление и использование;
- хранение и сохранность, в том числе сохранение удобочитаемости;
- контроль изменений (например: управление версиями);
- архивирование и уничтожение.
Документированная
информация
внешнего
происхождения,
определенная
организацией в качестве необходимой для планирования и функционирования СУИБ
(например: международные и национальные стандарты), должна быть определена
соответствующим образом и должна управляться.
2 этап. Реализация (эксплуатация)
Оперативное управление
Организация должна:
- выполнять планы по достижению целей ИБ;
- сохранять документированную информацию в объеме, необходимом для получения
уверенности в том, что процессы осуществляются так, как запланировано;
- управлять планируемыми изменениями и рассматривать последствия случайных
изменений, принимать меры по смягчению неблагоприятных последствий при
необходимости;
- обеспечить, что переданные на аутсорсинг процессы определены и управляются.
Оценка рисков ИБ
Организация должна:
- выполнять оценку рисков ИБ через запланированные интервалы времени, либо в
случае предполагающихся или уже происходящих существенных изменений с учетом
разработанных критериев;
- сохранять документированную информацию о результатах оценки рисков ИБ.
Обработка рисков ИБ
Организация должна:
- реализовать план обработки рисков ИБ;
- сохранять документированную информацию о результатах обработки рисков ИБ.
3 этап. Контроль (оценка результативности)
Мониторинг, измерение, анализ и оценка
Организация должна оценивать состояние ИБ и результативность СУИБ.
Организация должна определить:
- что необходимо отслеживать и измерять, в том числе процессы информационной
безопасности и элементы управления;
- методы мониторинга, измерения, анализа и оценки, в зависимости от обстоятельств, в
целях обеспечения достоверных результатов;
- когда должны проводиться действия по мониторингу и измерениям;
- кто должен осуществлять мониторинг и измерения;
- когда результаты мониторинга и измерений должны быть проанализированы и
оценены;
- кто должен анализировать и оценивать эти результаты.
Организация должна сохранять соответствующую документированную информацию в
качестве подтверждения результатов мониторинга и измерений.
Внутренний аудит
Организация должна проводить внутренние аудиты через запланированные
промежутки времени для получения информации о состоянии СУИБ:
- на предмет соответствия собственным требованиям организации для своей системы
менеджмента информационной безопасности и требованиям настоящего стандарта;
- с целью оценки результативности внедрения и поддержки.
Организация должна:
- планировать, разработать, внедрить и поддерживать программу аудита, включая
методы, распределение ответственности, требования к планированию и отчетности.
Программа аудита должна учитывать важность процессов и результаты предыдущих
аудитов;
- определить критерии аудита и область применения для каждого аудита;
- определять аудиторов и проводить аудиты, обеспечивая объективность и
беспристрастность процесса аудита;
- обеспечить, чтобы результаты аудитов направлялись руководству соответствующего
уровня;
- сохранять документированную информацию в качестве свидетельства о программе
аудита и результатах аудита.
Анализ со стороны руководства
Высшее руководство должно анализировать СУИБ организации через запланированные
интервалы времени для обеспечения ее постоянной пригодности, адекватности и
результативности.
Анализ со стороны руководства должен включать следующее:
- статус действий по результатам предыдущих анализов со стороны руководства;
- изменения внешних и внутренних аспектов, которые имеют отношение к СУИБ;
- обратную связь о состоянии ИБ, включая:
• несоответствия и корректирующие действия;
• результаты мониторинга и измерений;
• результаты аудита;
• результат достижения целей ИБ;
- обратную связь от заинтересованных сторон;
- результаты оценки рисков и статус выполнения плана по обработке рисков;
- возможности для постоянного улучшения.
Выводы анализа со стороны руководства должны включать решения, связанные с
реализацией возможностей постоянного улучшения, и любые необходимые изменения в
СУИБ.
Организация должна сохранять документированную информацию в качестве
свидетельства о результатах анализа со стороны руководства.
4 этап. Улучшение
Корректирующие действия
При появлении несоответствия организация должна:
- реагировать на несоответствия, и в зависимости от обстоятельств:
• принять меры по его управлению и исправлению;
• проработать последствия;
- оценить необходимость принятия действий для устранения причин несоответствия с
целью предотвращения его повторения или появления в другом месте, для этого:
• изучить несоответствие;
• определить причину несоответствия;
• определить, существуют ли подобные несоответствия или потенциальные
возможности их возникновения;
- реализовать любые необходимые корректирующие действия;
- проанализировать результативность выполненных корректирующих действий;
- при необходимости внести изменения в СУИБ.
Корректирующие действия должны быть адекватными последствиям выявленных
несоответствий.
Организация должна сохранять документированную информацию в качестве
свидетельства о:
- характере несоответствий и любых последующих предпринятых действиях;
- результатах любых корректирующих действий.
Постоянное улучшение
Организация должна постоянно улучшать пригодность, адекватность и
результативность СУИБ.
Приложение А. Цели и элементы управления
A.7 Безопасность, связанная с персоналом
A.7.1 Перед приемом на работу
Цель: Гарантировать, что сотрудники и подрядчики понимают свою ответственность и
подходят для должностей, на которые они рассматриваются.
Должна проводиться проверка информации по всем
кандидатам на должности в организации в соответствии с
имеющими отношение к делу законами, нормами и этикой, в
соответствии с деловыми требованиями, классификации
информации, которая будет доступной, и предполагаемыми
рисками
A.7.1.2 Условия
Договорными соглашениями с работниками, и
трудоустройства
подрядчиками должны определять их ответственность в
поле ИБ.
A.7.2 Во время работы
Цель: Гарантировать, что все сотрудники организации и подрядчики осведомлены о своей
ответственности и корректно выполняют свои обязательства в поле ИБ
A.7.2.1 Ответственность
Менеджмент должен требовать от всего персонала и
руководства
подрядчиков соблюдения правил ИБ в соответствии с
установленными политиками и процедурами организации.
A.7.2.2 Осведомленность в Все сотрудники организации и, где применимо, подрядчики
поле ИБ, обучение должны принимать участие в соответствующих обучениях
и инструктажи
по повышению осведомленности и тренингах, а также на
постоянной основе знакомиться с политиками и
процедурами организации, применимыми к их функциям.
A.7.2.3 Дисциплинарный
Должен существовать формализованный дисциплинарный
процесс
процесс, известный персоналу, на основании которого
предпринимаются меры в отношении сотрудников,
совершивших нарушение в поле ИБ
А.7.3 Увольнение или изменение должности
Цель: Защищать интересы организации при увольнении или изменении должности
сотрудника
A.7.3.1 Увольнение или
Ответственность и обязанности в поле ИБ, которые остаются
изменение
в силе после увольнения или изменения профессиональных
профессиональных обязанностей, должны быть определены, доведены до
обязанностей
сведения сотрудника или подрядчика, а также должны быть
реализованы меры по их выполнению.
А.8 Управление активами
А.8.1 Ответственность за активы
Цель: Определить активы организации и определить соответствующие ответственности по
защите.
A.8.1.1 Инвентаризация
Активы, связанные с информацией и средствами для
активов
обработки информации, должны быть определены и реестр
этих активов должен быть составлен и поддерживаться в
рабочем виде.
A.8.1.2 Владельцы активов Активам, приведенным в реестре активов, должны быть
определены владельцы
A.8.1.3 Допустимое
Правила допустимого использования информации и активов,
использование
связанных с информацией и средствами для обработки
активов
информации, должны быть определены, документированы и
внедрены.
A.8.1.4 Возврат активов
Все сотрудники организации и представители внешних
организаций обязаны возвратить все активы организации,
которые они имеют, после прекращения работы или
окончания контракта.
A.8.2 Классификация информации
Цель: Обеспечить, чтобы различные типы информации были надлежащим образом
защищены в соответствии с их значением для организации
A.7.1.1
Проверка
благонадежности
Информация должна быть классифицированы с точки зрения
правовых требований, ценности, критичности и
чувствительности к нарушению конфиденциальности или
изменению.
A.8.2.2 Маркировка
Соответствующий набор правил для маркировки
информации
информации должен быть разработан и внедрен в
соответствии со схемой классификации информации,
принятой в организации.
A.8.2.3 Использование
Процедуры по использованию активов должны быть
активов
разработаны и внедрены в соответствии со схемой
классификации информации, принятой в организации.
A.8.3 Использование носителей информации
Цель: Предотвратить несанкционированное раскрытие, модификацию, удаление или
уничтожение информации, хранящейся на носителях информации.
A.8.3.1 Управление
Должны быть внедрены процедуры для управления
съемными
съемными носителями информации в соответствии со
носителями
схемой классификации, принятой в организации.
информации
A.8.3.2 Уничтожение
Если носитель информации больше не требуется, то он
носителей
должен быть надежно уничтожен, в соответствии с
информации
формализованной процедурой.
A.8.3.3 Транспортировка
Носители, содержащие информацию, должны быть
носителей
защищены от несанкционированного доступа,
информации
неправильного использования или повреждения во время
транспортировки.
A.9 Управление доступом
A.9.1 Требования по управлению доступом
Цель: Ограничить доступ к информации и средствам обработки информации.
A.9.1.1 Политика
Политика управления доступом должна быть разработана,
управления
документально оформлена и пересматриваться на основе
доступом
требований бизнеса и требований ИБ
A.9.1.2 Доступ к сетям и
Пользователям должен предоставляться доступ к сетям и
сетевым сервисам
сетевым сервисам только в том случае, когда они имеют
официальные полномочия на это.
A.9.2 Управление доступом пользователей
Цель: Обеспечить авторизованный доступ пользователей и предотвратить
несанкционированный доступ к системам и сервисам.
A.9.2.1 Регистрация
Формализованный процесс регистрации пользователя и
пользователя и отмена
отмены регистрации пользователя должен быть внедрен
регистрации
для того, чтобы управлять правами доступа.
пользователя
A.9.2.2 Инициализация
Формализованный процесс инициализации доступа
доступа пользователя
должен быть внедрен для назначения или отмены прав
доступа для всех типов пользователей во всех системах
и услугах.
A.9.2.3 Управление правами
Распределение и использование прав
привилегированного
привилегированного доступа должно быть ограничено и
доступа
контролироваться.
A.9.2.4 Управление
Аутентификация пользователей для доступа к
аутентификацией
конфиденциальной информации должна управляться
пользователей
через формализованный процесс управления.
конфиденциальной
информации
A.8.2.1
Классификация
информации
Владельцы активов должны пересматривать права
доступа пользователей на регулярной основе.
A.9.2.6
Права доступа к информации и средствам обработки
информации всех сотрудников и представителей
сторонних организаций должны быть удалены или
изменены по окончании их трудовых, контрактных,
договорных отношений.
A.9.3 Ответственность пользователя
Цель: Обеспечить ответственность и выполнение пользователями выполнение процедуры
аутентификации
A.9.3.1 Пользование
Пользователи должны выполнять процедуры организации по
конфиденциальной использованию конфиденциальной информации
информацией
A.9.4 Управление доступом к системе и приложениям
Цель: Предотвратить неавторизованный доступ к системам и приложениям
A.9.4.1
Ограничение
Доступ к информации и функциям прикладных систем
доступа к
должен быть ограничен в соответствии с политикой
информации
управления доступом
A.9.4.2
Процедуры
При необходимости, в соответствии с политикой управления
защищенного
доступом, доступ к системам и приложениям должен
входа
управляться с помощью процедуры защищенного входа.
A.9.4.3
Система
Система управления паролями должна быть интерактивной
управления
и обеспечивать качество паролей.
паролями
A.9.4.4
Использование
Использование утилит, которые могут быть способны
системных утилит управлять системой и приложениями, должно быть
ограничено и строго контролироваться.
A.9.4.5
Управление
Доступ к исходным кодам программ должен быть
доступом к
ограничен.
исходным кодам
программ
A.10 Криптография
A.10.1 Управление средствами криптографии
Цель: Обеспечить корректное и эффективное использование средств криптографии для
защиты конфиденциальности, подлинности и/ или целостности информации
A.10.1.1 Политика
Политика использования средств криптографии для защиты
использования
информации должна быть разработана и внедрена
средств
криптографии
A.10.1.2 Управление
Политика по использованию, защите и использованию
ключами
криптографических ключей должна быть разработана и
внедрена в рамках всего их жизненного цикла.
A.11 Физическая безопасность и защита от окружающей среды
A.11.1 Зоны безопасности
Цель: Предотвращение несанкционированного физического доступа, повреждения и
вмешательства в информацию организации и в средства обработки информации.
A.11.1.1 Периметр
Периметры физической безопасности должны быть определены
физической
и должна быть применена защита зон, которые содержат
безопасности чувствительную, критическую информацию или средства
обработки информации.
A.11.1.2 Управление
Зоны безопасности должны быть защищены соответствующими
физическим
средствами управления для обеспечения того, чтобы доступ был
A.9.2.5
Пересмотр прав
доступа пользователей
Удаление или
изменение прав доступа
A.11.1.3
A.11.1.4
A.11.1.5
доступом
разрешен только уполномоченному персоналу.
Безопасность
офисов,
помещений и
оборудования
Защита от
внешних
угроз и угроз
окружающей
среды
Работа в
зонах
безопасности
Зоны
доставки и
погрузки /
разгрузки
Физическая безопасность для офисов, помещений и
оборудования должна быть спроектирована и внедрена.
Физическая защита от стихийных бедствий, умышленных атак
или несчастных случаев должна быть спроектирована и
внедрена.
Процедуры для работы в зонах безопасности должны быть
разработаны и внедрены.
Места доступа, такие как зоны доставки, погрузки/разгрузки, и
другие места, где посторонние лица могут находиться, должны
контролироваться и, при возможности, изолироваться от средств
обработки информации во избежание неавторизованного
доступа.
A.11.2 Безопасность оборудования
Цель: Предупредить потерю, порчу, хищение или компрометацию активов и прерывание
деятельности организации.
A.11.2.1 Размещение
Оборудование должно быть расположено и защищено так,
оборудования и
чтобы уменьшить риски от угроз окружающей среды и
его защита
опасностей, а также от возможности несанкционированного
доступа.
A.11.2.2 Вспомогательное Оборудование должно быть защищено от сбоев питания и
оборудование
других нарушений, вызванных отказами в работе
вспомогательного оборудования.
A.11.2.3 Кабельная
Энергетические и телекоммуникационные кабели,
безопасность
переносящие данные или необходимые для поддержки
информационных сервисов, должны быть защищены от
перехвата, вмешательства или повреждения.
A.11.2.4 Техническое
Оборудование должно поддерживаться в надлежащем
обслуживание
состоянии для обеспечения его доступности и целостности.
оборудования
A.11.2.5 Перемещение
Оборудование, информация или программное обеспечение
активов
не должны перемещаться за пределы разрешенного места
без предварительного разрешения.
A.11.2.6 Безопасность
Безопасность должна быть обеспечена, принимая во
оборудования и
внимание различные риски, связанные с эксплуатацией за
активов вне
пределами помещений и территории организации.
территории
организации
A.11.2.7 Безопасное
Все единицы оборудования, содержащие
уничтожение или носители информации, должны быть проверены
повторное
с целью гарантировать, что любые чувствительные данные и
использование
лицензионное программное обеспечение было удалено или
оборудования
надежно перезаписано перед ликвидацией.
A.11.2.8 Оборудование
Пользователи должны гарантировать, что
пользователя,
оборудование, находящееся без присмотра, защищено
находящееся без
подходящим образом.
A.11.1.6
присмотра
Должна быть внедрена политика чистого
рабочего стола для бумажных активов и съемных носителей
информации, а также политика чистого экрана для средств
обработки информации.
А.12 Безопасность при обработке информации
А.12.1 Операционные процедуры и ответственность
Цель: Обеспечить правильную и безопасную обработку объектов, обрабатывающих
информацию.
А.12.1.1 Документированн Операционные процедуры должны быть
ые операционные документированы и доступны для всех пользователей, кто в
процедуры
них нуждается
А.12.1.2 Управление
Изменения в организации, бизнес-процессах, средствах и
изменениями
системах обработки информации, влияющих на ИБ, должны
контролироваться.
А.12.1.3 Управление
Использование ресурсов должно быть контролируемым,
мощностями
приведенным к соответствию с текущими требованиями и
выполнены прогнозы для обеспечения требуемой
производительности системы в будущем.
А.12.1.4 Разделение
Среды разработки, тестирования и эксплуатации должны
средств
быть разделены для снижения рисков неавторизованного
разработки,
доступа или внесения изменений в среде эксплуатации.
тестирования и
эксплуатации
А.12.2 Защита от вредоносного ПО
Цель: Обеспечить, что информация и средства обработки информации защищены от
вредоносного ПО.
А.12.2.1 Меры защиты от
Должны быть внедрены меры обнаружения,
вредоносного ПО предупреждения и восстановления защиты от вредоностного
ПО совместно с осведомленностью пользователей.
А.12.3 Резервное копирование
Цель: Защита от потери данных.
А.12.3.1 Резервируемая
Должно выполняться резервное копирование информации,
информация
ПО и образов систем, резервные копии должны регулярно
тестироваться в соответствии с утвержденной политикой
резервного копирования.
А.12.4 Логи и мониторинг
Цель: Записывать события и получать фактические данные.
А.12.4.1 Ведение журнала Журналы событий, которые записывают действия
событий (логов)
пользователей, исключения, ошибки и события ИБ, должны
вестить, сохраняться и регулярно пересматриваться
А.12.4.2 Защита
Средства ведения логов и информация в них должна быть
информации в
защищена от повреждения и неавторизованного доступа.
логах
А.12.4.3 Логи
Деятельность системного администратора и оператора
администратора и должна регистрироваться, логи должны быть защищены и
оператора
регулярно пересматриваться.
А.12.4.4 Синхронизация
Часы всех систем обработки информации в организации или
часов
в домене безопасности должны быть синхронизированы с
единым источником точного времени.
A.11.2.9
Политика чистого
рабочего стола и
экрана
А.12.5 Контроль системного ПО
Цель: Обеспечить целостность операционных систем (ОС).
А.12.5.1 Установка ПО на Должны быть внедрены процедуры контроля установки ПО
ОС
на ОС
А.12.6 Управление техническими уязвимостями
Цель: Предотвратить использование технических уязвимостей.
