Обеспечение информационной безопасности при

Anexa nr. __________
la Ordinul nr. __________
din ____ __________ 2009
Технический регламент
Обеспечение информационной безопасности при предоставлении
электронных публичных услуг.
Технические требования
2
1 Область применения
Настоящий технический регламент разработан как составной
компонент законодательной базы для регламентирования сферы
информационно-коммуникационных
технологий,
поддержания
национальной стратегии создания информационного общества, а также
внедрения информационно-коммуникационных технологий во все сферы
взаимодействия государства, бизнеса и общества.
В данном техническом регламенте установлены основные требования
к процессу предоставления электронных публичных услуг (далее –
публичные услуги), связанные с обеспечением безопасности
информационных ресурсов, информационных систем (ИС) и с оценкой
соответствия этим требованиям, и определены требования, которые
необходимо выполнять для организации и поддержки процесса
управления безопасностью информации при предоставлении публичных
услуг.
Целью регламента является описание методик, способов и средств
обеспечения безопасности при предоставлении публичных услуг в
общенациональном информационном пространстве, а также выполнение
требований по безопасности, закрепленных в cоглашениях с заказчиками
и пользователями услуг и в действующем законодательстве Республики
Молдова, и обеспечение принятого минимального уровня обеспечения
информационной безопасности при оказании публичных услуг.
Обеспечение безопасности процесса предоставления публичных
услуг в Республике Молдова является составной частью государственной
политики
построения
информационного
общества,
повышения
эффективности публичного управления и обеспечение высокого уровня
качества системы предоставления публичных услуг.
Настоящий регламент применяется для управления и обеспечения
безопасности информационных ресурсов и систем, аппаратных и
программных средств, а также телекоммуникационных средств,
участвующих в процессе предоставления публичных услуг, нарушение
безопасности которых может привести к существенному ущербу для
пользователей публичных услуг, общества и государства.
2 Нормативно-правовая база
Настоящий
документ
разработан
на
основе
следующих
законодательных актов Республики Молдова:
- Закон Республики Молдова «О доступе к информации» № 982-XIV
от 11.05.2000;
3
- Закон Республики Молдова «Об оценке соответствия продукции» №
186 от 24.04.2003;
- Закон Республики Молдова «Об информатизации и
государственных информационных ресурсах» № 467-XV от 21.11.2003;
- Закон Республики Молдова «Об электронном документе и
цифровой подписи» № 264-XV от 15.07.2004;
- Закон Республики Молдова «Об электронной торговле» № 284-XV
от 22.07.2004;
- Закон Республики Молдова «О техническом регулировании» №
420–XVI от 22.12.2006;
- Закон Республики Молдова «О защите персональных данных» №
17-XVI от 15.02.2007;
- Закон Республики Молдова «О государственной тайне» № 245 от
27.11.2008;
- Закон Республики Молдова «О регистрах» № 71-XVI от 22.03.2007.
3 Терминология
В настоящем регламенте применяются следующие термины:
Санкционированный доступ к информации – доступ к
информации, не нарушающий правила разграничения доступа.
Несанкционированный доступ – получение защищаемой
информации заинтересованным субъектом с нарушением установленных
правовыми документами или владельцем информации прав или правил
доступа к защищаемой информации.
Соглашение об уровне услуг – письменное соглашение между
поставщиком услуг и заказчиком (заказчиками), которое описывает
согласованные уровни обслуживания по какой-либо услуге.
Алгоритм – точное предписание совершения определенной
последовательности действий для достижения поставленной цели за
конечное число шагов.
Алгоритмы
асимметричного
шифрования
–
алгоритмы
шифрования, в которых для шифрования и дешифрования используются
два разных ключа, называемые открытым и закрытым ключами, причем,
зная один из ключей, вычислить другой невозможно.
Алгоритмы
симметричного
шифрования
–
алгоритмы
шифрования, в которых для шифрования и дешифрования используется
один и тот же ключ или ключ дешифрования легко может быть получен из
ключа шифрования.
Криптографический алгоритм – алгоритм преобразования данных,
являющийся полностью или частично секретным и использующий при
работе набор секретных параметров.
4
Архитектура информационной системы — это набор ключевых
решений по организации информационной системы, а также набор
структурных элементов и интерфейсов, из которых она состоит, вместе с
поведением, описываемым в терминах коопераций этих элементов.
Аттестация – форма оценки соответствия процесса эксплуатации
информационной системы требованиям безопасности.
Аутентичность - свойство данных быть подлинными, что означает,
что данные были созданы законными участниками информационного
процесса, и данные не подвергались случайным или преднамеренным
искажениям.
Требования безопасности – требования, предъявляемые к
информационным технологиям, реализация которых обеспечивает
конфиденциальность, целостность и доступность информации.
Криптографический
ключ
–
параметр,
используемый
криптографическим алгоритмом.
Шифрование – процесс преобразования открытых данных в
зашифрованные данные при помощи шифра.
Конфиденциальность – обеспечение доступа к информации только
авторизованным пользователям.
Конфигурация – совокупность объектов информационной системы.
Дешифрование – процесс преобразования зашифрованных данных в
открытые данные при помощи шифра.
Доступность – обеспечение доступа к информации и связанным с ней
активам авторизованных пользователей по мере необходимости.
Экранирование – средство разграничения доступа клиентов из
одного множества к серверам из другого множества для контроля
информационных потоков.
Оценка рисков – оценка угроз, их последствий, уязвимости
информации и средств ее обработки, а также вероятности их
возникновения.
Дискретное (избирательное) управление доступом - разграничение
доступа между поименованными субъектами и поименованными
объектами. Субъект с определенным правом доступа может передать это
право любому другому субъекту.
Аппаратное обеспечение - оборудование, используемое для ввода,
обработки и вывода данных в информационных системах.
Инцидент – одно или серия нежелательных или неожиданных
событий в системе защиты информации, которые имеют большой шанс
скомпрометировать стандартные операции и поставить под угрозу защиту
информации.
Инфраструктура, основанная на открытых ключах –
совокупность программно-аппаратных средств, политик, процедур и
законных
обязательств,
которые
обеспечивают
внедрение
и
5
функционирование криптографических систем открытых ключей,
основанных на сертификатах для обеспечения безопасности сообщений
(конфиденциальность, целостность, аутентичность, неотказуемость) с
обеих сторон.
ИТ
инфраструктура
совокупность
информационновычислительных центров, банков данных и знаний интегрированной
автоматизированной системы связи и организации, которая обеспечивает
пользователям общие условия доступа к хранящейся информации.
Целостность – обеспечение достоверности и полноты информации и
методов ее обработки.