А.12.6.1 Минимизация
Информация о технических уязвимостях используемых ИС
технических
должна быть получена своевременно. Незащищенность
уязвимостей
организации от уязвимостей должна быть оценена и
приняты соответствующие меры для решения связанных с
уязвимостями рисков
А.12.6.2 Ограничение на
Правила, регулирующие установку ПО пользователями
установку ПО
должны быть разработаны и внедрены.
А.12.7 Проведение аудита информационных систем
Цель: Минимизировать воздействие аудиторской деятельности на действующие системы.
А.12.7.1 Аудит
Требования к аудиту и деятельность, которая включена в
информационный проверку действующих систем, должны быть тщательно
систем
спланированы и согласованы, чтобы минимизировать сбои в
бизнес-процессах.
А.13 Безопасность связи
А.13.1 Управление сетевой безопасностью
Цель: Обеспечить защиту информации в сетях и поддерживающих средствах обработки
информации.
А.13.1.1 Сетевые элементы Для защиты информации в системах и приложениях сети
управления
должны управляться и контролироваться
А.13.1.2 Безопасность
Механизмы безопасности, уровень сервисов и требования к
сетевых сервисов управлению всеми сетевыми сервисами должны быть
определены и включены в соглашения сетевых сервисов, как
внутри организации, так и для аутсорсинга
А.13.1.3 Разделение в
Группы информационных услуг, пользователей и
сетях
информационных систем должны быть разделены в сетях.
А.13.2 Передача информации (коммуникации)
Цель: Поддерживать безопасность информации, передаваемой в рамках организации и с
любым внешним объектом.
А.13.2.1 Политика и
Политики, процедуры и элементы управления должны быть
процедуры
определены, чтобы защитить информацию передаваемую
передачи
посредством всех видов средств связи.
информации
А.13.2.2 Соглашения о
Соглашения должны решать безопасную передачу деловой
передачи
информации между организацией и внешними сторонами.
информации
А.13.2.3 Электронная
Информация, включенная в электронные сообщения, должна
передача
быть соответствующим образом защищена
сообщений
А.13.2.4 Соглашение о
Должны быть определены требования к соглашениям о
неразглашении
неразглашении, которые отражают потребности организации
информации
в защите информации. Требования к NDA должны
(NDA)
регулярно анализироваться и документироваться.
А.14 Приобретение, разработка и поддержка систем
А.14.1 Требования безопасности к информационным системам
Цель: Обеспечить, что ИБ является неотъемлемой частью ИС в течение всего их
жизненного цикла. Также включены требования к ИС, которые предоставляют сервисы по
общедоступным сетям.
А.14.1.1
А.14.1.2
А.14.1.3
Анализ требований
и спецификаций
по ИБ
Безопасность
прикладных
сервисов
в общедоступных
сетях
Защита транзакций
прикладных
сервисов
Требования по ИБ должны быть включены в требования к
новым информационным системам или при
усовершенствовании существующих ИС
Информация, включенная в прикладные сервисы,
проходящая через общедоступные сети, должна быть
защищена от мошеннической деятельности,
несанкционированного раскрытия и модификации
Информация включенная в транзакции прикладных
сервисов должна быть защищена, чтобы предотвратить
неполную передачу, неправильную маршрутизацию,
несанкционированное изменение сообщения,
несанкционированное раскрытие, дублирование или
воспроизведение сообщения.
А.14.2 ИБ при разработке и вспомогательных процессах
Цель: Обеспечить, что ИБ разработана и внедрена в рамках жизненного цикла разработки
информационных систем.
А.14.2.1 Политика
В организации должны быть установлены и применяться
безопасности при
правила по разработке ПО и систем
разработке
А.14.2.2 Процедуры
Изменения в системах в рамках жизненного цикла
управления изменения разработки должны контролироваться с помощью
в системе
процедур управления изменениями.
А.14.2.3 Технический анализ
При внесении изменений в ОС необходимо провести
приложений после
анализ и тестирование критических бизнес-приложений
внесения изменений в с целью удостовериться в отсутствии негативного
ОС
влияния на работу и безопасность организации
А.14.2.4 Ограничения на
Изменения в программных пакетах должны быть
внесение изменений в ограничены и все изменения должны строго
пакеты программ
контролироваться
А.14.2.5 Принципы
Принципы инженерных систем безопасности должны
безопасности
быть разработаны, документально оформлены,
инженерных систем
поддерживаться и применяется к любым ИС при
внедрении.
А.14.2.6 Безопасная среда
Организации должны установить и надлежащим
разработки
образом защищать безопасную среду разработки и
интеграции системы, которая охватывают весь
жизненный цикл разработки системы.
А.14.2.7 Аутсорсинговая
Организация должна осуществлять наблюдение и
разработка
контроль аутсорсинговой разработки систем.
А.14.2.8 Тестирование
Тестирование функциональных возможностей
безопасности
безопасности должно осуществляться в процессе
разработки
А.14.2.9 Принятие результатов Принятие результатов тестирования программ и
тестирования
связанного с ним критерия должно быть установлено
системы
для новых ИС, обновлений и новых версий
А.14.3 Тестовые данные
Цель: Обеспечить защиту данных, используемых при тестировании.
А.14.3.1 Защита тестовых
Тестовые данные должны быть тщательно подобраны,
данных
защищены и контролируемы.
А.15 Взаимоотношения с поставщиками
А.15.1 ИБ при взаимоотношении с поставщиками
Цель: Обеспечить защиту активов организации, которые доступны поставщиками
А.15.1.1 Политика ИБ при Для уменьшения рисков, связанных с доступом
взаимоотношении поставщиков к активам организации, должны
с поставщиками
быть согласованы и документированы требования по ИБ
А.15.1.2 Включение ИБ в
Все соответствующие требования ИБ должны быть
договора с
установлены и согласованы с каждым поставщиком,
поставщиками
который может получить доступ к информации организации
(к обработке, хранению, процессам взаимодействия) или
предоставлять компоненты ИТ-инфраструктуры.
А.15.1.3 Информационно- Соглашения с поставщиками должны включать требования
коммуникационн по решению рисков ИБ, которые связаны с информационноые технологии
коммуникационными технологиями поставок и цепочки
цепочки поставок поставки продукции.
А.15.2 Управление поставками
Цель: Поддерживать согласованный уровень ИБ и предоставления услуг в соответствии с
соглашениями с поставщиками.
А.15.2.1 Мониторинг и
Организация должна регулярно мониторить,
пересмотр услуг пересматривать и проводить аудит предоставленных услуг
поставщика
поставщика
А.15.2.2 Управление
Изменения в предоставлении услуг поставщиками, включая
изменениями
поддержку и улучшение существующей политики ИБ,
услуг
процедур и элементов управления, должны управляться с
поставщика
учетом критичности бизнес информации, систем и процессов
и повторной оценки рисков
А.16 Управление инцидентами ИБ
А.16.1 Управление инцидентами ИБ и улучшение
Цель: Обеспечить бесперебойный и результативный подход к управлению инцидентами
ИБ, включая сообщения о событиях безопасности и слабые стороны.
А.16.1.1 Ответственность
Должна быть установлена ответственность и процедуры для
и процедуры
обеспечения результативной и упорядоченной реакции на
инциденты ИБ
А.16.1.2 Оповещение о
События ИБ должны быть сообщены по соответствующим
событиях ИБ
управляемым каналам, как можно быстрее.
А.16.1.3 Оповещение о
Сотрудники и подрядчики, использующие информационные
недостатках ИБ
системы и сервисы организации обязаны сообщать о любых
наблюдаемых или предполагаемых недостатках ИБ в
системах или сервисах.
А.16.1.4 Оценка и решение События ИБ должны быть оценены и по ним должно быть
о событиях ИБ
принято решение если они классифицированы, как
инциденты ИБ
А.16.1.5 Реагирование на
Реагирование на инциденты ИБ должно быть установлено в
инциденты ИБ
соответствии с документированными процедурами.
А.16.1.6 Извлечение
Знания, полученные в результате анализа и решения
уроков из
инцидентов информационной безопасности, должны
инцидентов ИБ
использоваться, чтобы уменьшить вероятность или
воздействие будущих инцидентов.
А.16.1.7 Сбор правовых
Организация должна определить и применять процедуры
доказательств
для идентификации, сбора, приобретения и сохранения
информации, которые могут служить в качестве
доказательств в суде.
А.17 Аспекты ИБ при управлении непрерывностью бизнеса
А.17.1 Непрерывность ИБ
Цель: Непрерывность ИБ должна быть неотъемлемой частью системы управления
непрерывностью бизнеса организации.
А.17.1.1 Планирование
Организация должна определить свои требования к ИБ и
непрерывности
непрерывности при неблагоприятных ситуациях, например,
ИБ
во время кризиса или стихийного бедствия.
А.17.1.2 Внедрение
Организация должна установить, документировать, внедрить
непрерывности
и поддерживать процессы, процедуры и средства контроля
ИБ
для обеспечения требуемого уровня непрерывности ИБ во
время неблагоприятной ситуации.
А.17.1.3 Проверка,
Организация должна проверять разработанные и внедренные
пересмотр и
элементы управления непрерывностью ИБ на регулярной
оценка
основе в целях обеспечения того, что они являются
непрерывности
действительными и эффективными при неблагоприятных
ИБ
ситуациях.
А.17.2 Избыточность
Цель: Обеспечить доступность средств обработки информации.
А.17.2.1 Доступность
Средства обработки информации должны быть внедрены с
средств обработки избыточностью, чтобы удовлетворить требования
информации
доступности.
A.18 Соответствие требованиям
A.18.1 Соответствие законодательным и договорным требованиям
Цель: Предотвращение нарушения правовых, нормативных или договорных обязательств,
связанных с ИБ, и любых требований по безопасности.
A.18.1.1 Определение
Все соответствующие законодательные, нормативноприменимого
правовые и договорные требования должны быть четко
законодательства определены, документированы и поддерживаться в
и договорных
актуальном состоянии для каждой ИС и организации.
требований
A.18.1.2 Права
Должны быть внедрены соответствующие процедуры для
интеллектуальной обеспечения соответствия законодательным, нормативнособственности
правовым и договорным требованиям связанным с правами
интеллектуальной собственности и использованием
лицензионных программных продуктов.
A.18.1.3 Защита записей
Записи должны быть защищены от потери, уничтожения,
фальсификации, неавторизованного доступа и
неавторизованного релиза, в соответствии с
законодательными, нормативными, договорными и бизнестребованиями.
A.18.1.4 Конфиденциально Конфиденциальность и защита персональной
сть и защита
информации должна быть обеспечена в соответствии с
персональной
требованиями соответствующего законодательства, где это
информации
применимо.
A.18.1.5 Регулирование
Криптографические средства контроля должны
криптографически использоваться в соответствии со всеми соответствующими
х средств
соглашениями, законодательством и правилами.
контроля
A.18.2 Пересмотр (аудит) ИБ
Цель: Убедиться, что ИБ внедрена и управляется в соответствии с организационной
политикой и процедурами.
А.18.2.1
Независимый
пересмотр (аудит)
ИБ
Подход организации к УИБ и ее внедрению (т.е. управление
целями, элементами управления, политикой, процессами и
процедурами по ИБ) должен независимо пересматриваться
через запланированные интервалы или когда происходят
значительные изменения.
А.18.2.2
Соответствие
политикам
безопасности и
стандартам
А.18.2.3
Проверка
соответствия
техническим
требованиям
Менеджеры должны регулярно проводить
пересмотр соответствия обработки информации и процедур
в пределах своей ответственности в соответствии с
политиками безопасности, стандартами и другими
требованиями безопасности.
Информационные системы должны регулярно
пересматриваться на предмет соответствия политики ИБ
организации.
Положение о применимости (пример)
Параграф
Отметка о
в Прил. А применимости
A.9.4.3
Да
A.11.1.4
Частично
А.14.2.7
Нет
Ссылки на
соответствующие документы
Инструкция по управлению паролями в
информационной системе
Инструкция на случай пожара
Инструкция на случай наводнения
--
Коментарии
-Другие угрозы не
рассматриваются
Аутсорсинг
отсутствует
Контрольные вопросы
1. Какие вопросы при определении области применения СУИБ должна рассмотреть
организация?
2. Что должно должно продемонстрировать высшее руководство по отношению к
СУИБ?
3. Что включает в себя политика ИБ?
4. Какой должна быть политика ИБ?
5. Для чего высшее руководство должно распределить ответственность и делегировать
полномочия?
6. Какие мероприятия нужно проводить на этапе планирования СУИБ?
7. Какие 2 критерия для рисков ИБ нужно установить и поддерживать?
8. Что нужно определить, чтобы проанализировать риски ИБ?
9. Что нужно сделать, чтобы оценить риски ИБ?
10. Какие документы нужно создать на основании процесса обработки рисков ИБ?
11. Какие мероприятия нужно проводить на этапе реализации СУИБ?
12. Какие мероприятия нужно проводить на этапе контроля СУИБ?
13. Что организация должна проводить через запланированные интервалы времени?
14. Какие мероприятия нужно проводить на этапе улучшения СУИБ?
15. Какие 3 составляющие определяют безопасность, связанную с персоналом?
15. Какие 3 составляющие определяют управление активами?
16. Какие 4 составляющие определяют управление доступом?
17. Какие 2 составляющие определяют физическую безопасность?
18. Какие 2 составляющих определяют безопасность связи?
19. Какие 3 составляющие определяют поддержку информационных систем?
20. Какие 2 составляющие определяют взаимоотношения с поставщиками?
21. Какие 2 составляющие определяют аспекты непрерывности бизнеса?
22. Какие 2 составляющие определяют соответствие требованиям?
5. Свод правил управления информационной безопасностью
(стандарт ISO/IEC 27002:2013)
В 2000 году первая часть британского национального стандарта BS 77991 «Практические правила управления ИБ» была принята в качестве международного
стандарта ISO/IEC 17799 «ИТ - Практические правила управления ИБ». В 2005 году на его
основе был разработан новый международный стандарт ISO/IЕС 27002 «ИТ - Meтоды и
средства обеспечения безопасности - Свод норм и правил управления ИБ», который был
опубликован в июле 2007 года. Последнее обновление стандарта состоялось 25 сентября
2013 года.
Стандарт предлагает рекомендации и основные принципы введения, реализации,
поддержки и улучшения СУИБ в организации. Он может служить практическим
руководством по разработке стандартов безопасности организации, для эффективной
практики УИБ организаций и способствует укреплению доверия в отношениях между
организациями.
Стандарт состоит из 14 разделов, посвященных мерам и средствам контроля и
управления безопасности, которые все вместе содержат, в целом, 34 основные категории
безопасности:
1) политика ИБ (1);
2) организация ИБ (2);
3) безопасность, связанная с персоналом (3):
4) управление активами (3);
5) управление доступом (4);
6) криптография (1);
7) физическая безопасность и защита от окружающей среды (2);
8) безопасность при обработке информации (7);
9) безопасность связи (2);
10) приобретение, разработка и поддержка ИС (3);
11) взаимоотношения с поставщиками (2);
12) управление инцидентами ИБ (1);
13) аспекты ИБ при управлении непрерывностью бизнеса (2);
14) соответствие требованиям (2).
Каждая основная категория безопасности включает в себя:
- цель управления, в которой формулируется, что должно быть достигнуто;
- одну или более мер и средств контроля и управления, с помощью которых могут быть
достигнуты цели управления.
Описания меры и средства контроля и управления структурируются таким образом:
- мера и средство контроля и управления для достижения цели управления;
- рекомендация по реализации меры и средства контроля и управления и достижения
цели управления.
1. Политика ИБ
1.1. Требования политики ИБ
Цель: Реализовать требования политики ИБ и обеспечить поддержку для ИБ в
соответствии с требованиями бизнеса и действующим законодательством.
Документирование политики ИБ
Мера и средство контроля и управления
Политики ИБ документируется непосредственным оформлением, утверждением
руководства, опубликованием и доведением до сотрудников организации и
соответствующих внешних организаций.
Рекомендация по реализации
Политика ИБ должна устанавливать ответственность руководства, а также излагать
подход организации к УИБ, Документ, в котором излагается политика, должен содержать
положения относительно:
- определения ИБ, ее общих целей и сферы действия, а также упоминания значения
безопасности как инструмента, обеспечивающего возможность совместного использования
информации;
- изложения намерений руководства, поддерживающих цели и принципы ИБв
соответствии со стратегией и целями бизнеса;
- подхода к установлению мер и средств контроля и управления и целей их
применения, включая структуру оценки риска и менеджмента риска;
- краткого разъяснения наиболее существенных для организации политик
безопасности, принципов, стандартов и требований соответствия;
- определения общих и конкретных обязанностей сотрудников в рамках УИБ, включая
информирование об инцидентах безопасности;
- ссылок на документы, дополняющие политику ИБ, например более детальные
политики и процедуры безопасности для определенных ИС, а также правила безопасности,
которым должны следовать пользователи.
Политика ИБ должна быть доведена до сведения пользователей в рамках всей
организации в актуальной, доступной и понятной форме.
Пересмотр политики ИБ
Мера и средство контроля и управления
Политика ИБ должны быть пересмотрены через запланированные промежутки времени
или в случае значительных изменений с целью обеспечения их постоянной пригодности,
адекватности и эффективности.
Рекомендация по реализации
Политика ИБ должна иметь владельца, который утвержден руководством в качестве
ответственного за разработку, пересмотр и оценку политики. Пересмотр заключается в
оценке возможностей по улучшению политики ИБ организации и подхода к УИБ в ответ на
изменения организационной среды, обстоятельств бизнеса, правовых условий или
технической среды.
При пересмотре политики ИБ следует учитывать результаты пересмотров методов
управления. Должны существовать определенные процедуры пересмотра методов
управления, втом числе график или период пересмотра.
2. Организация ИБ
2.1. Внутренняя организация
Цель: Создать структуру управления с целью инициировать и управлять внедрением и
обеспечением ИБ в организации.
Роли и ответственность в рамках ИБ
Мера и средство контроля и управления
Все ответственности в поле ИБ должны быть определены и закреплены.