Мандатное управление доступом основано на сопоставлении меток
конфиденциальности информации, содержащейся в объектах (файлы,
папки, рисунки) и официального разрешения (допуска) субъекта к
информации соответствующего уровня конфиденциальности.
Среда функционирования - среда, в которой функционирует
информационная система.
Метка
чувствительности
определенные
маркировки
информационных ресурсов и систем, например, степень секретности,
категории.
Средства обеспечения безопасности - аппаратные, программноаппаратные и программные средства, реализующие совокупность
функций, обеспечивающих выполнение требований по защите
информации и по контролю эффективности защиты информации.
Средство управления конфигурациями – программный продукт,
обеспечивающий автоматизацию поддержки изменений, конфигураций и
контроля версий.
Средство криптографической защиты информации – аппаратные,
программные и аппаратно-программные средства, системы и комплексы,
реализующие
алгоритмы
криптографического
преобразования
информации,
используемые
для
защиты
целостности
и
конфиденциальности информации.
Криптографический модуль – совокупность аппаратного,
программного обеспечения или некоторая их комбинация, которая
реализует криптографическую логику или процессы защиты, включая
криптографические алгоритмы или генерацию ключей, и содержится
внутри некоторого физического объема.
Мониторинг – процесс сбора, анализа данных, представления
отчетов по выполнению работ.
Неотказуемость - невозможность отказаться от совершенных
действий.
Аутентификационный
пакет
механизм
подтверждения
подлинности заявляемого идентификатора пользователя.
6
Гриф секретности – отметка, проставляемая на материальном
носителе сведений, отнесенных к государственной тайне, и/или указанная
в сопроводительной документации к ним, подтверждающая степень
секретности сведений, содержащихся в их носителе.
Угроза – совокупность потенциально возможных событий и
действий, реализация которых приносит ущерб информационным
ресурсам или информационной инфраструктуре.
Предоставление публичных услуг – набор взаимосвязанных
процессов, направленных на достижение целей – взаимодействие между
субъектами электронного правления, осуществляющегося по двум четким
контурам - внутреннему и внешнему, сообщающимся между собой через
правительственный портал.
Политика управления доступом - правила предоставления доступа
к компьютерным системам и сети отдельным пользователям.
Политика информационной безопасности – набор правил или
процедур, предписанных организацией для защиты чувствительных
данных.
Профиль защиты - жестко структурированный документ,
содержащий требования безопасности для определенного класса
программно-технических средств.
Владелец информационных ресурсов, информационных систем,
технологий и средств их обеспечения - субъект, осуществляющий
владение и пользование указанными объектами и реализующий
полномочия распоряжения в пределах, установленных действующим
законодательством.
Защита информации - совокупность организационно-технических
мероприятий, программно-аппаратных средств и нормативных актов,
используемых для сохранения конфиденциальности, целостности и
доступности информации, а также для обеспечения неотказуемости.
Криптографическая защита – защита информационных процессов
от целенаправленных попыток отклонить их от нормальных условий
протекания.
Риск – внутреннее или внешнее воздействие на систему, которое
может неблагоприятно повлиять на область проекта или привести к его
провалу.
Актив – совокупность материальных благ принадлежащих одному
предприятию или организации (информационные, технические,
программные и другие ресурсы, входящие в состав информационных
систем).
Безопасность
информационных
систем
–
состояние
информационных систем, обеспечивающее ее применение на объектах
эксплуатации, при котором отсутствует недопустимый риск, связанный с
причинением ущерба личности, обществу и государства.
7
Публичная услуга – услуга, которая обуславливает три типа
взаимодействия составляющих электронного правления: взаимодействие
"Правительство - Гражданин" (G2C); взаимодействие "Правительство Бизнес" (G2B); взаимодействие "Правительство - Правительство" (G2G) с
подкатегорией "Взаимодействие Правительства и его сотрудников" (G2E).
Информационная система - совокупность программных и
аппаратных средств, предназначенных для сбора, обработки, хранения и
распространения информации, информационных ресурсов с целью
поддержки принятия решений, управления, анализа и увеличения
наглядности в организации.
Программное обеспечение - совокупность программ системы
обработки информации и программных документов, необходимых для
эксплуатации этих программ.
Туннеллирование – применение специального протокола, с
помощью которого два удаленных офиса организовывают между собой
безопасный туннель (сеанс связи), в результате чего данные передаются
между сетями.
Уязвимость – слабое место в системе, используя которое, возможно
вызвать ее неправильную работу.
4 Цели, задачи и принципы управления безопасностью при
предоставлении публичных услуг
Обеспечение информационной безопасности - это непрерывный
процесс, заключающийся в обосновании и реализации наиболее
рациональных форм, методов, способов и путей создания,
совершенствования и развития системы безопасности, непрерывном
управлении, контроле, выявлении узких и слабых мест и потенциально
возможных угроз.
Информационная безопасность представляет собой состояние
защищенности информации и поддерживающей инфраструктуры на всех
этапах процессов создания, обработки, передачи и хранения от случайных
или преднамеренных воздействий естественного или искусственного
характера, чреватых нанесением ущерба процессу предоставления
публичных услуг.
Информационная безопасность должна быть обеспечена посредством
комплексного использования всех средств защиты во всех структурных
элементах системы и компонентах ИТ-инфраструктуры и на всех этапах
технологического цикла ее деятельности. Для достижения наибольшего
уровня эффективности управления информационной безопасностью
необходимо использовать все средства, методы и мероприятия как единый
целостный механизм.
Система информационной безопасности представляет собой
8
организованную совокупность законодательных, организационных и
экономических мер, средств, методов и мероприятий, обеспечивающих
информационную безопасность.
Целью системы информационной безопасности при предоставлении
публичных услуг является предотвращение разглашения, утраты, утечки,
искажения и уничтожения информации, нарушения работы системы
предоставления публичных услуг.
Предметом защиты при предоставлении публичных услуг являются
информационные ресурсы и ИС, в том числе и с ограниченным доступом,
составляющие служебную и государственную тайну на магнитной и/или
оптической основе, информационные массивы и базы данных,
программное обеспечение, информативные физические поля различного
характера.
Объектом защиты предоставления публичных услуг являются
средства и системы информатизации (автоматизированные системы и
вычислительные
сети
различного
уровня
и
назначения,
телекоммуникационные линии связи, технические средства передачи
информации, средства размножения и отображения информации,
вспомогательные технические средства и системы), технические средства
и системы охраны и защиты информационных ресурсов и систем.
Безопасность информационных ресурсов и ИС характеризует такое
состояние информационных ресурсов и ИС и поддерживающей их
инфраструктуры, при которой с требуемой вероятностью должна
обеспечиваться защита информации в ходе предоставления услуг от
утечки, несанкционированных и непреднамеренных воздействий.
Обеспечение информационной безопасности представляет собой
многоуровневый подход для организации, предоставляющей публичные
услуги.
Обеспечение
информационной
безопасности
должно
осуществляться на четырех уровнях:
- законодательный уровень (законы, нормативные акты, стандарты);
- административный уровень (действия общего характера,
предпринимаемые руководством);
- процедурный уровень (конкретные меры безопасности, имеющие
дело с людьми);
- технический уровень (конкретные технические меры).
В процессе предоставления публичных услуг для обеспечения
безопасности информационных ресурсов должны быть обеспечены как
минимум три аспекта безопасности:
- конфиденциальность – обеспечение доступа к информации только
авторизованным пользователям;
- целостность – обеспечение достоверности и полноты информации и
методов ее обработки;
9
- доступность – обеспечение доступа к информации и связанным с
ней активам авторизованных пользователей по мере необходимости.
4.1 Цели обеспечения информационной безопасности
Целями обеспечения информационной безопасности в процессе
предоставления
услуг
являются
обеспечение
сохранности
и
конфиденциальности информации, защита и гарантия доступности,
достоверности и целостности информации, избежание утечки
информации, минимизация ущерба от событий, несущих угрозу
информационной безопасности.
Для обеспечения информационной безопасности при предоставлении
публичных услуг должны быть достигнуты следующие цели:
- обеспечение конфиденциальности информации в соответствии с
проведенной классификацией;
- обеспечение целостности информации на всех этапах, связанных с
нею процессов (создание, обработка, хранение, передача и уничтожение)
при предоставлении публичных услуг;
- обеспечение своевременной доступности информации при
предоставлении публичных услуг;
- обеспечение наблюдаемости, направленной на фиксирование любой
деятельности пользователей и процессов;
- обеспечение аутентичности и неотказуемости от транзакций и
действий производимых участниками предоставления публичных услуг;
- учет всех процессов и событий, связанных с вводом, обработкой,
хранением, предоставлением и уничтожением данных.
4.2 Задачи системы информационной безопасности
Для достижения целей обеспечения безопасности при предоставлении
публичных услуг необходимо выполнение следующих задач:
- идентификация информационных ресурсов и систем и их
классификация в зависимости от их ценности и важности в процессе
предоставления публичных услуг (компоненты анализа должны включать
данные, приложения, технологии, телекоммуникационные и аппаратные
средства, помещения, человеческие ресурсы и т.д.);
- идентификация угроз информационной безопасности и определение
возможных источников угрозы по каждому информационному ресурсу и
системе;
- идентификация уязвимых мест по каждой идентифицированной
угрозе;
- оценка рисков по идентифицированным информационным ресурсам
и системам;
10
выбор
мероприятий
по
управлению
информационной
безопасностью на основе анализа соотношения стоимости их реализации к
эффекту от снижения рисков и возможным убыткам в случае нарушения
безопасности;
- разработка и внедрение механизма и мер оперативного
реагирования на угрозы информационной безопасности и проявления
негативных тенденций в функционировании информационных ресурсов и
систем предоставления публичных услуг;
- разработка
и внедрение системы контролей, позволяющих
обеспечивать эффективное функционирование механизма и мер
обеспечения безопасности;
- организация процесса эффективного пресечения посягательств на
информационные ресурсы и системы;
- организация процесса обеспечения непрерывности предоставления
услуг и создание условий для максимально возможного возмещения и
локализации
наносимого
ущерба
неправомерными
действиями
физических и юридических лиц, ослабление негативного влияния
последствий нарушения информационной безопасности;
- организация процесса обеспечения безопасности при наличии
поставщиков услуг, имеющих доступ к информационным ресурсам или
системам при предоставлении публичных услуг.
4.3 Принципы обеспечения информационной безопасности
Система обеспечения информационной безопасности в ходе
предоставления публичных услуг должна создаваться на следующих
принципах:
- принцип равнопрочности - означает обеспечение защиты
оборудования, программного обеспечения и системы управления от всех
видов угроз;
- принцип непрерывности - предусматривает непрерывное
обеспечение безопасности информационных ресурсов, ИС для
непрерывного предоставления публичных услуг;
- принцип разумной достаточности - означает применение таких мер
и средств защиты, которые являются разумными, рациональными и
затраты на которые, не превышают стоимости нарушения
информационной безопасности;
- принцип комплексности – для обеспечения безопасности во всем
многообразии
структурных
элементов,
угроз
и
каналов
несанкционированного доступа должны применяться все виды и формы
защиты в полном объеме. Недопустимо применять отдельные формы или
технические средства;
11
- принцип комплексной проверки - заключается в проведении
специальных исследований и проверок, специального инженерного
анализа оборудования, верификационных исследований программных
средств. Должен осуществляться непрерывный мониторинг аварийных
сообщений и параметров ошибок, постоянно должно выполняться
тестирование аппаратного и программного оборудования, а также
контроль целостности программных средств, как при загрузке
программных средств, так и в процессе функционирования;
- принцип надежности – методы, средства и формы защиты должны
надежно перекрывать все пути проникновения и возможные каналы
утечки информации, для этого допускается дублирование средств и мер
безопасности;
- принцип универсальности - меры безопасности должны
перекрывать пути угроз независимо от места их возможного воздействия;
- принцип плановости – планирование должно осуществляться путем
разработки детальных планов действий по обеспечению информационной
защищенности всех компонент системы предоставления публичных услуг;
- принцип централизованного управления – в рамках определенной
структуры должна обеспечиваться организованно-функциональная
самостоятельность
процесса
обеспечения
безопасности
при
предоставлении публичных услуг;
- принцип целенаправленности – необходимо защищать то, что
должно защищаться в интересах конкретной цели;
- принцип активности – защитные меры обеспечения безопасности в
работе процесса предоставления услуг должны претворяться в жизнь с
достаточной степенью настойчивости;
- принцип квалификации обслуживающего персонала – обслуживание
оборудования должно осуществляться сотрудниками, подготовленными
не только в вопросах эксплуатации техники, но и в технических вопросах
обеспечения безопасности информации;
- принцип ответственности - ответственность за обеспечение
информационной безопасности должна быть ясно установлена, передана
соответствующему персоналу и утверждена всеми участниками в рамках
процесса обеспечения информационной безопасности.