Рекомендация по реализации
Руководству следует:
- обеспечивать уверенность в том, что цели информационной безопасности
определены, соответствуют требованиям организации и включены в соответствующие
процессы;
- формулировать, анализировать и утверждать политику информационной
безопасности;
- анализировать эффективность реализации политики информационной безопасности;
- обеспечивать четкое управление и очевидную поддержку менеджмента в отношении
инициатив, связанных с безопасностью;
- обеспечивать ресурсы, необходимые для инф ормационной безопасности;
- утверждать определенные роли и ответственности в отношении информационной
безопасности в рамках организации;
- инициировать планы и программы для поддержки осведомленности об
информационной безопасности;
- обеспечивать уверенность в том, что реализация мер и средств контроля и управления
информационной безопасности скоординирована в рамках организации (см. 6.1.2).
Разделение обязанностей
Мера и средство контроля и управления
Противоречивые обязанности и зоны ответственности должны быть разделены с целью
снижения возможностей для несанкционированного, случайного изменения или
неправильного использования активов организации.
Рекомендация по реализации
Следует четко определять обязанности по защите отдельных активов и по выполнению
конкретных процессов, связанных с информационной безопасностью. Такие обязанности
следует дополнять, при необходимости, более детальными руководствами для конкретных
мест эксплуатации и средств обработки информации. Конкретные обязанности в отношении
защиты активов и осуществления специфических процессов, связанных с безопасностью,
например планирование непрерывности бизнеса, должны быть четко определены.
Круг обязанностей каждого руководителя должен быть четко определен, в частности:
- активы и процессы (процедуры) безопасности, связанные с каждой конкретной
системой, должны быть четко определены;
- необходимо назначить ответственных за каждый актив или процедуру безопасности, и
подробно описать их обязанности в соответствующих документах;
- уровни полномочий должны быть четко определены и документально оформлены.
Контакты с Властями
Мера и средство контроля и управления
Должны поддерживаться подходящие контакты с соответствующими органами.
Рекомендация по реализации
В организациях должны применяться процедуры, определяющие, когда и с какими
инстанциями (например правоохранительными, пожарными и надзорными органами)
необходимо вступить в контакт, и каким образом следует своевременно сообщать о
выявленных инцидентах ИБ, если есть подозрение о возможности нарушения закона.
Организациям, подвергающимся атаке через Интернет, может потребоваться
привлечение сторонней организации (например провайдера Интернет-услуг или
телекоммуникационного оператора) для принятия мер против источника атаки.
Контакт со специальными группами
Мера и средство контроля и управления
Должны поддерживаться надлежащие контакты со специальными группами или
другими форумами специалистов по безопасности, а также профессиональными
ассоциациями.
Рекомендация по реализации
Членство в специальных группах или форумах следует рассматривать как средство для:
- повышения знания о «передовом опыте» и достижений ИБ на современном уровне;
- обеспечения уверенности в том, что понимание проблем ИБ является современным и
полным;
- получения раннего оповещения в виде предупреждений, информационных сообщений
и патчей1, касающихся атаки уязвимостей;
- возможности получения консультаций специалистов по вопросам ИБ;
- совместного использования и обмена информацией о новых технологиях, продуктах,
угрозах или уяэвимостях;
- обеспечения адекватных точек контакта для обсуждения инцидентов ИБ.
Патч - блок изменений для оперативного исправления или нейтрализации ошибки в исполняемой
программе. чаще всего поставляемый (или размещаемый на сайте разработчика) в виде небольшой программы,
вставляющей исправления в объектный код соответствующих модулей приложения.
1
2.2. Мобильные устройства и удаленная работа
Цель: обеспечить безопасность удаленной работы и использования мобильных
устройств.
Политика для мобильных устройств
Мера и средство контроля и управления
Должна быть принята политика и меры по обеспечению безопасности с целью
управления рисками, связанными с использованием мобильных устройств.
Рекомендация по реализации
Политика для мобильных устройств, например ноутбуков, планшетов, смартфонов и
мобильных телефонов, должна учитывать риски, связанные с их работой в незащищенной
среде. Политика должна включать правила и рекомендации относительно подсоединения
мобильных устройств к сетям, а также руководство по их использованию в общедоступных
местах.
Следует проявлять осторожность при использовании мобильных устройств в
общедоступных местах, конференц-залах и других незащищенных местах вне организации.
Необходимо обеспечить защиту от неавторизованного доступа или раскрытия информации,
хранимой и обрабатываемой этими устройствами, например с помощью средств
криптографии.
Важно при использовании мобильных устройств в общедоступных местах проявлять
осторожность, чтобы избежать риска подсматривания неавторизованными лицами.
Необходимо внедрить и поддерживать в актуальном состоянии процедуры защиты от
вредоносных программ.
Соответствующую защиту необходимо обеспечить в отношении использования
мобильных устройств, подсоединенных к сетям. Удаленный доступ к информации бизнеса
через общедоступную сеть с использованием мобильных устройств следует осуществлять
только после успешной идентификации и аутентификации.
Мобильные устройства необходимо также физически защищать от краж, особенно
когда их оставляют без присмотра (забывают, например в автомобилях или других видах
транспорта, гостиничных номерах, конференц-залах и местах встреч). Для случаев потери
или кражи мобильных устройств должна быть установлена специальная процедура,
учитывающая законодательные, страховые и другие требования безопасности организации.
Оборудование, в котором переносится важная, чувствительная и (или) критическая
информация бизнеса, не следует оставлять без присмотра и по возможности должно быть
физически заблокировано или должны быть использованы специальные замки для
обеспечения безопасности оборудования.
Необходимо
провести
тренинг
сотрудников,
использующих
мобильные
вычислительные средства, с целью повышения осведомленности о дополнительных рисках,
связанных с таким способом работы и мерах и средствах контроля и управления, которые
должны быть выполнены.
Удаленная работа
Мера и средство контроля и управления
Должна быть принята политика и меры по обеспечению безопасности с целью защиты
доступа к информации, ее обработки или хранения при удаленной работе.
Рекомендация по реализации
Необходимо принимать во внимание следующее:
- существующую физическую безопасность места удаленной работы, включая
физическую безопасность здания и окружающей среды;
- предлагаемые условия удаленной работы;
- требования в отношении безопасности коммуникаций, учитывая потребность в
удаленном доступе к внутренним системам организации, чувствительность информации, к
которой будет осуществляться доступ, и которая будет передаваться по каналам связи;
- угрозу несанкционированного доступа к информации или ресурсам со стороны других
лиц, использующих место удаленной работы, например членов семьи и друзей;
- использование домашних компьютерных сетей, а также требования или ограничения в
отношении конфигурации услуг беспроводных сетей;
- лицензионные соглашения в отношении ПО, которые таковы, что организация может
стать ответственной за лицензирование клиентского ПО на рабочих станциях, находящихся в
частной собственности сотрудников или представителей внешних организаций;
- требования в отношении антивирусной защиты и межсетевых экранов.
3. Безопасность, связанная с персоналом
3.1. Перед приемом на работу
Цель: Гарантировать, что сотрудники и подрядчики понимают свою ответственность и
подходят для должностей, на которые они рассматриваются.
Проверка благонадежности
Мера и средство контроля и управления
Тщательная проверка всех кандидатов на постоянную работу и представители внешних
организаций должна проводиться согласно соответствующим законам, инструкциям и
правилам этики, пропорционально требованиям бизнеса, классификации информации, к
которой будет осуществляться доступ, и предполагаемым рискам.
Рекомендация по реализации
Такая проверка должна включать следующие элементы:
- наличие положительных рекомендаций, в частности, в отношении деловых и личных
качеств претендента;
- проверку (на предмет полноты и точности) биографии претендента;
- подтверждение заявленного образования и профессиональной квалификации;
- независимую проверку подлинности документов, удостоверяющих личность
(паспорта или заменяющего его документа);
- более детальную проверку, например кредитоспособности или на наличие судимости.
Условия трудоустройства
Мера и средство контроля и управления
В рамках своих договорных обязательств, сотрудники и представители внешних
организаций должны согласовать и подписать условия своего трудового договора,
устанавливающего их ответственность и ответственность организации в отношении
информационной безопасности.
Рекомендация по реализации
Условия занятости должны отражать политику безопасности организации и, кроме
того, разъяснять и констатировать:
- что все сотрудники и представители внешних организаций, имеющие доступ к
чувствительной информации, должны подписывать соглашение о конфиденциальности или
неразглашении прежде, чем им будет предоставлен доступ к средствам обработки
информации;
- правовую ответственность и права сотрудников, подрядчиков и любых других
клиентов, например в части законов об авторском праве или законодательства о защите
персональных данных;
- обязанности в отношении классификации информации и менеджмента активов
организации, связанных с ИС и услугами, выполняются сотрудником и представителем
внешних организаций;
- ответственность сотрудника и представителя внешних организаций за обработку
информации, получаемой от других фирм и сторонних организаций;
- ответственность организации за обработку персональной информации, включая
персональную информацию, полученную в результате или в процессе работы в организации;
- ответственность, распространяющуюся также и на работу вне помещений
организации и в нерабочее время, например в случае исполнения работы на дому;
- действия, которые должны быть предприняты в случае, если сотрудник
илипредставитель внешних организаций игнорирует требования безопасности организации.
При необходимости ответственность, возлагаемая на сотрудника по условиям
занятости, должна сохраняться сотрудником в течение определенного периода времени и
после окончания работы в организации.
3.2. Во время работы
Цель: Гарантировать, что все сотрудники организации и представители внешних
организаций осведомлены о своей ответственности и корректно выполняют свои
обязательства в поле ИБ.
Ответственность руководства
Мера и средство контроля и управления
Руководство должно требовать от всего персонала и представителей внешних
организаций соблюдения правил ИБ в соответствии с установленными политиками и
процедурами организации.
Рекомендация по реализации
Руководство обязано обеспечить уверенность в том, что сотрудники или подрядчики:
- были проинформированы о своих ролях и обязанностях в области ИБ прежде, чем им
был предоставлен доступ к чувствительной информации или ИС;
- обеспечены рекомендациями по формулированию их предполагаемых ролей в
отношении безопасности в рамках организации;
- заинтересованы следовать политикам безопасности организации;
- достигают уровня осведомленности в отношении безопасности, соответствующего их
ролям и обязанностям в организации;
- следуют условиям занятости, которые включают политику ИБ организации и
соответствующие методы работы;
- продолжают поддерживать соответствующие навыки и квалификацию.
Осведомленность в поле ИБ, обучение и инструктажи
Мера и средство контроля и управления
Все сотрудники организации и, где применимо, представители внешних организаций
должны принимать участие в соответствующих обучениях по повышению осведомленности
и тренингах, а также на постоянной основе знакомиться с политиками и процедурами
организации, применимыми к их функциям.
Рекомендация по реализации
Обучение, обеспечивающее осведомленность, следует начинать с формального
вводного процесса, предназначенного для ознакомления с политиками и ожиданиями
организации в области безопасности прежде, чем будет предоставлен доступ к информации
или услугам.
Постоянное обучение должно охватывать требования безопасности, правовую
ответственность, управление бизнесом, а также обучение правильному использованию
средств обработки информации, например процедуре начала сеанса, использованию пакетов
программ и информации о дисциплинарном процессе.
Дисциплинарный процесс
Мера и средство контроля и управления
Должен существовать формализованный дисциплинарный процесс, известный
персоналу, на основании которого предпринимаются меры в отношении сотрудников,
совершивших нарушение в поле ИБ.
Рекомендация по реализации
Не следует начинать дисциплинарный процесс, не получив предварительного
подтверждения того, что нарушение безопасности произошло.
Дисциплинарный процесс призван обеспечить уверенность в корректном и
справедливом рассмотрении дел сотрудников, подозреваемых в совершении нарушений
безопасности. Дисциплинарный процесс следует обеспечивать для дифференцированного
реагирования, учитывающего такие факторы, как тип и тяжесть нарушения и его негативное
влияние на бизнес, совершено ли нарушение впервые или повторно, получил ли нарушитель
должную подготовку, соответствующее законодательство, договоры в сфере бизнеса и
другие факторы, если в этом есть необходимость. В серьезных случаях неправомерного
поведения процесс должен обеспечивать возможность безотлагательного аннулирования
обязанностей, прав доступа и привилегий сотрудника и, при необходимости, немедленного
удаления его из информационного процесса.
3.3. Увольнение или изменение должности
Цель: Защищать интересы организации при увольнении или изменении должности
сотрудника.
Увольнение или изменение профессиональных обязанностей
Мера и средство контроля и управления
Ответственность и обязанности в поле ИБ, которые остаются в силе после увольнения
или изменения профессиональных обязанностей, должны быть определены, доведены до
сведения сотрудника, а также должны быть реализованы меры по их выполнению.
Рекомендация по реализации
Информирование об увольнении или изменении профессиональных обязанностей
должно включать в себя актуальные требования безопасности и правовую ответственность
(например, в случае невозвращения переданных активов), и при необходимости,
обязанности, содержащиеся в соглашении о конфиденциальности, а также условия
трудоустройства, продолжающие действовать в течение определенного периода времени
после увольнении или изменении профессиональных обязанностей сотрудников.
4. Управление активами
4.1. Ответственность за активы
Цель: Определить активы организации и определить ответственности по их защите.
Инвентаризация активов
Мера и средство контроля и управления
Активы, связанные с информацией и средствами для обработки информации, должны
быть определены и реестр этих активов должен быть составлен и поддерживаться в рабочем
виде.
Рекомендация по реализации
Организации следует идентифицировать все активы и документально оформлять
значимость этих активов. В опись активов следует включить всю информацию,
необходимую для восстановления после бедствия, в том числе тип актива, формат,
местоположение, информацию о резервных копиях, информацию о лицензировании и
ценности для бизнеса. Опись не должна без необходимости дублировать другие описи, но
следует обеспечивать уверенность в том, что ее содержание выверено.
Кроме того, владение и классификация информации должны быть согласованы и
документально оформлены в отношении каждого актива. Основываясь на важности актива,
его ценности для бизнеса и его категории секретности, надлежит определить уровни защиты,
соответствующие значимости активов.
Описи активов помогают обеспечивать уверенность в том, что активы организации
эффективно защищены, данные описи могут также потребоваться для других целей, таких
как обеспечение безопасности труда, страховые или финансовые вопросы. Процесс
инвентаризации активов - важное условие для управления рисками.
Владельцы активами
Мера и средство контроля и управления
Активам, приведенным в реестре активов, должны быть определены владельцы.
Рекомендация по реализации
Владелец актива должен нести ответственность за:
- обеспечение уверенности в том, что информация и активы, связанные со средствами
обработки информации, классифицированы соответствующим образом;
- определение и периодический пересмотр ограничений и классификаций доступа,
принимая в расчет применимые политики управления доступом.
Владение может распространяться на:
- процесс бизнеса;
- определенный набор деятельностей;
- прикладные программы;
- определенное множество данных.
Допустимое использование активов
Мера и средство контроля и управления
Правила допустимого использования информации и активов, связанных с информацией
и средствами для обработки информации, должны быть определены, документированы и
внедрены.
Рекомендация по реализации
Всем служащим или подрядчикам рекомендуется следовать правилам дупустимого
использования информации и активов, связанных со средствами обработки информации,
включая:
- правила использования электронной почты и Интернета;
- рекомендации по использованию мобильных устройств, особенно в отношении
использования их за пределами помещений организации.
Служащие и представители внешних организаций, использующие или имеющие доступ
к активам организации, должны быть осведомлены о существующих ограничениях в
отношении использования ими информации и активов организации, связанных со
средствами обработки информации и ресурсами. Они должны нести ответственность за
использование ими любых средств обработки информации, и любое использование таких
средств осуществлять под свою ответственность.
Возврат активов
Мера и средство контроля и управления
Все сотрудники организации и представители внешних организаций обязаны
возвратить все активы организации, которые они имеют, после прекращения работы или
окончания контракта.
Рекомендация по реализации
Процесс увольнении или изменении должности должен быть формализован таким
образом, чтобы включать в себя возврат всего ранее выданного программного обеспечения,
корпоративных документов и оборудования. Необходимо возвращать также другие активы
организации, например мобильную вычислительную технику, кредитные карты, карты
доступа, программное обеспечение, руководства и информацию, хранящуюся на
электронных носителях.
В тех случаях, когда сотрудник или представитель внешних организаций покупает
оборудование организации или использует свое собственное оборудование, необходимо
следовать процедурам, обеспечивающим уверенность в том, что вся значимая информация
была передана организации и удалена из оборудования безопасным образом.
4.2. Классификация информации
Цель: Обеспечить, чтобы различные типы информации были надлежащим образом
защищены в соответствии с их значением для организации.
Маркировка информации
Мера и средство контроля и управления
Соответствующий набор правил для маркировки информации должен быть разработан
и внедрен в соответствии со схемой классификации информации, принятой в организации.
Рекомендация по реализации
Необходимо, чтобы процедуры маркировки информации охватывали информационные
активы, представленные какв физической, так и в электронной форме.
Выводимые
из
систем
документы,
содержащие
информацию,
которая
классифицирована
как
чувствительная
или
критическая,
должны
содержать
соответствующий маркировочный знак. Маркированными могут быть напечатанные отчеты,
экранные отображения, носители информации (компакт-диски, флэшки) , электронные
сообщения и пересылаемые файлы.
Для каждого уровня классификации должны быть определены процедуры обработки,
включающие безопасную обработку, хранение, передачу, снятие грифа секретности и
уничтожение. Сюда следует также отнести процедуры по обеспечению сохранности и
регистрации любого события, имеющего значение для безопасности.
Использование активов
Мера и средство контроля и управления
Процедуры по использованию активов должны быть разработаны и внедрены в
соответствии со схемой классификации информации, принятой в организации.
Рекомендация по реализации
Всем сотрудникам и представителям сторонних организаций рекомендуется следовать
таким правилам:
- правила пользования электронной почтой и Интернетом;
- рекомендации по использованию мобильных устройств, особенно в отношении
использования их за пределами организации.
Сотрудники и представители сторонних организаций, имеющие доступ к активам
организации, должны быть осведомлены о существующих ограничениях в отношении
использования ими информации и активов организации. Они должны нести ответственность
за использование ими любых средств обработки информации.
4.3. Использование носителей информации
Цель: Предотвратить несанкционированное раскрытие, модификацию, удаление или
уничтожение информации, хранящейся на носителях информации.
Управление сменными носителями информации
Мера и средство контроля и управления
Должны быть внедрены процедуры для управления съемными носителями информации
в соответствии со схемой классификации, принятой в организации.
Рекомендация по реализации
Необходимо рассмотреть следующие рекомендации в отношении управления
сменными носителями информации:
- если не предполагается повторно использовать содержание носителей информации,
которые должны быть перемещены за пределы организации, то информацию необходимо
сделать неизвлекаемой;
- где необходимо и практично, должно требоваться разрешение на вынос носителей
информации из организации и запись о таком перемещении следует хранить как
контрольную запись для аудита;
- все носители информации должны храниться в надежной, безопасной среде, в
соответствии со спецификациями изготовителей;
- информацию, хранимую на носителях, востребованную дольше, чем жизненный цикл
носителя, следует хранить также и в другом месте, во избежание потери информации
вследствие износа носителей;
- для уменьшения возможности потери данных должна быть предусмотрена
регистрация сменных носителей информации;
- сменные дисковые накопители разрешается использовать только в случае,
обусловленном потребностями бизнеса.
Все процедуры и уровни авторизации должны быть четко зафиксированы
документально.
Уничтожение носителей информации
Мера и средство контроля и управления
Если носитель информации больше не требуется, то он должен быть надежно
уничтожен, в соответствии с формализованной процедурой.
Рекомендация по реализации
Необходимо рассмотреть следующие вопросы:
- носители, содержащие чувствительную информацию, должны храниться и
уничтожаться надежно и безопасно, например посредством сжигания или измельчения;
- должны существовать процедуры по выявлению носителей информации, которые
необходимо уничтожить;
- может оказаться проще принимать меры по сбору и уничтожению всех носителей
информации, чем пытаться выделить носители с чувствительной информацией;
- многие организации предлагают услуги по сбору и уничтожению оборудования и
носителей информации; следует тщательно выбирать подходящего подрядчика с учетом
имеющегося у него опыта и применяемых мер и средств контроля и управления;
- уничтожение носителей, содержащих чувствительную информацию, следует
фиксировать как контрольную запись для аудита.
Транспортировка носителей информации
Мера и средство контроля и управления
Носители, содержащие информацию, должны быть защищены от неправильного
использования, несанкционированного доступа или повреждения во время транспортировки.
Рекомендация по реализации
Для защиты носителей информации, передаваемых между различными пунктами
назначения, необходимо учитывать следующие рекомендации:
- необходимо пользоваться услугами надежных перевозчиков или курьеров;
- список курьеров необходимо согласовывать с руководством;
- необходимо разработать процедуры для проверки идентификации курьеров;
- упаковка носителей информации должна быть достаточно прочной для защиты от
любого физического повреждения, которое может иметь место при транспортировке, и
соответствовать любым требованиям изготовителей (например программного обеспечения),
- необходимо обеспечивать защиту носителей информации при транспортировке от
воздействия любых факторов окружающей среды, таких как тепловой эффект, влажность
или электромагнитные поля;
- меры и средства контроля и управления следует применять для защиты
чувствительной информации от неавторизованного раскрытия или модификации.
5. Управление доступом
5.1. Требования по управлению доступом
Цель: Ограничить доступ к информации и средствам обработки информации.
Политика управления доступом
Мера и средство контроля и управления
Политика управления доступом должна быть разработана, документально оформлена и
пересматриваться на основе требований бизнеса и требований ИБ.
Рекомендация по реализации
Пользователям и поставщикам услуг должны быть представлены четко
сформулированные требования, предъявляемые к управлению доступом.
Необходимо, чтобы в политике было учтено следующее:
- требования в отношении безопасности конкретных прикладных программ;
- определение всей информации, связанной с прикладными программами, и рисков,
касающихся информации;
- правила в отношении распространения информации и авторизации доступа, например
необходимо знать принципы и уровни безопасности и классификации информации;
- согласованность между управлением доступом и политиками классификации
информации различных систем и сетей;
- соответствующие требования законодательства и любые договорные обязательства в
отношении защиты доступа к данным или услугам;
- стандартные профили доступа пользователей для должностных ролей в организации;
- управление правами доступа в распределенной среде или сетях с учетом всех типов
доступных соединений;
- разделение ролей в отношении управления доступом, например запрос доступа,
авторизация доступа, администрирование доступа;
- требования в отношении формального разрешения запросов доступа;
- требования в отношении периодического пересмотра управления доступом;
- аннулирование прав доступа.
Доступ к сетям и сетевым сервисам
Мера и средство контроля и управления
Пользователям должен предоставляться доступ к сетям и сетевым сервисам только в
том случае, когда они имеют официальные полномочия на это.
Рекомендация по реализации
Следует сформулировать политику относительно использования сетей и сетевых услуг,
которая должна быть согласована с политикой управления доступом.
В политике необходимо рассмотреть:
- сети и сетевые услуги, к которым разрешен доступ;
- процедуры авторизации для определения того, кому и к каким сетям и сетевым
услугам разрешен доступ;
- меры и средства контроля и управления, а также процедуры по защите доступа к
сетевым подключениям и сетевым услугам;
- средства, используемые для осуществления доступа к сетям и сетевым услугам
(например условия доступа к провайдеру Интернет-услуг или удаленной системе).
5.2. Управление доступом пользователей
Цель: Обеспечить авторизованный доступ
несанкционированный доступ к системам и сервисам.
пользователей
и
предотвратить
Регистрация пользователя и отмена регистрации пользователя
Мера и средство контроля и управления
Формализованный процесс регистрации пользователя и отмены регистрации
пользователя должен быть внедрен для того, чтобы управлять правами доступа.
Рекомендация по реализации
Процесс регистрации и отмены регистрации пользователя должен включать:
- требование от пользователей подписать заявление о регистрации и принятии условий
доступа;
- предоставление пользователям письменного уведомления об их регистрации и правах
доступа (или отмене регистрации и прав доступа);
- проверку того, что пользователь имеет разрешение владельца системы на
использование информационной системы или услуги;
- обеспечение уверенности в том, что поставщики услуг не предоставляют доступ, пока
процедуры авторизации не завершены;
- ведение формального учета всех лиц, зарегистрированных как пользователи услуг.
Инициализация доступа пользователя
Мера и средство контроля и управления
Формализованный процесс инициализации доступа должен быть внедрен для
назначения или отмены прав доступа для всех типов пользователей во всех системах и
услугах.
Рекомендация по реализации
Процесс инициализации доступа пользователей должен включать:
- проверку того, что уровень предоставленного доступа соответствует целям бизнеса и
согласуется с политикой ИБ организации, например, не нарушает принципа разграничения
обязанностей;
- использование уникальных идентификаторов пользователей, позволяющих отследить
действия пользователей, чтобы они несли ответственность за свои действия;
- немедленную отмену или блокирование прав доступа пользователей, у которых
изменились роль, или рабочее место, или уволившихся из организации;
- периодическую проверку и удаление или блокирование избыточных пользовательских
идентификаторов и учетных записей.
Управление правами привилегированного доступа
Мера и средство контроля и управления
Распределение и использование прав привилегированного доступа должно быть
ограничено и контролироваться.
Рекомендация по реализации
Необходимо рассмотреть следующие меры:
- определение прав привилегированного доступа в отношении каждого системного
продукта, например эксплуатируемой системы, СУБД, каждой прикладной программы и
пользователей, которым эти привилегии должны быть предоставлены;
- права привилегированного доступа должны предоставляться пользователям на
основании принципа необходимости и принципа «событие за событием» в соответствии с
политикой управления доступом, т. е. минимального требования для их функциональной
роли, только при необходимости;
- обеспечение процесса авторизации и регистрации в отношении всех предоставленных
прав привилегированного доступа, они не должны предоставляться до завершения процесса
авторизации;
- проведение политики разработки и использования стандартных системных утилит
(скриптов), для того чтобы избежать необходимости предоставления прав
привилегированного доступа пользователям;
- поощрение разработки и использования программ, позволяющих избежать
необходимости предоставления прав привилегированного доступа при их исполнении;
- использование различных идентификаторов пользователей при работе в нормальном
режиме и с использованием прав привилегированного доступа.
Управление аутентификацией пользователей конфиденциальной информации
Мера и средство контроля и управления
Аутентификация пользователей для доступа к конфиденциальной информации должна
управляться через формализованный процесс управления паролями.
Рекомендация по реализации
Формализованный процесс управления должен включать следующие требования:
- пользователей необходимо обязать подписать заявление о сохранении личных
паролей в тайне;
- если пользователи самостоятельно управляют собственными паролями, им следует
первоначально предоставить безопасный временный пароль, который подлежит
немедленной принудительной замене после входа в систему;
- создание процедур проверки личности пользователя прежде, чем ему будет
предоставлен новый,заменяющий или временный пароль;
- временные пароли следует выдавать пользователям безопасным способом, при этом
необходимо избегать использования незащищенного (открытого) текста сообщений
электронной почты;
- временные пароли должны быть уникальны для каждого пользователя и не должны
быть легко угадываемыми;
- пользователи должны подтверждать получение паролей;
- пароли никогда не следует хранить в компьютерных системах в незащищенной
форме;
- пароли поставщика, установленные по умолчанию, необходимо изменить после
инсталляции систем или программного обеспечения.
Пересмотр прав доступа пользователей
Мера и средство контроля и управления
Владельцы активов должны пересматривать права доступа пользователей на
регулярной основе.
Рекомендация по реализации
При пересмотре прав доступа должны учитываться следующие рекомендации:
- права доступа должны пересматриваться регулярно, например через 6 месяцев, и
после любых изменений, таких как повышение/понижение в должности, или увольнения;
- права доступа пользователей должны пересматриваться и переназначаться при
переходе с одной работы на другую в пределах одной организации;
- разрешения в отношении прав привилегированных доступа должны пересматриваться
через небольшие интервалы времени, например через 3 месяца;
- предоставленные привилегии должны пересматриваться через равные интервалы
времени для обеспечения уверенности в том, что не были получены неавторизованные
привилегии;
- изменения привилегированных учетных записей должны регистрироваться для
периодического анализа.
Удаление или изменение прав доступа
Мера и средство контроля и управления
Права доступа к информации и средствам обработки информации всех сотрудников и
представителей сторонних организаций должны быть удалены или изменены по окончании
их трудовых, контрактных, договорных отношений.
Рекомендация по реализации
Права доступа к информационным активам и средствам обработки информации
следует уменьшать или аннулировать до увольнения или смены места работы, в зависимости
от оценки факторов риска, например:
- было ли увольнение или смена места работы инициированы сотрудником или
руководством, и причина этого;
- текущие обязанности сотрудника;
- значимость активов, доступных в настоящий момент.
5.3. Ответственность пользователя
Цель: Обеспечить
аутентификации.
ответственность
и
выполнение
пользователями
процедуры
Пользование конфиденциальной информацией
Мера и средство контроля и управления
Пользователи должны выполнять процедуры организации по использованию
конфиденциальной информации.
Рекомендация по реализации
Процедуры должны учитывать следующие рекомендации:
- задокументированное разрешение руководства на допуск пользователей к
конфиденциальной информации;
- ограничение доступа персонала и посторонних лиц в помещения, где размещены
средства обработки конфиденциальной информации, а также хранятся носители
конфиденциальной информации;
- регистрация и надежное хранение средств обработки и носителей конфиденциальной
информации;
- порядок обращения с конфиденциальной информацией, исключающий ее хищение,
подмену и уничтожение;
- резервирование средств обработки конфиденциальной информации, баз данных и
носителей конфиденциальной информации;
- осуществление передачи конфиденциальной информации способом, который
гарантирует ее защиту (например, шифрованием или специальным курьером);
- задокументированное разрешение руководства на уничтожение, копирование и
размножение конфиденциальной информации.
5.4. Управление доступом к системе и приложениям
Цель: Предотвратить неавторизованный доступ к системам и приложениям.
Ограничение доступа к информации
Мера и средство контроля и управления
Доступ пользователей и персонала поддержки к информации и функциям прикладных
систем должен ограничиваться в соответствии с определенной политикой в отношении
управления доступом.
Рекомендация по реализации
Необходимо рассмотреть возможность применения следующих рекомендаций для
соблюдения требований по ограничению доступа:
- наличие пунктов меню, позволяющих управлять доступом к функциям прикладных
систем;
- управление правами доступа пользователей, например чтение, запись, удаление,
выполнение;
- управление правами доступа других прикладных программ;
- обеспечение уверенности в том, что данные, выводимые из прикладных систем,
обрабатывающих чувствительную информацию, содержат только требуемую информацию и
отправлены только в адреса авторизованных терминалов и мест назначения.
Процедуры защищенного входа
Мера и средство контроля и управления
При необходимости, в соответствии с политикой управления доступом, доступ к
системам и приложениям должен управляться с помощью процедуры защищенного входа.
Рекомендация по реализации
Правильная процедура защищенного входа характеризуется следующими свойствами:
- не отображает наименований системы и приложений, пока процесс защищенного
входа не будет успешно завершен;
- отображает общее предупреждение о том, что доступ к компьютеру могут получить
только авторизованные пользователи;
- не предоставляет сообщений-подсказок в течение процедуры начала сеанса, которые
могли бы помочь неавторизованному пользователю;
- подтверждает информацию начала сеанса только по завершении ввода всех исходных
данных, а в случае ошибочного ввода, система не должна показывать, какая часть данных
является правильной или неправильной;
- ограничивает число разрешенных неудачных попыток защищенного входа (например,
3 попытки);
- ограничивает максимальное и минимальное время, разрешенное для процедуры
начала сеанса, если оно превышено, система должна прекратить защищенный вход;
- отображает информацию в отношении успешного защищенного входа;
- не отображает введенный пароль или предусматривает скрытие знаков пароля с
помощью символов;
- не передает пароли открытым текстом по сети.
Система управления паролями
Мера и средство контроля и управления
Система управления паролями должна быть интерактивной и обеспечивать качество
паролей.
Рекомендация по реализации
Система управления паролями должна:
- предписывать использование индивидуальных пользовательских идентификаторов и
паролей с целью установления персональной ответственности;
- позволять пользователям выбирать и изменять свои пароли, и включать процедуру
подтверждения ошибок ввода;
- предписывать использование качественных паролей;
- принуждать к изменению паролей;
- заставлять пользователей изменять временные пароли при первом начале сеанса;
- вести учет предыдущих пользовательских паролей и предотвращать их повторное
использование;
- не отображать пароли на экране при их вводе;
- хранить файлы паролей отдельно отданных прикладных систем;
- хранить и передавать пароли в защищенной (например, зашифрованной) форме.
Использование системных утилит
Мера и средство контроля и управления
Использование утилит, которые могут быть способны управлять системой и
приложениями, должно быть ограничено и строго контролироваться.
Рекомендация по реализации
Необходимо рассмотреть следующие рекомендации по использованию системных
утилит:
- использование процедур идентификации, аутентификации и авторизации для
системных утилит;
- отделение системных утилит от прикладных программ;
- ограничение использования системных утилит минимальным числом доверенных
авторизованных пользователей;
- авторизация на использование специальных системных утилит;
- ограничение доступности системных утилит, например на время внесения
авторизованных изменений;
- регистрация использования всех системных утилит;
- определение и документальное оформление уровней авторизации в отношении
системных утилит;
- удаление или блокирование ненужного программного обеспечения утилит и
системного ПО;
- обеспечение недоступности системных утилит для пользователей, имеющих доступ к
прикладным программам на системах, где требуется разделение обязанностей.
Управление доступом к исходным кодам программ
Мера и средство контроля и управления
Доступ к исходным кодам программ должен быть ограничен.
Рекомендация по реализации
Чтобы сократить возможность искажения компьютерных программ, необходимо
рассмотреть следующие рекомендации по управлению доступом к исходным кодам
программ:
- по возможности следует избегать хранения исходным кодам программ в
эксплуатируемых системах;
- управление исходными кодами программ следует осуществлять в соответствии с
установленными процедурами;
- персонал поддержки не должен иметь неограниченный доступ к исходным кодам
программ;
- обновление исходных кодов программ и связанных с ними элементов, а также
предоставление программистам исходных кодов программ должны осуществляться только
после получения соответствующего разрешения;
- распечатки (листинги) программ следует хранить безопасным образом;
- в контрольном журнале должны фиксироваться все обращения к исходным кодам
программ;
- поддержку и копирование исходных кодов программ следует осуществлять в
соответствии со строгими процедурами контроля изменений.
6. Криптография
6.1. Управление средствами криптографии
Цель: Обеспечить корректное и эффективное использование средств криптографии для
защиты конфиденциальности, подлинности и/или целостности информации.
Политика использования средств криптографии
Мера и средство контроля и управления
Политика использования средств криптографии для защиты информации должна быть
разработана и внедрена.
Рекомендация по реализации
При разработке политики необходимо учитывать следующее:
- позицию руководства в отношении использования средств криптографии во всей
организации, включая общие принципы, в соответствии с которыми должна быть защищена
бизнес-информация;
- основанный на оценке риска требуемый уровень защиты, который должен быть
определен с учетом типа, стойкости и качества требуемого алгоритма шифрования;
- использование шифрования для защиты чувствительной информации, передаваемой с
помощью переносных или сменных носителей и устройств или по линиям связи;
- подход к управлению ключами, включая методы по защите криптографических
ключей и восстановлению зашифрованной информации в случае потери, компрометации или
повреждения ключей;
- роли и обязанности, например персональная ответственность за внедрение политики и
управление ключами, включая генерацию ключей;
- стандарты, которые должны быть приняты для эффективной реализации во всей
организации (какое решение используется и для каких процессов бизнеса);
- влияние использования зашифрованной информации на меры и средства контроля и
управления, которые базируются на проверки содержимого (например, обнаружение
вирусов).
Средства криптографии могут использоваться для достижения различных целей
безопасности, например:
- конфиденциальности - посредством использования шифрования информации как
хранимой, так и передаваемой;
- целостности/аутентичности - посредством использования цифровых подписей или
кодов аутентификации сообщений для защиты аутентичности и целостности хранимой или
передаваемой информации;
- неотказуемости - посредством использования криптографических методов для
получения подтверждения того, что событие или действие имело или не имело место.
Управление ключами
Мера и средство контроля и управления
Политика по использованию, защите и использованию криптографических ключей
должна быть разработана и внедрена в рамках всего их жизненного цикла.