5 Методология управления информационной безопасностью при
предоставлении публичных услуг
Методология управления информационной безопасностью при
предоставлении публичных услуг охватывает следующие этапы:
- разработка и поддержка политики информационной безопасности;
- управление рисками;
- организационная безопасность;
12
- классификация активов и организация контрольной среды;
- безопасность персонала;
- физическая безопасность;
- управление коммуникациями и операционной деятельностью
информационных технологий (ИТ);
- контроль доступа;
- разработка и обслуживание ИС;
- управление непрерывностью деятельности;
- соответствие требованиям;
- управление информационной безопасностью при привлечении
сторонних организаций.
5.1 Разработка
безопасности
и
поддержка
политики
информационной
Цель политики информационной безопасности заключается в
обеспечении решения вопросов информационной безопасности и
вовлечение высшего руководства организации в данный процесс.
Политика информационной безопасности представляет собой самый
важный документ в системе управления безопасностью организации и
один из ключевых механизмов безопасности, на основе которого должна
строиться вся система мер и средств обеспечения безопасности при
предоставлении публичных услуг.
В процессе разработки и поддержки политики информационной
безопасности должны соблюдаться следующие требования:
- разработка и реализация политики информационной безопасности
организации должна осуществляться высшим руководством путем
выработки четкой позиции в решении вопросов безопасности;
- политика информационной безопасности должна устанавливать
ответственность руководства, а также излагать подход организации к
управлению безопасностью;
- политика информационной безопасности в обязательном порядке
должна включать следующее:
1) определение безопасности, ее общих целей и сферы действия,
а также раскрытие значимости безопасности как инструмента,
обеспечивающего возможность совместного использования информации;
2)
изложение
целей
и
принципов
безопасности,
сформулированных руководством;
3) краткое изложение наиболее существенных для организации
политик информационной безопасности, принципов, правил и
требований;
13
4) определение общих и конкретных обязанностей сотрудников в
рамках управления безопасностью, включая информирование об
инцидентах нарушения безопасности;
5)
ссылки
на
документы,
дополняющие
политику
информационной безопасности, например, более детальные политики и
процедуры безопасности для конкретных ИС, а также правила
безопасности, которым должны следовать пользователи;
- политика информационной безопасности должна быть утверждена,
издана и надлежащим образом доведена до сведения всех сотрудников
организации в доступной и понятной форме;
- должно быть назначено ответственное лицо за политику
информационной безопасности, которое отвечало бы за ее реализацию и
пересмотр, как минимум раз в год;
- периодические пересмотры должны включать:
1) проверку эффективности политики, исходя из характера, числа
и последствий зарегистрированных инцидентов нарушения безопасности;
2) определение стоимости мероприятий по управлению
безопасностью и их влияние на эффективность выполнения процессов;
3) оценку влияния изменений в ИТ.
Эффективная политика информационной безопасности должна
определять необходимый и достаточный набор требований безопасности,
позволяющих уменьшить риски безопасности до приемлемой величины.
Данные требования должны учитывать особенности процессов
организации,
предоставляющей
публичные
услуги,
должны
поддерживаться руководством, позитивно восприниматься и исполняться
сотрудниками организации.
План обеспечения безопасности определяет все действия по
достижению целей обеспечения безопасности, по внедрению аппаратнопрограммного комплекса, и устанавливает процедуры улучшения
процесса обеспечения безопасности, проведения тренингов и семинаров
по обучению и повышению осведомленности персонала.
Требования к плану обеспечения безопасности при предоставлении
публичных услуг должны включать:
- требования к плану обеспечения безопасности:
1) должен разрабатываться и реализовываться план обеспечения
безопасности при предоставлении услуг;
2) план обеспечения безопасности должен содержать краткий
обзор требований безопасности предоставления услуг и описание мер и
средств обеспечения безопасности, применяемых или планируемых к
внедрению для удовлетворения этих требований;
3) план обеспечения безопасности должен быть рассмотрен и
утвержден соответствующими должностными лицами;
14
4) план обеспечения безопасности должен периодически
пересматриваться и корректироваться с учетом изменений в системе
предоставления публичных услуг или проблем, возникших в процессе ее
реализации, и оценки эффективности мер и средств обеспечения
безопасности;
- требования, связанные с правилами поведения персонала,
участвующего в процессе предоставления публичных услуг:
1) должны быть установлены правила поведения персонала в
отношении обеспечения безопасности;
2) правила поведения должны описывать обязанности персонала
и ожидаемые от них действия по обеспечению безопасности;
3) от каждого специалиста должно быть получено письменное
подтверждение, что он ознакомлен и соглашается соблюдать
установленные правила поведения.
5.2 Управление рисками
Управление рисками представляет собой процесс выявления,
контроля и минимизации или устранения рисков безопасности,
оказывающих влияние на информационные ресурсы и системы,
участвующие в процессе предоставления публичных услуг, в рамках
допустимых затрат.
Управление рисками должно включать следующие этапы:
- определение области и границ процесса управления рисками;
- анализ и оценка рисков;
- выбор и внедрение мер и средств по минимизации рисков;
- мониторинг процесса управления рисками и эффективности
выбранных мероприятий по снижению риска.
Требования к управлению рисками должны включать:
- должны разрабатываться, документироваться и периодически
обновляться политика управления рисками, а также процедуры и меры,
связанные с реализацией этой политики;
- должна осуществляться оценка рисков и потенциального ущерба,
который может быть нанесен вследствие несанкционированного доступа,
использования,
раскрытия,
модификации
или
уничтожения
информационных ресурсов и систем;
- должна осуществляться переоценка рисков с установленной
периодичностью или после внесения существенных изменений в ИС
предоставления публичных услуг;
- требования к исследованию угроз и уязвимостей:
1) с установленной периодичностью должна проводиться
идентификация новых угроз и уязвимостей;
15
2) исследование угроз и уязвимостей должно проводиться с
использованием специальных методик и инструментальных средств;
3)
инструментальные
средства,
предназначенные
для
исследования угроз и уязвимостей, должны предоставлять возможность
обновления их списков;
4) обновление списков угроз и уязвимостей должно
осуществляться с установленной периодичностью.
5.2.1 Определение области и границ процесса управления
рисками
На данном этапе необходимо определить области применения
управления рисками, то есть выявить категории активов и внутренних
процессов в организации, которые будут рассматриваться в ходе данного
процесса, а также определить уровень детализации в определении рисков.
5.2.2 Анализ и оценка рисков
Использование системы предоставления услуг связано с
определенной совокупностью рисков.
Анализ рисков представляет собой процесс выявления факторов,
способных негативно влиять на процесс предоставления публичных услуг.