Рекомендация по реализации
Система управления ключами должна быть основана на согласованном множестве
стандартов, процедур и безопасных методов для:
- генерации ключей для различных криптосистем и прикладных программ;
- генерации и получения сертификатов открытых ключей;
- рассылки ключей предполагаемым пользователям, включая инструкции по активации
указанных ключей при получении;
- хранения ключей, в том числе инструкций в отношении получения доступа к ключам
авторизованных пользователей;
- замены или обновления ключей, включая правила в отношении порядка и сроков
замены ключей;
- действий в отношении скомпрометированных ключей;
- аннулирования ключей, в том числе порядок изъятия и деактивации, например в
случае компрометации ключей или при увольнении пользователя из организации;
- восстановления ключей, которые были утеряны или испорчены, как часть управления
непрерывностью бизнеса, например для восстановления зашифрованной информации;
- архивирования ключей, например для восстановления заархивированной или
резервной информации;
- уничтожения информации;
- регистрации и аудита действий, связанных с управлением ключами.
7. Физическая безопасность и защита от окружающей среды
7.1. Зоны безопасности
Цель: Предотвращение несанкционированного физического доступа, повреждения и
вмешательства в информацию и в средства обработки информации.
Периметр зоны безопасности
Мера и средство контроля и управления
Периметры физической безопасности должны быть определены и должна быть
применена защита зон, которые содержат чувствительную, критическую информацию или
средства обработки информации.
Рекомендация по реализации
В отношении периметров зоны безопасности рекомендуется рассматривать и
реализовывать следующие рекомендации:
- периметры должны быть четко определены, а размещение и надежность каждого из
периметров должны зависеть от требований безопасности активов, находящихся в пределах
периметра, и от результатов оценки риска;
- периметры здания или помещений, где расположены средства обработки
информации, должны быть физически прочными (т.е. не должно быть никаких промежутков
в периметре или мест, через которые можно было бы легко проникнуть); внешние стены
помещений должны иметь твердую конструкцию, а все внешние двери должны быть
соответствующим образом защищены от неавторизованного доступа, например оснащены
шлагбаумом, сигнализацией, замками т. п.; двери и окна помещений в отсутствие
сотрудников должны быть заперты, и внешняя защита должна быть предусмотрена для окон,
особенно если они находятся на уровне земли;
- должна быть выделена и укомплектована персоналом зона регистрации посетителей,
или должны существовать другие меры для контроля физического доступа в помещения или
здания; доступ в помещения и здания должен предоставляться только авторизованному
персоналу;
- все аварийные выходы на случай пожара в периметре безопасности должны быть
оборудованы аварийной сигнализацией, должны подвергаться мониторингу и тестированию
вместе со стенами, чтобы создать требуемый уровень устойчивости в соответствии с
действующими стандартами;
- следует устанавливать необходимые системы обнаружения вторжения,
соответствующие действующим стандартам, и регулярно тестировать их на предмет охвата
всех внешних дверей и доступных окон, свободные помещения необходимо ставить на
сигнализацию;
- необходимо физически изолировать средства обработки информации,
контролируемые организацией, от средств, контролируемых сторонними организациями.
Управление физическим доступом
Мера и средство контроля и управления
Зоны безопасности должны быть защищены соответствующими средствами
управления для обеспечения того, чтобы доступ был разрешен только уполномоченному
персоналу.
Рекомендация по реализации
Следует принимать во внимание следующие рекомендации:
- дату и время входа и выхода посетителей следует регистрировать, и всех посетителей
необходимо сопровождать, или они должны обладать соответствующим допуском; доступ
следует предоставлять только для выполнения определенных авторизованных задач, а также
необходимо инструктировать посетителей на предмет требований безопасности, и действий
в случае аварийных ситуаций;
- доступ к зонам, где обрабатывается или хранится чувствительная информация,
должен контролироваться и предоставляться только авторизованным лицам; следует
использовать средства аутентификации, например контрольную карту доступа с
персональным идентификационным номером (ПИН) для авторизации и проверки всех видов
доступа; необходимо вести защищенные контрольные записи регистрации доступа;
- необходимо требовать, чтобы все сотрудники и представители сторонних организаций
носили ту или иную форму видимого идентификатора и незамедлительно уведомляли
сотрудников службы безопасности о замеченных несопровождаемых посетителях и лицах, не
носящих видимого идентификатора;
- доступ в зоны безопасности или к средствам обработки чувствительной информации
персоналу вспомогательных служб сторонних организаций следует предоставлять только
при необходимости; такой доступ должен быть санкционирован и сопровождаться
соответствующим контролем;
- права доступа в зоны безопасности следует регулярно анализировать, пересматривать,
и аннулировать при необходимости.
Безопасность офисов, помещений и оборудования
Мера и средство контроля и управления
Физическая безопасность для офисов, помещений и оборудования должна быть
спроектирована и внедрена.
Рекомендация по реализации
В отношении защиты офисов, помещений и оборудования необходимо учитывать
следующие рекомендации:
- следует принимать в расчет соответствующие правила и стандарты, касающиеся
охраны здоровья и безопасности труда;
- основное оборудование должно быть расположено в местах, где ограничен доступ
посторонним лицам;
- здания, по возможности, должны давать минимальную информацию по их
предназначению, не должны иметь явных признаков снаружи или внутри здания,
позволяющих установить наличие деятельности по обработке информации;
- справочники и внутренние телефонные книги, указывающие на местоположение
средств обработки чувствительной информации, не должны быть легкодоступными для
посторонних лиц.
Защита от внешних угроз и угроз окружающей среды
Мера и средство контроля и управления
Физическая защита от стихийных бедствий, умышленных атак или несчастных случаев
должна быть спроектирована и внедрена.
Рекомендация по реализации
Для предотвращения ущерба от пожара, наводнения, землетрясения, взрыва,
общественных беспорядков и других форм бедствий, следует учитывать следующие
рекомендации:
- обеспечить надежное хранение опасных или горючих материалов на достаточном
расстоянии от охраняемой зоны; большие запасы, например бумаги для печатающих
устройств, не следует хранить в пределах зоны безопасности;
- резервное оборудование и носители данных следует размещать на безопасном
расстоянии во избежание повреждения от последствия стихийного бедствия в основном
здании;
- следует обеспечить и соответствующим образом разместить необходимые средства
пожаротушения.
Работа в зонах безопасности
Мера и средство контроля и управления
Процедуры для работы в зонах безопасности должны быть разработаны и внедрены.
Рекомендация по реализации
Необходимо рассмотреть следующие рекомендации:
- о существовании зоны безопасности и проводимых там работах персонал должен
быть осведомлен по «принципу необходимости»;
- из соображений безопасности и предотвращения возможности злонамеренных
действий в зонах безопасности необходимо избегать выполнения работы без надлежащего
контроля со стороны уполномоченного персонала;
- пустующие зоны безопасности должны быть физически заперты и их состояние
необходимо периодически проверять;
- использование фото-, видео-, аудио- и другого записывающего оборудования,
например камер, имеющихся в мобильных устройствах, должно быть запрещено, если только
на это не получено специальное разрешение.
Зоны доставки и погрузки/разгрузки
Мера и средство контроля и управления
Места доступа, такие как зоны доставки, погрузки/разгрузки, и другие места, где
посторонние лица могут находиться, должны контролироваться и, при возможности,
изолироваться от средств обработки информации во избежание неавторизованного доступа.
Рекомендация по реализации
Необходимо рассмотреть следующие рекомендации:
- доступ к зоне с внешней стороны здания должен быть разрешен только
уполномоченному персоналу;
- зона должна быть организована так, чтобы поступающие материальные ценности
могли быть разгружены без предоставления персоналу поставщика доступа к другим частям
здания;
- должна быть обеспечена безопасность внешних дверей зоны в то время, когда
внутренние двери открыты;
- поступающие материальные ценности должны быть проверены на предмет
потенциальных угроз прежде, чем они будут перемещены из зоны к месту использования;
- при поступлении материальные ценности должны регистрироваться в соответствии с
процедурами управления активами;
- там, где возможно, ввозимые и вывозимые грузы должны быть физически разделены.
7.2. Безопасность оборудования
Цель: Предупредить потерю, порчу, хищение или компрометацию активов и
прерывание деятельности организации.
Размещение оборудования и его защита
Мера и средство контроля и управления
Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от
угроз окружающей среды и опасностей, а также от возможности несанкционированного
доступа.
Рекомендация по реализации
Необходимо рассмотреть следующие рекомендации:
- оборудование следует размещать таким образом, чтобы свести к минимуму излишний
доступ в рабочие зоны;
- средства обработки информации следует размещать и ограничивать угол обзора таким
образом, чтобы уменьшить риск просмотра информации неавторизованными лицами во
время их использования, а средства хранения информации следует защищать от
неавториэованного доступа;
- отдельные элементы оборудования, требующие специальной защиты, следует
изолировать для снижения общего уровня требуемой защиты;
- меры и средства контроля и управления должны быть внедрены таким образом, чтобы
свести к минимуму риск потенциальных физических угроз (воровство, пожар, взрывы,
задымление, затопление или неисправность водоснабжения, пыль, вибрация, химическое
воздействие, помехи в электроснабжении, помехи в работе линий связи, электромагнитное
излучение и вандализм);
- необходимо устанавливать правила в отношении приема пищи, питья и курения
вблизи средств обработки информации;
- следует проводить мониторинг состояния окружающей среды по выявлению условий,
например температуры и влажности, которые могли бы оказать неблагоприятное влияние на
функционирование средств обработки информации;
- на всех зданиях должна быть установлена защита от молнии, а фильтры защиты от
молнии должны быть установлены на входе всех линий электропередачи и линий
коммуникации;
- в отношении оборудования, расположенного в промышленной среде, следует
использовать специальные средства защиты, например, защитные пленки для клавиатуры;
- оборудование, обрабатывающее чувствительную информацию, должно быть
защищено, чтобы свести к минимуму риск утечки информации вследствие излучения.
Вспомогательное оборудование
Мера и средство контроля и управления
Оборудование должно быть защищено от сбоев питания и других нарушений,
вызванных отказами в работе вспомогательного оборудования.
Рекомендация по реализации
Вспомогательное оборудование необходимо регулярно проверять и тестировать для
обеспечения уверенности в их должном функционировании и уменьшения любого риска,
связанного с их неисправной работой или отказом.
Оборудование, поддерживающее важнейшие процессы бизнеса, рекомендуется
подключать через источники бесперебойного электропитания (ИБП), чтобы обеспечить его
безопасное выключение и (или) непрерывное функционирование. В планах обеспечения
непрерывности электроснабжения следует предусмотреть действия на случай отказа ИБП.
Резервный генератор следует использовать, когда функционирование оборудования
необходимо обеспечить во время длительного отказа подачи электроэнергии. Для
обеспечения работы генератора в течение длительного времени необходимо обеспечить
соответствующую поставку топлива.
Аварийные выключатели электропитания необходимо расположить около запасных
выходов помещений, в которых находится оборудование, чтобы ускорить отключение
электропитания в критических ситуациях. Необходимо обеспечить работу аварийного
освещения на случай отказа электропитания, потребляемого от сети.
Водоснабжение должно быть стабильным и адекватным для обеспечения
кондиционирования воздуха, обеспечения работы устройств увлажнения и систем
пожаротушения. Следует оценивать необходимость установки системы сигнализации для
обнаружения неправильного функционирования обьектов поддерживающих услуг.
Связь телекоммуникационного оборудования с оборудованием провайдера услуг
должна осуществляться, по меньшей мере, по двум различным маршрутам, чтобы
предотвратить отказ в одном из соединительных маршрутов, который может сделать услугу
по передаче речи невозможной.
Кабельная безопасность
Мера и средство контроля и управления
Энергетические и телекоммуникационные кабели, переносящие данные или
необходимые для поддержки информационных сервисов, должны быть защищены от
перехвата, вмешательства или повреждения.
Рекомендация по реализации
Следует рассмотреть следующие рекомендации:
- силовые и телекоммуникационные линии, связанные со средством обработки инф
ормации, должны, по возможности, располагаться под землей или иметь адекватную
альтернативную защиту;
- сетевой кабель должен быть защищен от неавторизованных подключений или
повреждения, например посредством использования специального кожуха или выбора
маршрутов прокладки кабеля в обход общедоступных участков;
- силовые кабели должны быть отделены от коммуникационных, чтобы предотвращать
помехи;
- следует использовать кабель и оборудование с четкой маркировкой, чтобы свести к
минимуму эксплуатационные ошибки, например, внесение неправильных исправлений при
ремонте сетевых кабелей;
- использование дублирующих маршрутов прокладки кабеля и (или) альтернативных
способов передачи, обеспечивающих соответствующую безопасность;
- использование электромагнитного экранирования для защиты кабелей;
- проведение технических осмотров и физических проверок подключения
неавторизованных устройств к кабельной сети.
Техническое обслуживание оборудования
Мера и средство контроля и управления
Оборудование должно поддерживаться в надлежащем состоянии для обеспечения его
доступности и целостности.
Рекомендация по реализации
Следует рассмотреть следующие рекомендации:
- оборудование должно обслуживаться в соответствии с рекомендуемыми поставщиком
периодичностью и спецификациями;
- техническое обслуживание и ремонт оборудования должны проводиться только
уполномоченным персоналом;
- следует хранить записи обо всех предполагаемых или фактических неисправностях и
всех видах технического обслуживания;
- при планировании техническогое обслуживания оборудования необходимо
учитывать, будет ли техническое обслуживание проводиться персоналом организации или за
ее пределами; при необходимости, чувствительная информация из оборудования должна
быть удалена, или специалисты по техническому обслуживанию и ремонту должны иметь
соответствующий допуск;
- должны соблюдаться все требования, устанавливаемые полисами страхования.
Перемещение активов
Мера и средство контроля и управления
Оборудование, информация или программное обеспечение не должны перемещаться за
пределы разрешенного места без предварительного разрешения.
Рекомендация по реализации
Необходимо учитывать следующие рекомендации:
- активы можно использовать вне помещений организации только при наличии
соответствующего разрешения;
- сотрудники, подрядчики и представители сторонних организаций, имеющие право
разрешать перемещение активов за пределы места эксплуатации, должны быть четко
определены;
- сроки перемещения активов должны быть установлены и проверены на соответствие
при возврате;
- там, где необходимо и уместно, активы следует регистрировать при перемещении из
помещений организации и при возврате.
Безопасность оборудования и активов вне территории организации
Мера и средство контроля н управления
Безопасность должна быть обеспечена, принимая во внимание различные риски,
связанные с эксплуатацией за пределами помещений и территории организации.
Рекомендация по реализации
Независимо от права собственности использование оборудования для обработки
информации вне помещений организации должно быть санкционировано руководством.
Необходимо учитывать следующие рекомендации:
- оборудование и активы, взятые из помещений организации, не следует оставлять без
присмотра в общедоступных местах; во время поездок портативные компьютеры нужно
перевозить как ручную кладь и по возможности маскировать;
- необходимо соблюдать инструкции изготовителей по защите оборудования, например
по защите от воздействия сильных электромагнитных полей;
- для работы на дому следует определить соответствующие меры и средства, исходя из
оценки рисков, например использование запираемых шкафов для хранения документов,
управление доступом к компьютерам и связь с офисом по защищенным сетям;
- с целью защиты активов, используемого вне помещений организации, должно
проводиться адекватное страхование, покрывающее указанные риски.
Безопасное уничтожение или повторное использование оборудования
Мера и средство контроля и управления
Все единицы оборудования, содержащие носители информации, должны быть
проверены для гарантирования того, что любые чувствительные данные и лицензионное
программное обеспечение было удалено или надежно перезаписано перед ликвидацией.
Рекомендация по реализации
Изношенные носители информации необходимо физически уничтожать, а
информацию, потерявшую свою значимость, необходимо разрушить, удалить или
перезаписать способами, делающими исходную информации невосстановимой, а не
использовать стандартные функции удаления и форматирования ОС.
Оборудование пользователя, оставленное без присмотра
Мера и средство контроля и управления
Пользователи должны гарантировать, что оборудование, находящееся без присмотра,
защищено подходящим образом.
Рекомендация по реализации
Пользователям рекомендуется:
- завершать активные сеансы по окончании работы, если отсутствует соответствующий
механизм блокировки, например, защищенная паролем экранная заставка;
- завершить сеанс на серверах и офисных компьютерах, когда работа завершена (т.е. не
только выключить экран компьютера или терминал);
- обеспечивать безопасность компьютеров или терминалов от несанкционированного
использования с помощью блокировки клавиатуры или эквивалентных средств контроля.
Политика чистого рабочего стола и экрана
Мера и средство контроля и управления
Должна быть внедрена политика чистого рабочего стола для бумажных активов и
съемных носителей информации, а также политика чистого экрана для средств обработки
информации.
Рекомендация по реализации
Необходимо рассмотреть следующие рекомендации:
- носители (бумажные или электронные), содержащие чувствительную или
критическую информацию бизнеса, когда они не используются, следует убирать и запирать
(лучше всего, в несгораемый сейф или шкаф);
- компьютеры и терминалы, когда их временно оставляют без присмотра, следует
защищать посредством механизма блокировки экрана или клавиатуры, контролируемого
паролем, внешним устройством аутентификации пользователя;
- необходимо обеспечить защиту пунктов приема/отправки корреспонденции, а также
автоматических факсимильных аппаратов;
- необходимо предотвращать несанкционированное использование фотокопировальных
устройств и другой воспроизводящей техники (сканеров, цифровых фотоаппаратов);
- документы, содержащие чувствительную или критическую информацию, необходимо
немедленно изымать из принтеров.
8. Безопасность при обработке информации
8.1. Операционные процедуры и ответственность
Цель: Обеспечить правильную и безопасную обработку объектов, обрабатывающих
информацию.
Документированные операционные процедуры
Мера и средство контроля и управления
Операционные процедуры должны быть документированы и доступны для всех
пользователей, кто в них нуждается.
Рекомендация по реализации
Данные процедуры должны содержать детальные инструкции по выполнению каждой
работы, включая:
- обработку и управление информацией;
- резервирование;
- требования в отношении графика работ, время начала самого ранней работы и время
завершения самой последней работы;
- инструкции по обработке ошибок или других ситуаций, которые могли бы возникнуть
в процессе выполнения работы, включая ограничения на использование системных утилит;
- необходимые контакты на случай неожиданных эксплуатационных или технических
проблем;
- специальные инструкции по управлению выводом данных и обращению с носителями
информации, например использование специальной бумаги для печатающих устройств или
управление выводом конфиденциальных данных, включая процедуры по уничтожению
данных в случае сбоев в работе;
- перезапуск системы и соответствующие процедуры восстановления на случай
системных сбоев;
- управление информацией, содержащейся в контрольных записях и системных
журналах.
Управление изменениями
Мера и средство контроля и управления
Изменения в организации, бизнес-процессах, средствах и системах обработки
информации, влияющих на ИБ, должны контролироваться.
Рекомендация по реализации
В частности, необходимо рассмотреть следующие аспекты:
- определение и регистрацию существенных изменений;
- планирование и тестирование изменений;
- оценку возможных последствий, включая последствия для безопасности таких
изменений;
- формализованную процедуру утверждения предполагаемых изменений;
- подробное информирование об изменениях всех заинтересованных лиц;
- процедуры возврата в исходный режим, включая процедуры и обязанности в
отношении отмены и последующего восстановления в случае неудачных изменений и
непредвиденных обстоятельств.
Управление мощностями
Мера и средство контроля и управления
Использование ресурсов должно быть контролируемым, приведенным к соответствию
с текущими требованиями и выполнены прогнозы для обеспечения требуемой
производительности системы в будущем.
Рекомендация по реализации
Для каждой новой и продолжающейся деятельности необходимо определять
требования к производительности. Следует проводить настройку и контроль систем для
обеспечения, где необходимо, уверенности в повышении доступности и эффективности
систем.
Прогнозирование требований к производительности должно учитывать новые
требования бизнеса и новые системные требования, а также текущие и прогнозируемые
тенденции в отношении возможностей обработки информации организации.
Особое внимание необходимо уделять любым ресурсам, требующим длительного
времени на закупку или больших расходов, поэтому руководителям следует осуществлять
контроль использования ключевых системных ресурсов. Они должны определять тенденции
в использовании, в частности, касающиеся прикладных программ для бизнеса или
инструментальных средств ИС.
Разделение средств разработки, тестирования и эксплуатации
Мера и средство контроля н управления
Среды разработки, тестирования и эксплуатации должны быть разделены для снижения
рисков неавторизованного доступа или внесения изменений в среде эксплуатации.
Рекомендация по реализации
Необходимо рассмотреть следующие вопросы:
- правила перевода ПО из статуса разрабатываемого в статус принятого к эксплуатации
должны быть определены и документально оформлены;
- разработка и эксплуатация ПО должна осуществляться на различных системах или
компьютерах в различных доменах или директориях;
- инструментальные средства разработки или системные утилиты не должны быть
доступны в среде эксплуатации без крайней необходимости;
- среда системы тестирования должна воспроизводить среду эксплуатации настолько
точно, насколько это возможно;
- чтобы уменьшить риск ошибок, пользователи должны применять различные
параметры пользователя для эксплуатируемых и тестовых систем, а в экранных меню
должны показываться соответствующие идентификационные сообщения;
- критические данные не должны копироваться в среду системы тестирования.
8.2. Защита от вредоносного ПО
Цель: Обеспечить защиту информации и средств обработки информации от
вредоносного ПО.
Меры защиты от вредоносного ПО
Мера и средство контроля и управления
Должны быть внедрены меры обнаружения, предупреждения и восстановления защиты
от вредоностного ПО совместно с осведомленностью пользователей.
Рекомендация по реализации
Необходимо рассмотреть следующие рекомендации:
- создать официальную политику, устанавливающую запрет на использование
неразрешенного ПО;
- создать официальную политику защиты от рисков, связанных с получением файлов и
ПО из внешних сетей, показывающую, какие защитные меры следует принять;
- проводить регулярный анализ ПО и содержания данных ИС, поддерживающих
критические процессы бизнеса; необходима формальная процедура расследования причин
наличия любых неавторизованных или измененных файлов;
- осуществлять инсталляцию и регулярное обновление ПО по сканированию
компьютеров и носителей информации для обнаружения вредоносного ПО и
восстановления;
- определять управленческие процедуры и обязанности, связанные с защитой от
вредоносного ПО в системах, оповещением и восстановлением после атак вредоносного ПО;
- подготовить соответствующие планы по обеспечению непрерывности бизнеса в части
восстановления после атак вредоносного ПО, включая все необходимые мероприятия по
резервированию и восстановлению данных и ПО;
- реализовать процедуры регулярного сбора информации, например подписываясь на
список почтовой рассылки и (или) проверяя web-сайты, предоставляющие информацию о
новом вредоносном ПО;
- реализовать процедуры проверки информации, касающейся вредоносного ПО, и
обеспечить точность и информативность предупредительных сообщений.
8.3. Резервировное копирование
Цель: Защита от потери данных.
Резервируемая информация
Мера и средство контроля и управления
Должно выполняться резервное копирование информации, ПО и образов систем,
резервные копии должны регулярно тестироваться в соответствии с утвержденной
политикой резервного копирования.
Рекомендация по реализации
Необходимо рассматривать следующие вопросы:
- необходимо определить надлежащий уровень резервируемой информации;
- необходимо обеспечивать точные и полные записи резервных копий и документально
оформленные процедуры восстановления;
- объем (полное или выборочное резервирование) и частота резервирования должны
отражать требования бизнеса организации, безопасности информации и критичность
информации для непрерывности бизнеса;
- резервные копии должны храниться в удаленном месте, на надежном расстоянии,
достаточном, чтобы избежать любого повреждения вследствие аварийной ситуации в
основном здании;
- в отношении резервируемой информации должен быть обеспечен соответствующий
уровень физической защиты и защиты от окружающей среды; требования к носителям
информации в основном здании, должны также применяться и в резервном месте;
- носители резервируемой информации должны регулярно тестироваться для
обеспечения уверенности в том, что в случае чрезвычайных ситуаций они могут быть
использованы;
- процедуры восстановления следует регулярно проверять и тестировать для
обеспечения уверенности в их эффективности;
- в ситуациях, когда конфиденциальность играет важную роль, резервные копии
необходимо защищать средствами криптографии.
8.4. Логи и мониторинг
Цель: Записывать события и получать фактические данные.
Ведение журнала событий (логов)
Мера и средство контроля и управления
Журналы событий, которые записывают действия пользователей, исключения, ошибки
и события ИБ, должны вестить, сохраняться и регулярно пересматриваться.
Рекомендация по реализации
Логи должны включать, при необходимости:
- идентификаторы пользователей;
- даты, время и детали ключевых событий, например начало сеанса и завершение
сеанса;
- идентичность и местоположение терминала, если это возможно;
- регистрацию успешных и отклоненных попыток доступа к системе;
- регистрацию успешных и отклоненных попыток доступа к данным или другим
ресурсам;
- изменения конфигурации системы;
- использование прав привилегированных полномочий;
- использование системных утилит и прикладных программ;
- файлы, к которым был осуществлен доступ и вид доступа;
- сетевые адреса и протоколы;
- сигналы тревоги, подаваемые системой управления доступом;
- активация и деактивация систем защиты, например, антивирусов и систем
обнаружения вторжения.
Защита информации в логах
Мера и средство контроля и управления
Средства ведения логов и информация в них должны быть защищены от повреждения и
неавторизованного доступа.
Рекомендация по реализации
Средства ведения логов и информация в них должны быть защищены от:
- изменения типов записываемых сообщений;
- редактирования или удаления файлов логов;
- превышения объема памяти носителя, содержащего файл лога, что может приводить
либо к отказу регистрации события, либо к затиранию информации о последних событиях.
Логи администратора и оператора
Мера и средство контроля и управления
Деятельность системного администратора и оператора должна регистрироваться, логи
должны быть защищены и регулярно пересматриваться.
Рекомендация по реализации
Логи администратора и оператора должны содержать:
- время, когда произошло событие (успешное или неуспешное);
- информацию о событии (например обработанные файлы) или об отказе (например
произошла ошибка и было предпринято корректирующее действие);
- учетную запись и имя администратора или оператора, сделавшего ее;
- перечень задействованных процессов.
Синхронизация часов
Мера и средство контроля и управления
Часы всех систем обработки информации в организации или в домене безопасности
должны быть синхронизированы с единым источником точного времени.
Рекомендация по реализации
Если компьютер или устройство связи имеет возможность использовать часы,
работающие в реальном времени, то эти часы должны быть установлены по согласованному
нормативу, т. е. всемирного координированного времени или местного стандартного
времени.
Поскольку некоторые часы, как известно, со временем начинают «спешить» или
«отставать», должна существовать процедура, которая выявляет и исправляет любые
значимые отклонения.
Правильная интерпретация формата дата/время важна для обеспечения уверенности в
том, что временная отметка отражает реальную дату/время. Необходимо учитывать местную
специфику (например переход на «летнее время»).
8.5. Контроль системного ПО
Цель: Обеспечить целостность операционных систем (ОС).
Установка ПО на ОС
Мера и средство контроля и управления
Должны быть внедрены процедуры контроля установки ПО на ОС
Рекомендация по реализации
Процедуры контроля установки ПО должны включать:
- запрет установки пользователями нового ПО без разрешения руководства;
- отключение технической возможности установки и удаления ПО пользователями на
компьютерах организации;
- инструктаж пользователей о правилах установки ПО;
- наличие дисциплинарного процесса в случае нарушения процедур установки ПО.
8.6. Управление техническими уязвимостями
Цель: Предотвратить использование технических уязвимостей.
Минимизация технических уязвимостей
Мера и средство контроля и управления
Информация о технических уязвимостях используемых ИС должна быть получена
своевременно. Незащищенность организации от уязвимостей должна быть оценена и
приняты соответствующие меры для решения связанных с уязвимостями рисков.
Рекомендация по реализации
Необходимо выполнять следующие рекомендации:
- в организации необходимо определять и устанавливать роли и обязанности, связанные
с управлением техническими уязвимостями, включая мониторинг уязвимостей, оценку риска
проявления уязвимостей, исправление программ (патчинг), слежение за активами и любые
другие координирующие функции;
- информационные ресурсы, которые будут использоваться для выявления значимых
технических уязвимостей и обеспечения осведомленности о них, следует определять для ПО
и другой технологии на основе списка инвентаризации активов;
- необходимо определить временные параметры реагирования на уведомления о
потенциально значимых технических уязвимостях;
- после выявления потенциальной технической уязвимости, организация должна
определить связанные с ней риски и действия, которые необходимо предпринять; такие
действия могут включать внесение исправлений в уязвимые системы или применение других
мер и средств;
- в зависимости от того, насколько срочно необходимо рассмотреть техническую
уязвимость, предпринимаемое действие следует осуществлять в соответствии с мерами и
средствами управления изменениями, или следуя процедурам реагирования на инциденты
ИБ;
- если имеется возможность установки патча, следует оценить риски, связанные с его
установкой (риски от уязвимости сравнить с риском установки патча);
- перед установкой патчи следует тестировать и оценивать для обеспечения
уверенности в том, что они являются эффективными и не приведут к недопустимым
побочным эффектам;
- контрольный журнал следует поддерживать для всех предпринятых процедур;
- следует регулярно проводить мониторинг и оценку процесса управления
техническими уязвимостями в целях обеспечения уверенности в его эффективности и
действенности;
- в первую очередь следует обращать внимание на ИС с высоким уровнем риска.
Ограничение на установку ПО
Мера и средство контроля и управления
Правила, регулирующие установку ПО пользователями, должны быть разработаны и
внедрены.
Рекомендация по реализации
Для сведения к минимуму риска повреждения ИС необходимо учесть следующие
рекомендации:
- установка ПО должна осуществляться только после всестороннего и успешного
тестирования, которое должно выполняться на изолированных системах и включать в себя
тесты на пригодность к эксплуатации, безопасность, влияние на другие системы и удобство
для пользователя;
- установку и обновление ПО должны выполнять только обученные администраторы
при наличии соответствующего разрешения руководства;
- прежде, чем изменения будут реализованы, необходимо применять метод отката;
- в контрольном журнале должны быть сохранены все обновления ПО;
- предыдущие версии ПО следует сохранять на случай непредвиденных обстоятельств;
- старые версии ПО следует архивировать вместе со всей требуемой информацией и
параметрами, процедурами, конфигурационными деталями и поддерживающим ПО до тех
пор, пока данные хранятся в архиве.
9. Безопасность связи
9.1. Управление сетевой безопасностью
Цель: Обеспечить защиту информации в сетях и поддерживающих средствах обработки
информации.
Сетевые элементы управления
Мера и средство контроля и управления
Для защиты информации в системах и приложениях сети должны управляться и
контролироваться.
Рекомендация по реализации
Необходимо рассмотреть следующие вопросы:
- следует разделить, где это необходимо, ответственность за поддержку сетевых
ресурсов и за поддержку компьютерных операций;
- следует определить обязанности и процедуры для управления удаленным
оборудованием, включая оборудование, установленное у конечных пользователей;
- специальные меры и средства контроля и управления следует внедрить для
обеспечения конфиденциальности и целостности данных, передаваемых по общедоступным
сетям или беспроводным сетям, а также для поддержки доступности сетевых сервисов и
рабочих станций;
- соответствующая регистрация и мониторинг действий в сети должны применяться с
целью обеспечения возможности контроля действий, имеющих значение для безопасности.
Безопасность сетевых сервисов
Мера и средство контроля и управления
Механизмы безопасности, уровень сервисов и требования к управлению всеми
сетевыми сервисами должны быть определены и включены в соглашения сетевых сервисов,
как внутри организации, так и для аутсорсинга.
Рекомендация по реализации
Способность провайдера сетевых сервисов безопасно осуществлять управление
установленными сервисами следует определять и подвергать регулярному мониторингу, а
право проведения аудита должно быть согласовано.
Должны быть определены меры безопасности, необходимые для конкретных сервисов,
например средства обеспечения безопасности, уровни сервисов и требования в отношении
управления. Организация должна обеспечивать уверенность в том, что провайдеры сетевых
сервисов реализуют эти меры.
9.2. Передача информации
Цель: Поддерживать безопасность информации, передаваемой в рамках организации и
с любым внешним объектом.
Политики и процедуры передачи информации
Мера и средство контроля и управления
Политики, процедуры и элементы управления должны быть определены, чтобы
защитить информацию, передаваемую посредством всех видов средств связи.
Рекомендация по реализации
Политики и процедуры передачи информации должны учитывать следующее:
- защиту передаваемой информации от перехвата, копирования, модификации, ложной
маршрутизации и разрушения:
- обнаружение вредоносного ПО, которое может передаваться при использовании
электронных средств связи, и процедуры защиты от него;
- приемлемое использование электронных средств связи;
- использование беспроводной связи, учитывая сопряженные с ней определенные
риски;
- использование средств криптографии, например, для защиты конфиденциальности,
целостности и аутентичности информации;
- рекомендации по сохранению и уничтожению всей деловой переписки в соответствии
с действующими нормативными актами;
- ограничения, связанные с пересылкой средств связи, например, автоматическая
пересылка электронной почты на внешние почтовые адреса;
- напоминание сотрудникам о необходимости соблюдения мер предосторожности в
случаях:
• передачи незашифрованной информации по сети;
• передачи информации по телефону;
• оставления сообщений, содержащие критическую информацию, на автоответчиках;
• использования факсимильных или фотокопирующих устройств;
• оставления своих персональных данных в каком-либо ПО.
Соглашения о передаче информации
Мера и средство контроля и управления
Соглашения должны решать безопасную передачу деловой информации между
организацией и внешними сторонами.
Рекомендация по реализации
В соглашениях следует учитывать следующие условия безопасности:
- обязанности руководства в отношении контроля и уведомления о передаче
информации;
- процедуры уведомления отправителя, а также процедуры передачи информации;
- процедуры обеспечения контроля и неотказуемости;
- минимальные требования технических стандартов формирования и передачи пакетов
данных;
- соглашения в отношении передачи на хранение исходных пакетов данных;
- стандарты в отношении курьерской службы;
- ответственность и обязательства в случае инцидентов ИБ, например в случае потери
данных:
- использование согласованной системы маркировки для критической информации,
обеспечивающей уверенность в том, что значение этой маркировки будет сразу же понято, и
что информация будет соответственно защищена;
- право собственности и обязанности по защите данных, соблюдение авторских прав,
соответствие лицензии на ПО и аналогичные требования;
- технические стандарты в отношении записи и считывания информации и ПО;
- любые специальные меры и средства контроля и управления, которые могут
потребоваться для защиты чувствительных элементов, например, криптографических
ключей.
Электронная передача сообщений
Мера и средство контроля и управления
Информация, включенная в электронные сообщения, должна быть соответствующим
образом защищена.
Рекомендация по реализации
Необходимо учитывать следующие вопросы, связанные с обеспечением ИБ:
- защита конфиденциальности, целостности и доступности сообщений;
- обеспечение правильной адресации и передачи сообщения;
- общая надежность и доступность услуг;
- законодательные вопросы передачи сообщения, например требования в отношении
использования ЭЦП;
- получение одобрения до использования внешних общедоступных услуг, таких как
мгновенный обмен сообщениями или разделение файлов;
- строгие уровни аутентификации управления доступом со стороны общедоступных
сетей.
Соглашение о неразглашении информации (англ. Non-Disclosure Agreement, NDA)
Мера и средство контроля и управления
Должны быть определены требования к соглашениям о неразглашении, которые
отражают потребности организации в защите информации. Требования к NDA должны
регулярно анализироваться и документироваться.
Рекомендация по реализации
Чтобы определить требования для NDA, необходимо учесть следующие факторы:
- определение информации, подлежащей защите (например, конфиденциальная
информация);
- предполагаемый срок действия NDA, включая случаи, когда может возникнуть
необходимость в неограниченной поддержке конфиденциальности;
- необходимые действия при окончании срока действия соглашения;
- обязанности и действия лиц, подписавших NDA, по предотвращению
несанкционированного разглашения информации;
- владение какой-либо тайной и интеллектуальной собственностью;
- разрешенное использование конфиденциальной информации и права лиц,
подписавших NDA, в отношении ее использования;
- право подвергать аудиту и мониторингу деятельность, связанную с защитой
конфиденциальной информации;
- процедуру предупреждения и сообщения о несанкционированном разглашении или
нарушениях, связанных с защитой конфиденциальной информации;
- условия возврата или уничтожения информации в случае приостановления действия
NDA;
- предполагаемые действия, которые должны быть предприняты в случае нарушения
NDA.