Целью данного процесса является определение уязвимостей, связанных с
активами в системе предоставления услуг, использование которых может
привести к нарушению безопасности оказания публичных услуг.
Оценка рисков представляет собой систематический анализ:
- вероятного ущерба, который может быть нанесен в результате сбоя
в защите, принимая во внимание возможные последствия утраты
конфиденциальности, целостности или доступности информации и иных
активов;
- вероятности наступления такого нарушения с учетом
существующих угроз и уязвимостей, а также внедренных мер и средств по
обеспечению безопасности.
Для контроля эффективности процесса предоставления публичных
услуг, процесс анализа и оценки рисков должен проводиться
периодически, как минимум один раз в год, используя систематический
подход оценки величины рисков.
Для определения состава угроз и уязвимостей должны использоваться
следующие источники:
- результаты анализа соответствия используемых мер и средств
обеспечения безопасности установленным требованиям безопасности;
- печатные и электронные источники, содержащие известные угрозы
и уязвимости средств обеспечения безопасности;
16
- результаты работы автоматизированных средств выявления угроз и
уязвимостей;
- результаты тестирования средств обеспечения безопасности.
Требуется осуществлять периодический анализ и оценку рисков
безопасности и реализуемых средств контроля для обеспечения:
- учета изменений в требованиях и приоритетах организации;
- принятия во внимание появление новых угроз и уязвимых мест;
- гарантии, что средства обеспечения безопасности и контроля
функционируют эффективно.
Анализ рисков должен выполняться на различных уровнях в глубину,
в зависимости от результатов предыдущих оценок и меняющихся уровней
рисков, уровень которых является приемлемым для руководства.
Оценки рисков должны проводиться сначала на высоком уровне как
средства определения приоритетности ресурсов в областях повышенного
риска, а затем на более детальном уровне для рассмотрения более
специфичных рисков.
Значение риска от реализации угрозы должно определяться как
функция вероятности возникновения ущерба физическим или
юридическим лицам, государственному имуществу, который может быть
нанесен в результате невыполнения функций, возлагаемых на системы
предоставления услуг и нарушения условий ее эксплуатации.
Значение риска нарушения безопасности для каждого конкретного
актива должно определяться как максимальное значение риска для всех
рассмотренных угроз безопасности, относящихся к этому конкретному
информационному активу.
При проведении анализа рисков необходимо выполнить комплекс
следующих действий:
- идентификация и оценка активов (аппаратное и программное
обеспечение, телекоммуникационные средства, информационные ресурсы
и системы, средства обеспечения безопасности);
- идентификация и описание угроз, уязвимостей и средств
обеспечения безопасности и контроля. При идентификации угроз
безопасности должны быть выявлены все имеющиеся и потенциально
возможные угрозы безопасности следующих категорий:
1) объективные и субъективные;
2) внутренние и внешние;
3) случайные и преднамеренные.
Описание угрозы безопасности должно содержать:
1) источник угрозы;
2) способ (метод) реализации угрозы;
3) используемая уязвимость;
17
4) вид защищаемых активов, на которые воздействует угроза;
5) вид воздействия на активы;
6) нарушаемое свойство безопасности активов.
определение
вероятности
угрозы
и
воздействия
на
конфиденциальность, целостность, доступность и достоверность. При
определении вероятности реализации угрозы должны быть учтены:
1) мотивация, компетентность источника угрозы и используемые
им ресурсы;
2) существующие уязвимости;
3) наличие и эффективность мер и средств обеспечения
безопасности;
- оценка рисков, подготовка рекомендаций по противодействию.
Уровень ущерба от реализации угрозы должен определяется как
максимальный уровень ущерба для нарушаемых в результате реализации
угрозы характеристик безопасности информации, обрабатываемой в
системе предоставления услуг;
- разработка соответствующей политики и документации по анализу,
оценке и управлению рисками.
Требования к защите должны идентифицироваться путем
методической оценки рисков для безопасности. Методы оценки рисков
могут применяться к организации в целом или только к ее частям, а также
к отдельным ИС, специфическим системным компонентам или услугам,
когда это практически осуществимо и необходимо.
Результаты этой оценки должны использоваться в определении и
выборе направления соответствующего управленческого действия по
обеспечению безопасности, в определении приоритетов защиты
информации и в реализации средств обеспечения безопасности и
контроля.
5.2.3 Выбор и внедрение мер и средств по минимизации рисков
5.2.3.1 Выбор мер и средств по минимизации рисков
После проведения анализа и оценки рисков необходимо принять
решение по выбору мер и средств по минимизации рисков до
приемлемого уровня, подтвержденного руководством.
При принятии решения по выбору мер и средств обеспечения
безопасности и контроля необходимо учесть следующие факторы:
- затраты на внедрение и сопровождение мер и средств обеспечения
безопасности;
- политика руководства организации;
- простота реализации выбранных решений.
18
С учетом того, что безопасность при предоставлении услуг может
обеспечиваться различными комбинациями организационных и
технических мер и средств, выбор конкретной совокупности мер и средств
обеспечения безопасности должен осуществляться, исходя из
минимизации организационных, технических и финансовых затрат на
реализацию ИС предоставления публичных услуг.
Меры по минимизации рисков должны включать:
- уменьшение риска - риск считается неприемлемым. Для его
уменьшения должны быть выбраны и реализованы соответствующие
меры и средства обеспечения безопасности и контроля;
- передача риска - риск считается неприемлемым и на определенных
условиях должен передаваться сторонней организации (например, в
рамках страхования или аутсорсинга);
- принятие риска - риск в конкретном случае считается осознанно
допустимым. Организация осознает и принимает возможные последствия,
так как стоимость контрмер значительно превосходит финансовые потери
в случае реализации угрозы либо невозможно найти подходящие меры и
средства обеспечения безопасности и контроля;
- отказ от риска - отказ от процессов в организации, являющихся
причиной риска или от услуг третьих сторон в случае, когда последние
неспособны обеспечить приемлемый уровень риска cвязанный с их
услугами.
Выбор мер и средств обеспечения безопасности при предоставлении
публичных
услуг
должен
осуществляться
в
следующей
последовательности:
- анализ применяемых мер и средств обеспечения безопасности;
- дополнение применяемых мер и средств обеспечения безопасности
мерами и средствами, необходимыми для выполнения требований,
определенных в результате оценки рисков нарушения безопасности;
- оценка риска нарушения безопасности для выбранного набора мер и
средств обеспечения безопасности;
- уточнение выбранного набора мер и средств обеспечения
безопасности, а также, при необходимости, требований безопасности,
если определенный уровень риска не соответствует установленному
допустимому уровню риска нарушения безопасности.