10. Приобретение, разработка и поддержка ИС
10.1. Требования безопасности к ИС
Цель: Обеспечить неразрывность ИБ и ИС в течение всего их жизненного цикла.
Выполнить требования к ИС, которые предоставляют сервисы по общедоступным сетям.
Анализ требований и спецификаций по ИБ
Мера и средство контроля и управления
Требования по ИБ должны быть включены в требования к новым ИС или при
усовершенствовании существующих ИС.
Рекомендация по реализации
В спецификациях по ИБ следует учитывать как встроенные в ИС автоматизированные
средства управления, так и необходимость поддержки ручного управления.
Необходимо, чтобы требования безопасности по ИБ отражали ценность
информационных активов и потенциальный ущерб бизнесу, который мог бы явиться
результатом недостаточности или отсутствия мер ИБ.
Системные требования по ИБ необходимо включать на ранних стадиях проектов,
касающихся ИС. Определение мер и средств ИБ на стадии проектирования ИС позволяет
существенно снизить затраты на их внедрение и поддержку по сравнению с их разработкой
во время или после внедрения ИС.
В случае приобретения готовых продуктов, необходимо соблюдение формального
процесса приобретения и тестирования. В договорах с поставщиками должны учитываться
определенные требования ИБ.
Если функциональность ИБ в предлагаемом готовом продукте не удовлетворяет
установленному организацией требованию, то тогда необходимо повторно рассмотреть
порождаемый этим фактом риск и связанные с ним меры и средства ИБ прежде, чем продукт
будет приобретен.
Если обеспечивается дополнительная функциональность, и это создает риск ИБ, то ее
следует блокировать, или пересмотреть предлагаемую структуру управления, чтобы
определить возможность использования преимуществ имеющейся дополнительной
функциональности.
Безопасность прикладных сервисов в общедоступных сетях
Мера и средство контроля и управления
Информация, включенная в прикладные сервисы, проходящая через общедоступные
сети, должна быть защищена от мошеннической деятельности, несанкционированного
раскрытия и модификации.
Рекомендация по реализации
Необходимо, чтобы прикладные сервисы обеспечивали следующее:
- управление доступом пользователей к информации и функциям прикладных сервисов
в соответствии с определенной политикой управления доступом;
- защиту от неавторизованного доступа любой утилиты, ПО эксплуатируемой системы
и вредоносного ПО, которые позволяют отменять или обходить меры и средства защиты
прикладных сервисов;
- не представляли угрозу безопасности другим системам, совместно с которыми
используются информационные ресурсы.
Защита транзакций прикладных сервисов
Мера и средство контроля и управления
Информация включенная в транзакции прикладных сервисов должна быть защищена,
чтобы
предотвратить
неполную
передачу,
неправильную
маршрутизацию,
несанкционированное
изменение
сообщения,
несанкционированное
раскрытие,
дублирование или воспроизведение сообщения.
Рекомендация по реализации
Вопросы безопасности транзакций должны включать:
- использование ЭЦП каждой из сторон, участвующих в транзакции;
- все аспекты транзакции, т. е. обеспечение уверенности в том, что:
• полномочия всех сторон действительны и проверены;
• транзакция остается конфиденциальной;
• приватность всех участвующих сторон сохраняется;
- канал связи между всеми участвующими сторонами зашифрован;
- протоколы, используемые для установления связи между всеми сторонами,
защищены;
- обеспечение уверенности в том, что хранение деталей транзакции обеспечивается за
пределами общедоступной среды (Интернет);
- там, где используются услуги доверенного органа (например, в целях применения
ЭЦП), безопасность обеспечивается как интегрированная и неотъемлемая часть на
протяжении всего процесса управления ЭЦП.
10.2. ИБ при разработке и при вспомогательных процессах
Цель: Обеспечить, что ИБ разработана и внедрена в рамках жизненного цикла
разработки информационных систем.
Политика безопасности при разработке
Мера и средство контроля н управления
В организации должны быть установлены и применяться правила по разработке ПО и
ИС
Рекомендация по реализации
Правила по разработке ПО и ИС должны содержать:
- включение поддержки ИБ на весь жизненный цикл разработки приложений проектирование с учетом ИБ, тестирование на соответствие требованиям;
- определение целей и задач, связанных с обеспечением ИБ, что необходимо делать на
самых ранних стадиях работы над проектом, так как данная информация затем потребуется
при создании моделей угроз, аудита и тестировании;
- определение угроз, что позволит не только идентифицировать угрозы и выявить
риски, связанные с каждой из них, но и понять уязвимости и принять необходимые для их
устранения действия еще на этапе разработки и тестирования;
- использование итеративного подхода - последовательность нарастающих шагов
(итераций), каждый из которых включает в себя некоторые или большую часть оперций
разработки - только так можно гарантировать максимальную безопасность получаемого в
результате разработки ПО и ИС.
Процедуры управления изменениями в ИС
Мера и средство контроля и управления
Внесение изменений следует контролировать, используя формальные процедуры
управления изменениями.
Рекомендация по реализации
Процедуры изменения должны включить:
- ведение учета согласованных уровней разрешений;
- обеспечение уверенности в том, что изменения представлены уполномоченными
пользователями;
- анализ процедур целостности на предмет уверенности того, что они не будут
нарушены изменениями;
- выявление всего ПО, информации, баз данных и аппаратных средств, требующих
изменений;
- получение формального одобрения на детальные предложения по изменениям перед
началом работы;
- уверенность в том, что авторизованный пользователь одобрил все изменения до их
реализации;
- уверенность в том, что комплект системной документации обновляется после
завершения каждого изменения, и что старая документация архивируется или удаляется;
- поддержание управления версиями для всех обновлений ПО;
- сохранение контрольных записей обо всех запросах на изменение;
- уверенность в том, что процесс внедрения изменений осуществляется в согласованное
время и не нарушает процессов бизнеса.
Технический анализ приложений после внесения изменений в ОС
Мера и средство контроля и управления
При внесении изменений в ОС необходимо провести анализ и тестирование
критических бизнес-приложений с целью удостовериться в отсутствии негативного влияния
на работу и безопасность организации.
Рекомендация по реализации
Этот процесс должен охватывать:
- анализ прикладных программ и процедур целостности на предмет уверенности того,
что они не нарушены изменениями в ОС:
- уверенность в том, что ежегодный план поддержки и бюджет предусматривает анализ
и тестирование приложений, необходимые при изменениях в ОС;
- уверенность в том, что уведомления об изменениях поступают своевременно, чтобы
дать возможность перед их реализацией провести соответствующие тесты и анализы:
- уверенность в том, что соответствующие изменения вносятся в планы обеспечения
непрерывности бизнеса.
Ограничения на внесение изменений в пакеты программ
Мера и средство контроля и управления
Изменения в программных пакетах должны быть ограничены и все изменения должны
строго контролироваться.
Рекомендация по реализации
В случае необходимости внести изменения в пакет программ, следует учитывать
следующее:
- изменения следует вносить в копию ПО, а оригинальное ПО сохранить без
изменений;
- риск в отношении встроенных в ПО процедур обеспечения целостности;
- необходимость получения согласия поставщика ПО;
- возможность получения требуемых изменений от поставщика в качестве стандартной
программы обновления;
- возможные последствия в случае, если организация станет ответственной за будущее
сопровождение ПО в результате внесенных изменений.
Принципы безопасности инженерных систем
Мера и средство контроля и управления
Принципы безопасности инженерных систем должны быть разработаны,
документально оформлены, поддерживаться и применяется к любым ИС при внедрении.
Рекомендация по реализации
Принципы безопасности инженерных систем включают в себя:
- защиту от опасности с помощью расстояния, времени или экрана;
- выделение слабого звена системы, которое может привести к опасности;
- недоступность или блокировку опасности;
- ликвидацию опасности (выявление, идентификация и устраненение);
- проведение инструктажей персонала (вводный, первичный, плановый).
Безопасная среда разработки
Мера и средство контроля и управления
Организации должны установить и надлежащим образом защищать безопасную среду
разработки и интеграции системы, которая охватывают весь жизненный цикл разработки
системы.
Рекомендация по реализации
Безопасность среды разработки обеспечивается такими мероприятиями:
- разработка и сопровождение ведется определенной группой специалистов;
- обязанности каждого специалиста группы четко определены и задокументированы;
- разработка осуществляется в соответствии со всеми принятыми правилами,
стандартами, процедурами;
- разработка осуществляется с составлением спецификаций, в которые должны быть
включены требования ИБ и конфиденциальности собираемых и обрабатываемых данных;
- все участники разработки должны соблюдать правила обращения с
конфиденциальной информацией, которая используется при разработке;
- обмен информацией между участниками разработки осуществляется с учетом мер
безопасности.
Аутсорсинговая разработка
Мера и средство контроля и управления
Организация должна осуществлять наблюдение и контроль аутсорсинговой разработки
систем.
Рекомендация по реализации
Если для разработки систем привлекается сторонняя организация, необходимо
учитывать следующее:
- лицензионные соглашения и права интеллектуальной собственности;
- сертификацию качества и точности выполненной работы;
- соглашения условного депонирования на случай отказа сторонней организации
выполнять свои обязательства;
- права доступа с целью проверки качества и точности сделанной работы;
- договорные требования к качеству и функциональной безопасности систем;
- тестирование разработанных систем на предмет обнаружения вредоносного ПО.
Тестирование безопасности
Мера и средство контроля и управления
Тестирование функциональных возможностей безопасности должно осуществляться в
процессе разработки.
Рекомендация по реализации
Необходимо обеспечить выполнение в процессе разработки таких мероприятий:
- разработка согласованного набора мер и средств контроля и управления ИБ;
- тестирование мощности и производительности ИС, достаточной для обеспечения всех
аспектов ИБ;
- тестирование типовых операционных процедур на соответствие установленным
стандартам;
- обеспечение эффективных ручных процедур;
- обеспечение процедур непрерывности бизнеса;
- обеспечение процедур восстановления после сбоев и перезапуска;
- тренинг в отношении эксплуатации и использования новых систем;
- обеспечение простоты использования, поскольку это влияет на производительность
работы пользователя и позволяет избегать ошибок оператора.
Принятие результатов тестирования системы
Мера и средство контроля и управления
Принятие результатов тестирования программ и связанного с ним критерия должно
быть установлено для новых ИС, обновлений и новых версий.
Рекомендация по реализации
Принятие результатов тестирования должно сопровождаться:
- документальным подтверждением того, что внедрение новой системы не будет
неблагоприятно влиять на существующие системы, особенно, во время максимальных
нагрузок;
- документальным подтверждением того, что было учтено влияние, оказываемое новой
системой, на общую безопасность организации;
10.3. Тестовые данные
Цель: Обеспечить защиту данных, используемых при тестировании.
Защита тестовых данных системы
Мера и средство контроля и управления
Тестовые данные должны быть тщательно подобраны, защищены и контролируемы.
Рекомендация по реализации
Необходимо применять следующие рекомендации:
- тестовые данные должны быть разработаны на основе программ и методик
тестирования ИС и не должны содержать конфиденциальную информацию;
- необходимо разрешение на каждый случай копирования тестовых данных;
- после завершения тестирования тестовые данные следует немедленно удалить из
тестируемой системы;
- копирование и использование тестовых данных должно фиксироваться в контрольном
журнале.
11. Взаимоотношения с поставщиками
11.1. ИБ при взаимоотношении с поставщиками
Цель: Обеспечить защиту активов организации, которые доступны поставщиками.
Политика ИБ при взаимоотношении с поставщиками
Мера и средство контроля и управления
Для уменьшения рисков, связанных с доступом поставщиков к активам организации,
должны быть согласованы и документированы требования по ИБ.
Рекомендация по реализации
Следующие условия должны быть учтены при рассмотрении ИБ до предоставления
доступа поставщиков к активам организации:
- защита активов;
- описание продукта или услуги, которые должны быть обеспечены;
- различные причины, требования и преимущества, связанные с доступом поставщиков;
- политика управления доступом;
- процедуры в отношении отчетности, уведомления и расследования неточностей в
информации, инцидентов и нарушений ИБ;
- определение необходимого и неприемлемого уровня обслуживания поставщиков;
- право на проведение мониторинга и отмену какой-либо деятельности, связанной с
активами организации;
- соответствующие обязательства организации и поставщиков;
- обязательства относительно юридических вопросов и соответствия правовым нормам,
например, законодательству о защите персональных данных;
- соблюдение прав на интеллектуальную собственность и авторских прав.
Включение ИБ в договора с поставщиками
Мера и средство контроля и управления
Все соответствующие требования ИБ должны быть установлены и согласованы с
каждым поставщиком, который может получить доступ к информации организации (к
обработке, хранению, процессам взаимодействия) или предоставлять компоненты ИТинфраструктуры.
Рекомендация по реализации
Следующие условия должны быть рассмотрены на предмет включения в договор с
поставщиками для удовлетворения требований ИБ:
- политика ИБ;
- тренинг пользователей и администраторов в отношении методов и процедур ИБ;
- обеспечение доставки персонала к месту работы, где это необходимо;
- обязанности, касающиеся установки и сопровождения аппаратных средств и ПО;
- структура подотчетности и согласованные формы представления отчетов;
- процесс управления изменениями;
- политика управления доступом;
- процедуры в отношении отчетности, уведомления и расследования инцидентов ИБ;
- описание продукта или услуги, которые должны быть предоставлены, и описание
информации, которая должна быть предоставлена;
- определение необходимого и неприемлемого уровня обслуживания;
- определение поддающихся контролю критериев эффективности, а также их
мониторинг и предоставление отчетности;
- право на проведение аудита исполнения договорных обязательств и возможность
проведения такого аудита третьей стороной;
- установление процесса информирования о возникающих проблемах с целью их
разрешения;
- требования в отношении непрерывности обслуживания, включая меры по
обеспечению доступности и надежности, в соответствии с приоритетами бизнеса
организации;
- соответствующие обязательства сторон в рамках соглашения;
- обязательства относительно юридических вопросов, и соответствия правовым
требованиям, например, законодательству о защите персональных данных;
- соблюдение прав интеллектуальной собственности и авторских прав;
- условия перезаключения/окончания договоров.
Информационно-коммуникационные технологии цепочки поставок
Мера и средство контроля и управления
Соглашения с поставщиками должны включать требования по решению рисков ИБ,
которые связаны с информационно-коммуникационными технологиями и цепочками
поставок продукции.
Рекомендация по реализации
Необходимо рассмотреть следующие требования:
- процессы аутентификации при идентификации друг друга;
- процессы авторизации в отношении того, кто может подписывать ключевые
коммерческие документы;
- обеспечение уверенности в том, что торговые партнеры полностью
проинформированы о своих авторизациях;
- определение и удовлетворение требований в отношении конфиденциальности и
целостности, подтверждения отправки и получения документов, а также невозможности
отказа от совершенных сделок;
- конфиденциальность и целостность любой информации о сделках, связанных с
заказом, условиях оплаты и адресах поставки, а также подтверждения при его получении;
- степень контроля, достаточная для проверки информации об оплате, представленной
клиентом;
- выбор формы оплаты, наиболее защищенной от мошенничества;
- предотвращение потери или дублирования информации о сделках;
- ответственность за любые мошеннические сделки;
- наличие страховых полисов.
11.2. Управление поставками
Цель: Поддерживать согласованный уровень ИБ и предоставления услуг в соответствии
с соглашениями с поставщиками.
Мониторинг и пересмотр услуг поставщика
Мера и средство контроля и управления
Организация должна регулярно мониторить, пересматривать и проводить аудит
предоставленных услуг поставщика.
Рекомендация по реализации
Между организацией и поставщиком услуг должна существовать связь для:
- мониторинга уровней предоставления услуг с целью проверки соблюдения условий
договоров;
- анализа отчетов о предоставлении поставщиком услуг и провенеия регулярных
рабочих встреч в соответствии с договорами;
- обеспечения информации об инцидентах ИБ и анализа данной информации в
соответствии с договорами, руководствами и процедурами;
- анализа контрольных записей поставщика услуг и записей событий ИБ
эксплуатационных проблем, отказов и отслеживания недостатков, относящихся к
предоставляемым услугам;
- решения всех выявленных проблем и осуществления управления ими.
Управление изменениями услуг поставщика
Мера и средство контроля и управления
Изменения в предоставлении услуг поставщиками, включая поддержку и улучшение
существующей политики ИБ, процедур и элементов управления, должны управляться с
учетом критичности бизнес информации, систем и процессов и повторной оценки рисков.
Рекомендация по реализации
Процесс управления изменениями услуг поставщика должен включать:
- планирование и контроль изменений;
- составление расписаний для изменений;
- обеспечение коммуникации между всеми участниками;
- авторизация к изменениям (то есть разрешения доступа тем, кто уполномочен вносить
изменения) и принятие решений относительно изменений;
- формирование планов по исправлению, которые будут задействованы в случае
неудачных изменений;
- формирование управленческой отчетности;
- оценка влияния изменения и непрерывное улучшение.
2. Управление инцидентами ИБ
12.1. Оповещение о событиях и уязвимостях ИБ
Цель: Обеспечить бесперебойный и результативный подход к управлению
инцидентами ИБ, включая сообщения о событиях безопасности и слабые стороны.
Ответственность и процедуры
Мера и средство контроля и управления
Должна быть установлена ответственность и процедуры для обеспечения
результативной и упорядоченной реакции на инциденты ИБ.