После определения необходимых мер и средств по минимизации
рисков необходимо выполнить комплекс следующих действий:
- определить условия и методы функционирования средств
обеспечения безопасности и контроля а также аппаратно-программного
комплекса;
- установить настройки средств обеспечения безопасности и
контроля, а также аппаратно-программного комплекса на автоматическую
работу или на отслеживание персоналом;
19
- распределить ответственность за проведение контрольных проверок
функционирования средств обеспечения безопасности и контроля и
аппаратно-программного комплекса.
Меры и средства по минимизации рисков должны периодически
пересматриваться, не менее одного раза в год.
5.2.3.2 Внедрение мер и средств по минимизации рисков
Внедрение мер и средств по минимизации рисков должно
осуществляться в строгом соответствии с политикой информационной
безопасности.
Для внедрения мер и средств по минимизации рисков должна быть:
- определена персональная ответственность за применение мер и
средств обеспечения безопасности при эксплуатации системы
предоставления публичных услуг;
- разработана организационно-распорядительная документация по
внедрению мер и средств обеспечения безопасности, определяющая:
1) задачи персонала и пользователей по применению мер и
средств обеспечения безопасности;
2) порядок действий при возникновении инцидентов нарушения
безопасности в ходе процесса предоставления услуг;
3) процедуры контроля над применением мер и средств
обеспечения безопасности.
Настройка средств обеспечения безопасности должна осуществляться
на полностью развернутой и готовой к эксплуатации ИС предоставления
публичных услуг.
После внедрения мер и средств обеспечения безопасности должны
быть проведены контрольные проверки и испытания для того, чтобы
установить правильность их реализации и эффективность в
противодействии угрозам безопасности.
Все решения по выбору и внедрению мер и средств относительно
управления рисками должны быть зарегистрированы и документированы,
а также должны гарантировать, что риски уменьшены до приемлемого
уровня.
5.2.4
Мониторинг
процесса
управления
рисками
эффективности выбранных мероприятий по минимизации рисков
и
Мониторинг управления рисками предполагает анализ результатов
мероприятий по снижению степени выявленных рисков. На данном этапе
должны быть определены механизмы оценки и контроля эффективности
20
управления программным обеспечением (ПО), проектами и ресурсами в
рамках решений, принятых относительно рисков.
В ходе проведения мониторинга процесса управления рисками и
эффективности мер по минимизации рисков необходимо выполнить
комплекс следующих действий:
- создать систему мониторинга выявленных рисков и мероприятий по
их снижению;
- проверить эффективность мероприятий и работ по минимизации
рисков;
- идентифицировать изменения рисков для организации при внесении
изменений в национальном законодательстве, появлении новых
технологий предоставления услуг, изменении организационной структуры
и полномочий организации, применении новых ИС и ИТ;
- построить единую систему информирования об изменениях с
адекватным процессом управления изменениями;
- определить адекватности текущего процесса управления рисками к
существующим изменениям;
- определить механизм сохранения рабочей информации,
рассматриваемой в процессе управления рисками.
В качестве способов мониторинга процесса управления рисками
необходимо:
- применять технические меры - мониторинг, анализ системных
журналов и выполнения проверок с целью подготовки отчетности для
предоставления руководству;
- проводить анализ со стороны руководства;
- проводить независимые внутренние аудиты информационной
безопасности.
Аудит системы управления рисками является необходимым этапом
мониторинга рисков, в ходе которого должны быть рассмотрены:
- эффективность телекоммуникационных средств внутри и извне
организации;
- эффективность расходования средств на мероприятия, связанные с
управлением рисками;
- эффективность работы внешних консультантов и третьих сторон,
выполняющих аутсорсинг;
- наличие механизмов реагирования на кризисную ситуацию и
эффективность плана обеспечения непрерывной деятельности;
- процедуры работы с ключевыми рисками, наличие внутренних
планов проверок, разработанных для идентификации новых рисков и
угроз.
21
5.3 Организационная безопасность
Создание и внедрение системы обеспечения безопасности при
предоставлении публичных услуг возможны только при четком
определении ответственности и полномочий, связанных с реализацией
процессов управления и обеспечения безопасности.
Реализация подразделениями и отдельными
сотрудниками
организации обязанностей по обеспечению безопасности должна
осуществляться в соответствии с разработанными и утвержденными
руководством
организационно-распорядительными
документами
(положениями, инструкциями, обязанностями, перечнями, формулярами).
При определении ответственности и полномочий, связанных с
обеспечением безопасности процесса предоставления публичных услуг,
обязательным является выполнение следующих требований:
- должны быть определены специфические роли и обязанности по
осуществлению и поддержанию соответствующих мер и средств по
защите активов организации;
- руководство должно предоставлять подтверждение своих
обязательств по созданию, внедрению, эксплуатации, постоянному
контролю, анализу, поддержанию в рабочем состоянии и улучшению
системы обеспечения безопасности путем комплекса следующих
действий:
1) создание политики безопасности, а также планов обеспечения
безопасности;
2) довести до сведения персонала, участвующего в процессе
оказания публичных услуг, о важности выполнения целей обеспечения
безопасности при предоставлении публичных услуг;
3) обеспечение достаточного количества ресурсов для создания,
внедрения, эксплуатации, постоянного контроля, анализа, поддержания в
рабочем состоянии и улучшения системы обеспечения безопасности;
4) принятие решения о критериях принятия риска и приемлемых
уровнях риска;
- уровни ответственности и полномочий должны быть ясно
определены и документированы;
- должно быть назначено ответственное лицо по управлению
безопасности, а также по внедрению мер и средств обеспечения
безопасности;
- деятельность по защите информации должна быть скоординирована
представителями различных структурных единиц организации с
соответствующими ролями и рабочими функциями;
22
- руководство должно требовать от сотрудников и третьих сторон
обеспечивать безопасность процесса предоставления публичных услуг в
соответствии с установленными требованиями безопасности;
детали
назначенной
ответственности
должны
быть
документированы в организационно-распорядительных документах;
- необходимо определить обязанности по защите отдельных активов,
и по выполнению определенных процессов и процедур, связанных с
безопасностью процесса предоставления услуг;
- ответственное лицо по защите определенного актива может
передавать свои полномочия по обеспечению безопасности либо
сотруднику организации, либо третьей стороне, при условии, что
переданные полномочия реализуются должным образом.
5.4 Классификация активов и организация контрольной среды
Классификация активов, подлежащих защите, является необходимым
элементом организации работ по обеспечению информационной
безопасности системы предоставления публичных услуг.
Целями проведения классификации активов являются:
- определение и поддержка в рабочем состоянии адекватной и
эффективной системы защиты активов при предоставлении публичных
услуг;
- обеспечение соответствующего уровня защиты информационных
ресурсов и систем, участвующих в процессе оказания публичных услуг.
При проведении классификации активов должны выполняться
следующие требования:
- все активы должны быть учтены и закреплены за ответственными
владельцами;
- необходимо определить ответственность владельцев активов за
поддержание соответствующих мер по обеспечению информационной
безопасности;
- каждый актив должен быть четко идентифицирован и
классифицирован в зависимости от критериев безопасности;
- владельцы активов должны быть авторизованы, а данные о них
документированы.
Необходимо осуществлять классификацию защищаемых активов, с
целью правильного выбора мер и средств обеспечения их безопасности,
путем выполнения следующих действий:
- установление градаций важности обеспечения защиты активов;
- отнесение конкретных активов к соответствующим категориям.
В качестве активов могут выступать и публичные услуги,
предоставляемые через Правительственный портал.
23
Для системы предоставления публичных услуг должны применяться
степени секретности и категории целостности защищаемых активов, а
также степени доступности услуг.
Категории защиты для активов, таких как средства обработки
информации, должны устанавливаться в зависимости от категорий
секретности и целостности хранимой или обрабатываемой информации.
Для данных активов должны быть определены конкретные требования по
применению соответствующих вариантов обязательных мер и настроек
средств защиты информации.
Все результаты классификации должны быть рассмотрены и
утверждены соответствующими должностными лицами и должны быть
документированы в плане обеспечения безопасности ИС предоставления
публичных услуг.
На основе классификации активов должна быть организована
контрольная среда со следующими элементами:
- основные принципы управления организацией;
- организационная структура;
- разделение ответственности и полномочий;
- кадровая политика.
По каждому элементу необходимо проводить контрольные
процедуры, необходимые для достижения целей соответствия внутренним
требованиям организации и обеспечения безопасности.
5.4.1 Степени секретности защищаемых активов
Степени секретности защищаемых активов регламентированы
Законом Республики Молдова «О государственной тайне» № 245 от
27.11.2008.
5.4.2 Категории целостности защищаемых активов
Категории целостности защищаемых активов являются:
«Высокие»
данная
категория
включает
активы,
несанкционированная модификация или фальсификация которых может
привести к нанесению значительного прямого ущерба организации,
целостность и аутентичность которых должны обеспечиваться
гарантированными методами (цифровая подпись) в соответствии с
обязательными требованиями действующего законодательства;
«Низкие»
данная
категория
включает
активы,
несанкционированная модификация, подмена или удаление которых
может привести к нанесению незначительного косвенного ущерба
организации, ее пользователям или сотрудникам;
24
- «Нет требований» - данная категория включает активы, к
обеспечению целостности которых требований не предъявляется.
5.4.3 Степени доступности услуг
Для системы предоставления публичных услуг должны применяться
следующие степени доступности услуг в зависимости от категории
пользователей:
- «Беспрепятственная доступность» - доступ к услуге должен
обеспечиваться в любое время, услуга должна предоставляться постоянно,
задержка получения результата не должна превышать нескольких секунд
или минут;
- «Высокая доступность» - доступ к услуге должен осуществляться
без существенных временных задержек;
- «Средняя доступность» - доступ к услуге может обеспечиваться с
существенными временными задержками, задержка получения результата
не должна превышать 3 дней;
- «Низкая доступность» - временные задержки при доступе к услуге
практически не лимитированы, допустимая задержка получения
результата - 7 дней.
5.5 Безопасность персонала
5.5.1 Основные требования к безопасности персонала
Обеспечение требуемого уровня безопасности предоставления
публичных услуг, достигается надлежащей подготовкой специалистов и
пользователей, участвующих в процессе предоставления публичных
услуг, и соблюдением ими всех установленных правил, направленных на
обеспечение безопасности.
Основные требования к безопасности персонала, участвующего в
процессе предоставления публичных услуг, должны включать:
- разработку, документирование и периодическое обновление
политики обеспечения безопасности персонала, а также процедуры и
меры, связанные с реализацией этой политики;
- требования к классификации персонала:
1) должны быть назначены категории персонала и определены
соответствующие критерии отбора персонала каждой категории;
2) категории персонала и критерии отбора должны периодически
анализироваться и при необходимости корректироваться;
- требования безопасности при найме персонала:
1) необходимо проводить соответствующую
проверку
кандидатов на работу, особенно это должно касаться должностей,
25
предполагающих доступ к критичным активам (наличие положительных
рекомендаций, проверка резюме претендента, подтверждение заявляемого
образования и профессиональных квалификаций, независимая проверка
подлинности документов, удостоверяющих личность);
2) все сотрудники и представители сторонних организаций,
использующие средства обработки информации, должны подписывать
соглашение о конфиденциальности;
- требования безопасности при увольнении персонала:
1) при увольнении специалиста должен быть прекращен его
доступ к активам;
2) с увольняемым специалистом должна быть проведена
заключительная беседа;
3) должен быть обеспечен возврат всех атрибутов, (ключей,
идентификационных карточек и т.п.), имевшихся у увольняемого
специалиста;
4) должна быть обеспечена возможность доступа к информации,
созданной увольняемым специалистом, со стороны уполномоченных
специалистов организации;
- при перемещении специалиста на другую должность должны быть
пересмотрены его атрибуты и средства, на основе которых он получает
доступ (например, перегенерация ключей, идентификационные карты,
удаление старой учетной записи и создание новой учетной записи);
- определение и применение санкций различного характера к
специалистам, не выполняющим требования соответствующих политик и
процедур обеспечения безопасности.
5.5.2 Требования к информированию и обучению вопросам
обеспечения безопасности
Для обеспечения уверенности в осведомленности пользователей об
угрозах и проблемах, связанных с безопасностью, и их оснащенности всем
необходимым для соблюдения требований политики безопасности, при
выполнении служебных обязанностей, необходимо:
- разрабатывать, документировать и периодически обновлять
политику обучения (тренинга) безопасности, а также процедуры и меры,
связанные с реализацией политики обучения безопасности;
- соблюдать требования к информированию по вопросам
безопасности:
1) в должностных инструкциях должны быть включены общие
обязанности по внедрению и соблюдению политики безопасности и
специфические особенности по защите определенных активов или
действий, касающихся безопасности;
26
2) пользователей необходимо обучать процедурам безопасности
и правильному использованию средств обработки информации для
минимизации возможных рисков безопасности;
- соблюдать требования к обучению вопросам безопасности:
1) должны быть идентифицированы лица из числа персонала,
выполняющие роли и имеющие обязанности, существенные с точки
зрения влияния на безопасность;
2) должны быть сформированы группы обучения, в зависимости
от выполняемых функций и обязанностей;
3) для каждой группы должны быть разработаны учебные
материалы;
4) обучение сотрудников должно обеспечить знание ими
требований безопасности, ответственности в соответствии с действующим
законодательством, мер и средств обеспечения безопасностью, а также
знание правильного использования средств обработки информации;
5) идентифицированные лица должны пройти обучение вопросам
безопасности;
- персонал, участвующий в процессе предоставления публичных
услуг, должен пройти обучение следующим вопросам:
1) система защиты процесса предоставления публичных услуг и
порядок работы с ней;
2) основные принципы построения и особенности современных
средств защиты информации;
3) методы защиты информации.