Рекомендация по реализации
Необходимо учитывать следующие рекомендации:
- необходимо установить процедуры обработки различных типов инцидентов ИБ,
включая сбои, вредоносное ПО, отказы в обслуживании, нарушения конфиденциальности и
целостности, неправильное использование ИС;
- в дополнение к обычным планам обеспечения непрерывности бизнеса, процедуры
должны также охватывать выявление причины инцидента, ограничение распространения его
последствий, планирование и реализацию корректирующего действия для предотвращения
повторения инцидента, сообщение о предпринятом действии в соответствующий орган;
- контрольные записи и аналогичные доказательства необходимо собирать и защищать,
для анализа внутренних проблем, использования в качестве документального доказательства,
обсуждения условий о выплате компенсации поставщиками ПО и услуг;
- действия по восстановлению после проявления недостатков ИБ и устранению сбоев
систем следует фиксировать и контролировать;
- процедуры должны обеспечивать уверенность того, что:
• только уполномоченному персоналу разрешен доступ к системам и данным;
• все предпринятые аварийные действия документируются в деталях;
• руководство информируется об аварийном действии, и такое действие анализируется
должным образом;
• целостность систем, а также мер и средств управления бизнесом подтверждается с
минимальной задержкой.
Оповещение о событиях ИБ
Мера и средство контроля и управления
События ИБ должны быть сообщены по соответствующим управляемым каналам, как
можно быстрее.
Рекомендация по реализации
Необходимо, чтобы процедуры информирования включали:
- соответствующие процессы обратной связи, для обеспечения уверенности в том, что
сотрудник, сообщивший о событиях ИБ, был уведомлен о результатах, после того, как
проблема была решена;
- типовые формы сообщений о событиях ИБ, напоминающие лицу о действиях,
которые необходимо совершить;
- правила поведения в случае, если произойдет событие ИБ, а именно:
• сразу же обращать внимание на все важные детали (например, тип несоответствия
или недостатка, возникшие неисправности, сообщения на экране, странное поведение
ПО/ИС);
• не предпринимать самостоятельно никакого действия, а немедленно сообщить в
сервисный центр (администратору ИС);
- ссылку на установленные формальные дисциплинарные процессы относительно
сотрудников и представителей сторонних организаций, которые нарушают правила ИБ.
Оповещение о недостатках ИБ
Мера и средство контроля и управления
Сотрудники и подрядчики, использующие ИС и сервисы организации обязаны
сообщать о любых наблюдаемых или предполагаемых недостатках ИБ в системах или
сервисах.
Рекомендация по реализации
Все сотрудники и представители сторонних организаций должны, как можно быстрее,
сообщать о недостатках ИБ своему руководству или непосредственно поставщику услуг,
чтобы предотвратить инциденты ИБ. Механизм сообщения должен быть, насколько
возможно, простым, доступным и применимым.
Оценка и решение о событиях ИБ
Мера и средство контроля и управления
События ИБ должны быть оценены и по ним должно быть принято решение, если они
классифицированы как инциденты ИБ.
Рекомендация по реализации
Необходимо выполнить следующие мероприятия:
- собрать максимально подробную информацию о событии ИБ;
- тщательно проанализировать событие ИБ;
- принять решение о классификации события как инцидента ИБ или нет.
Реагирование на инциденты ИБ
Мера и средство контроля и управления
Реагирование на инциденты ИБ должно быть установлено в соответствии с
документированными процедурами.
Рекомендация по реализации
Процедуры реагирования на инциденты должны быть задокументированы и содержать:
- информирование об инциденте руководства организации;
- предотвращение повторного проявления инцидента;
- идентификацию источника инцидента;
- проведение правовой экспертизы инцидента;
- ликвидацию инцидента и восстановление нормальной работы системы.
Извлечение уроков из инцидентов ИБ
Мера и средство контроля и управления
Знания, полученные в результате анализа и решения инцидентов ИБ, должны
использоваться, чтобы уменьшить вероятность или воздействие будущих инцидентов.
Рекомендация по реализации
Необходимо предусмотреть выполнение следующих мероприятий:
- проведение проверки наличия тенденций (закономерностей) появления предпосылок к
инцидентам ИБ;
- внесение изменений в систему управления инцидентами ИБ и ее процессах;
- выработка новых требований к мерам защиты ИБ и дальнейший пересмотр политики
ИБ;
- проведение инструктажа с целью обеспечения осведомленности персонала ИС об
инцидентах ИБ.
Сбор доказательств
Мера и средство контроля и управления
Организация должна определить и применять процедуры для идентификации, сбора,
приобретения и сохранения информации, которые могут служить в качестве доказательств.
Рекомендация по реализации
В основном, процедуры для сбора доказательств предусматривают:
- допустимость доказательств, т.е. может ли доказательство использоваться в суде или
нет;
- весомость доказательств, т.е. качество и полнота доказательств.
В общем случае, такие убедительные подтверждения могут быть получены следующим
образом:
- для бумажных документов: оригинал должен храниться безопасным способом, и
должно быть зафиксировано лицо, нашедшее документ, место и время нахождения
документа и свидетели находки; любое исследование должно удостоверить, что оригиналы
не подделаны;
- для информации на компьютерных носителях: зеркальное отображение или копии (в
зависимости от применимых требований) любых сменных носителей, информации на
жестких дисках или основной памяти компьютера следует выполнять таким образом, чтобы
обеспечить доступность; журнал регистрации всех действий в течение процесса копирования
необходимо сохранить, а сам процесс копирования удостоверить; оригиналы носителей
информации и журнал регистрации (если это не представляется возможным, то, по крайней
мере, один зеркальный образ или копию) следует хранить надежно и без изменений.
13. Аспекты ИБ при управлении непрерывности бизнеса
13.1. Непрерывность бизнеса
Цель: Непрерывность ИБ должна быть неотъемлемой частью системы управления
непрерывностью бизнеса организации.
Планирование непрерывности ИБ
Мера и средство контроля и управления
Организация должна определить свои требования к ИБ и непрерывности при
неблагоприятных ситуациях, например, во время кризиса или стихийного бедствия.
Рекомендация по реализации
В основу планирования непрерывности бизнеса должны быть заложены требования
непрерывности ИБ, и предусмотрено следующее:
- процедуры, определяющие порядок действий при чрезвычайных ситуациях, которые
должны быть предприняты после инцидента ИБ, ставящего под угрозу операции бизнеса;
- процедуры перехода на аварийный режим ИБ, описывающие действия, которые
должны быть предприняты, чтобы перенести важные операции бизнеса в альтернативное
временное место размещения и восстановить процессы бизнеса в требуемые сроки;
- временные эксплуатационные процедуры, которых следует придерживаться в
ожидании завершения восстановления и возобновления работы ИС;
- процедуры возобновления, определяющие порядок действий, которые должны быть
предприняты .чтобы вернуться к нормальному состоянию операций бизнеса;
- информирование, обучение и тренинг, направленные на понимание процессов
обеспечения непрерывности ИБ и обеспечение уверенности в эффективности этих
процессов;
- обязанности лиц с указанием ответственных за выполнение каждого пункта плана,
при необходимости должны быть указаны альтернативные ответственные лица;
- важнейшие активы и ресурсы, необходимые для действий в чрезвычайных ситуациях,
при переходе на аварийный режим ИБ и в процедурах возобновления бизнеса.
Внедрение непрерывности ИБ
Мера и средство контроля и управления
Организация должна установить, документировать, внедрить и поддерживать
процессы, процедуры и средства контроля для обеспечения требуемого уровня
непрерывности ИБ во время неблагоприятной ситуации.
Рекомендация по реализации
Процесс планирования непрерывности ИБ должен предусматривать следующее:
- определение и согласование всех обязанностей и процедур, связанных с обеспечением
непрерывности ИБ;
- определение приемлемых потерь информации и услуг;
- внедрение процедур, позволяющих восстановить и возобновить операции бизнеса и
доступность информации в требуемые сроки;
- эксплуатационные процедуры, которым необходимо следовать в ожидании
завершения восстановления и возобновления всех процедур и процессов;
- документальное оформление согласованных процедур и процессов;
- соответствующее обучение сотрудников согласованным процедурам и процессам,
включая управление в критических ситуациях;
- тестирование и обновление планов обеспечения непрерывности ИБ.
Проверка, пересмотр и оценка непрерывности ИБ
Мера и средство контроля и управления
Организация должна проверять разработанные и внедренные элементы управления
непрерывностью ИБ на регулярной основе в целях обеспечения того, что они являются
действительными и эффективными при неблагоприятных ситуациях.
Рекомендация по реализации
К методам проверки элементов управления непрерывностью ИБ относятся:
- теоретическая проверка различных сценариев (обсуждение мер по восстановлению
процессов на различных примерах прерываний);
- моделирование (особенно для тренинга сотрудников по выполнению их ролей
управления в после-инцидентных и кризисных ситуациях;
- тестирование технического восстановления (обеспечение уверенности в возможности
эффективного восстановления систем);
- тестирование процессов восстановления деятельности на альтернативной площадке;
- тестирование оборудования и услуг поставщиков (обеспечение уверенности того, что
предоставленные сторонними организациями продукты и услуги удовлетворяют договорным
обязательствам);
- «генеральные репетиции» (проверка готовности персонала, оборудования, средств и
процессов к обеспечению непрерывности процедур ипроцессов).
13.2. Избыточность
Цель: Обеспечить доступность средств обработки информации.
Доступность средств обработки информации
Мера и средство контроля и управления
Средства обработки информации должны быть внедрены с избыточностью, чтобы
удовлетворить требования доступности.
Рекомендация по реализации
Избыточность средств обработки информации предусматривает следующее:
- закупка оборудования с избыточной производительностью и мощностью;
- наличие резервных комплектов оборудования;
- наличие резервных модулей для ремонта оборудования;
- наличие резервных источников питания оборудования;
- наличие инстукций и проведение тренингов персонала по использованию резервов.
14. Соответствие требованиям
14.1. Соответствие законодательным и договорным требованиям
Цель: Предотвращение нарушения правовых, нормативных
обязательств, связанных с ИБ, и любых требований по безопасности.
или
договорных
Определение применимого законодательства и договорных требований
Мера и средство контроля и управления
Все соответствующие законодательные, нормативно-правовые и договорные
требования должны быть четко определены, документированы и поддерживаться в
актуальном состоянии для каждой ИС и организации.
Рекомендация по реализации
Необходимо определить и документально оформить:
- перечень действующих нормативно-правовых актов в сфере ИБ и необходимых видов
деятельности;
- перечень нормативных документов, которые необходимо разработать;
- перечень договорных требований для сторонних организаций.
Права интеллектуальной собственности
Мера и средство контроля и управления
Должны быть внедрены соответствующие процедуры для обеспечения соответствия
законодательным, нормативно-правовым и договорным требованиям связанным с правами
интеллектуальной собственности и использованием лицензионных программных продуктов.
Рекомендация по реализации
Следующие рекомендации следует учитывать в отношении защиты любого материала,
который может рассматриваться как интеллектуальная собственность:
- разработка политики соблюдения прав интеллектуальной собственности в отношении
ПО, определяющей законное использование ПО;
- приобретение ПО у заслуживающих доверия поставщиков для обеспечения
уверенности в том, что авторское право не нарушается;
- поддержание осведомленности сотрудников о политиках по защите прав
интеллектуальной собственности и уведомление о намерении применить дисциплинарные
санкции в отношении нарушителей;
- поддержание соответствующих реестров активов и выявление всех активов, в
отношении которых применимы требования по защите прав интеллектуальной
собственности;
- сохранение подтверждений и свидетельств прав собственности на лицензии,
дистрибутивные диски, руководства по эксплуатации и т. д.;
- внедрение мер и средств контроля того, что максимальное число разрешенных
пользователей не превышено;
- проведение проверок на предмет установки только авторизованного ПО и
лицензированных продуктов;
- предоставление политики по поддержке условий соответствующих лицензионных
соглашений;
- предоставление политики уничтожения или передачи ПО сторонним организациям;
- использование соответствующих инструментальных средств аудита;
- соблюдение сроков и условий применения ПО и информации, полученной из
общедоступных сетей;
- осуществлять копирование информации или документов в соответствии с законом об
авторском праве.
Защита записей
Мера и средство контроля и управления
Записи должны быть защищены от потери, уничтожения, фальсификации,
неавторизованного доступа и неавторизованного релиза, в соответствии с законодательными,
нормативными, договорными и бизнес-требованиями.
Рекомендация по реализации
Необходимо предпринимать следующее:
- разработать рекомендации в отношении сроков, порядка хранения и обработки, а
также уничтожения записей;
- составить график хранения с указанием записей и периода, в течение которого их
необходимо хранить;
- поддерживать ведение учета источников получения записей;
- необходимо внедрить соответствующие меры и средства защиты записей от потери,
разрушения и фальсификации.
Конфиденциальность и защита персональных данных
Мера и средство контроля и управления
Конфиденциальность и защита персональных данных должна быть обеспечена в
соответствии с требованиями соответствующего законодательства.
Рекомендация по реализации
Необходимо разработать и внедрить политику организации в отношении обеспечения
конфиденциальности и защиты персональных данных. Эта политика должна быть доведена
до сведения всех лиц, участвующих в обработке персональных данных.
Соблюдение указанной политики и всех применимых требований законодательных и
нормативных актов по защите персональных данных подразумевает наличие
соответствующей структуры управления и контроля.
Как правило. это достигается путем назначения должностного лица, отвечающего за
защиту персональных данных, которое должно предоставить инструкции руководителям
среднего звена, пользователям и поставщикам услуг в отношении их персональной
ответственности и специальных процедур, обязательных для выполнения.
Обеспечение ответственности за обработку персональных данных и осведомленности о
принципах их защиты должно осуществляться в соответствии с требованиями
законодательных и нормативных актов.
Регулирование криптографических средств контроля
Мера и средство контроля и управления
Криптографические средства контроля должны использоваться в соответствии со всеми
соответствующими соглашениями, законодательством и правилами.
Рекомендация по реализации
Следующие вопросы необходимо рассматривать в отношении соблюдения
соответствующих нормативных актов:
- ограничения на импорт и (или) экспорт криптографических средств контроля;
- ограничения на импорт и (или) экспорт технических средств, в которых реализованы
криптографические функции контроля;
- ограничения на использование шифрования данных;
- методы доступа государственных органов к информации, зашифрованной с помощью
программно-аппаратных средств обеспечения конфиденциальности и защиты персональных
данных.
14.2. Пересмотр (аудит) ИБ
Цель: Убедиться, что ИБ внедрена и управляется в соответствии с организационной
политикой и процедурами.
Независимый пересмотр (аудит) ИБ
Мера и средство контроля н управления
Подход организации к УИБ и ее внедрению (т.е. управление целями, элементами
управления, политикой, процессами и процедурами по ИБ) должен независимо
пересматриваться через запланированные интервалы или когда происходят значительные
изменения.
Рекомендация по реализации
Независимый аудит должен инициироваться руководством. Он необходим для
обеспечения уверенности в сохраняющейся работоспособности, адекватности и
эффективности подхода организации к УИБ. Аудит должен включать в себя оценку
возможностей улучшения и необходимость изменений подхода к безопасности, в том числе
политику и цели управления.
Аудит должен осуществляться специалистами, не работающими в рассматриваемой
области деятельности, например службой внутреннего аудита или сторонней организацией,
специализирующейся на таких проверках. Специалисты, привлекаемые к таким проверкам,
должны обладать соответствующими навыками и опытом.
Результаты аудита должны регистрироваться и сообщаться руководству,
инициировавшему проверку. Эти отчеты необходимо сохранять для возможного
последующего использования.
Если в результате аудита устанавлено, что подходы организации и реализация УИБ
неадекватны или не соответствуют направлению ИБ, изложенному в документе, содержащем
политику ИБ, руководству следует рассмотреть соответствующие корректирующие
действия.
Соответствие политикам безопасности и стандартам
Мера и средство контроля и управления
Менеджеры должны регулярно проводить пересмотр соответствия обработки
информации и процедур в пределах своей ответственности в соответствии с политиками
безопасности, стандартами и другими требованиями безопасности.
Рекомендация по реализации
Если в результате проведения анализа было выявлено какое-либо несоответствие,
менеджерам следует:
- определить причины несоответствия;
- оценить необходимость действий с целью обеспечения уверенности в том, что
несоответствие не повторится;
- определить и реализовать соответствующее корректирующее действие;
- проанализировать предпринятое корректирующее действие.
Проверка соответствия техническим требованиям
Мера и средство контроля и управления
Информационные системы должны регулярно пересматриваться на предмет
соответствия политики ИБ организации.
Рекомендация по реализации
Проверку соответствия ИС техническим требованиям должен осуществлять опытный
инженер вручную и (или) с помощью автоматизированных инструментальных средств,
которые генерируют технический отчет для последующего анализа техническим
специалистом.
Если проводится тестирование на проникновение или оценка уязвимостей, следует
соблюдать осторожность, поскольку такие действия могут привести к компрометации
безопасности системы. Такие тесты должны быть спланированы и документально
оформлены.
Контрольные вопросы
1. Что включает в себя каждая основная категория безопасности?
2. Какими мероприятиями документируется политика ИБ?
3. Каким образом должна пересматриваться политика ИБ?
4. Какими мерами осуществляется внутренняя организация?
5. Какие меры осуществляются перед приемом на работу?
6. Какие меры осуществляются во время работы?
7. Какие меры обеспечивают ответственность за активы?
8. Какие меры обеспечивают классификацию информации?
9. Какие меры обеспечивают использование носителей информации?
10. Какие меры включают в себя требования по управлению доступом?
11. Какие меры обеспечивают управление доступом пользователей?
12. Какие меры обеспечивают управление доступом к системе и приложениям?
13. Какие меры обеспечивают управление средствами криптографии?
14. Какие меры включает в себя раздел «Зоны безопасности»?
15. Какие меры обеспечивают безопасность оборудования?
16. Какие меры обеспечивают политику чистого рабочего стола и экрана?
17. Какие меры обеспечивают безопасность при обработке информации?
18. Какие меры включает в себя раздел «Логи и мониторинг»?
19. Какие меры обеспечивают управление техническими уязвимостями?
20. Какие меры обеспечивают управление сетевой безопасностью?
21. Какие меры обеспечивают безопасность передачи информации?
22. Какие меры включают в себя требования безопасности к ИС?
23. Какие меры обеспечивают ИБ при взаимоотношении с поставщиками?
24. Какие меры обеспечивают управление поставками?
25. Какие меры обеспечивают управление инцидентами ИБ?
26. Какие меры обеспечивают непрерывность ИБ?
27. Какие меры обеспечивают соответствие законодательным и договорным
требованиям?
28. Какие меры обеспечивают пересмотр (аудит) ИБ?