5.5.3 Требования к реагированию на инциденты нарушения
безопасности
Для минимизации ущерба от инцидентов нарушения безопасности и
сбоев функционирования комплекса программно-аппаратных средств, а
также для осуществления мониторинга и реагирования по случаям
инцидентов необходимо:
- разрабатывать, документировать и периодически обновлять
политику реагирования на инциденты нарушения безопасности, а также
процедуры и меры, связанные с реализацией политики реагирования на
инциденты нарушения безопасности;
- соблюдать требования к информированию об инцидентах
нарушения безопасности:
1) об инцидентах нарушения безопасности необходимо
информировать руководство в соответствии с установленным порядком,
по возможности, незамедлительно;
2) все сотрудники и сторонние организации должны быть
осведомлены о процедурах информирования о различных типах
27
инцидентов, таких как нарушение безопасности, наличие потенциальной
угрозы и уязвимости, возникшие сбои программно-аппаратных средств,
которые могут оказать негативное влияние на безопасность активов
организации;
3) должны быть установлены меры дисциплинарной
ответственности сотрудников, нарушающих требования безопасности;
- соблюдать требования к обучению действиям по реагированию на
инциденты нарушения безопасности:
1) персонал должен проходить периодичную подготовку по
вопросам ответственности и обязанностей при осуществлении действий
по управлению реагированию на инциденты нарушения безопасности;
2) в процессе подготовки персонала должны моделироваться
соответствующие события, что поможет в будущем персоналу
эффективно выполнить требуемые от него действия при возникновении
кризисных ситуаций;
3) должны использоваться автоматизированные средства для
того, чтобы обеспечить более полную и реалистичную среду обучения;
- соблюдать требования к обработке инцидентов:
1) возможности по обработке инцидентов должны включать:
обнаружение, анализ, предотвращение развития, устранение инцидентов
нарушения безопасности и восстановление безопасности после
инцидентов;
2) должны использоваться автоматизированные средства для
поддержки процесса обработки инцидентов;
- соблюдать требования по проверке эффективности действий по
реагированию на инциденты нарушения безопасности:
1)
должна
осуществляться
периодическая
проверка
эффективности действий по реагированию на инциденты нарушения
безопасности с использованием соответствующих тестов (проверочных
последовательностей действий);
2) должны использоваться автоматизированные средства для
более тщательной проверки эффективности действий по реагированию на
инциденты нарушения безопасности.
- соблюдать требования по мониторингу инцидентов:
1) необходимо установить порядок мониторинга и регистрации
инцидентов и сбоев в отношении их числа, типов, параметров;
2) инциденты нарушения безопасности должны отслеживаться и
документироваться на постоянной основе;
3) должны использоваться автоматизированные средства при
отслеживании инцидентов нарушения безопасности, сборе и анализе
информации об инцидентах;
- соблюдать требования по предоставлению отчетов об инцидентах:
28
1)
необходимо
представлять
отчеты
об
инцидентах
установленным органам в соответствии с установленной формой и
периодичностью;
2) должны использоваться автоматизированные средства
поддержки разработки и предоставления отчетов об инцидентах
нарушения безопасности.
5.6 Физическая безопасность
Для предотвращения неавторизованного доступа, повреждения и
воздействия в отношении помещений и информации организации
необходимо обеспечивать физическую безопасность средств обработки
критичной служебной информации, посредством использования
различных защитных барьеров и средств контроля проникновения.
Требования к физической защите должны включать:
- разработку, документирование и периодическое обновление
политики физической защиты и защиты среды ИС, а также процедуры и
меры, связанные с реализацией этой политики;
- требования к санкционированию физического доступа:
1) должны быть разработаны списки персонала, которому будет
разрешен доступ к активам и выпущены соответствующие мандаты
(значки, идентификационные карты, интеллектуальные карты);
2) соответствующие должностные лица должны рассматривать и
утверждать списки и мандаты, разрешающие доступ;
3) списки доступа должны пересматриваться в соответствии с
установленной периодичностью;
- требования к управлению физическим доступом:
1) уровень защищенности должен быть соразмерен с
идентифицированными рисками;
2) должно осуществляться управление физическим доступом во
всех точках доступа к активам;
3) необходимо использовать четко определенные периметры
безопасности для защиты помещений и зон расположения средств
обработки информации;
4) доступ в помещения и здания должен быть предоставлен
только авторизованному персоналу;
5) до предоставления физического доступа к активам должна
быть выполнена процедура проверки полномочий на доступ;
6) необходимо регулярно анализировать и пересматривать права
доступа сотрудников в зоны безопасности;
- требования к мониторингу физического доступа:
29
1) должен осуществляться постоянный контроль доступа в зонах
входа в периметр здания для обеспечения уверенности в том, что доступ
позволен только авторизованному персоналу;
2) в процессе мониторинга должны использоваться устройства
наблюдения
и
сигнализации
реального
времени,
а
также
автоматизированные средства, обеспечивающие распознание нарушений и
инициирующие ответные действия;
3) контроль физического доступа к помещениям должен
обеспечиваться
использованием
самых
жестких
методов
идентификации/аутентификации;
- требования к контролю посетителей:
1) должна быть выделена зона регистрации посетителей или
должны существовать другие мероприятия по управлению физическим
доступом в помещения или здания;
2) должно осуществляться управление физическим доступом
посетителей на объекты;
3) должно осуществляться сопровождение посетителей на
объектах и контроль их действий;
- требования по ведению журналов учета доступа посетителей:
1) посетители зон безопасности должны сопровождаться или
обладать соответствующим допуском;
2) должны вестись журналы учета доступа посетителей, где
необходимо регистрировать дату и время входа и выхода;
3) журналы учета доступа посетителей должны периодически
анализироваться соответствующими должностными лицами;
4) должны использоваться автоматизированные средства ведения
журналов учета доступа посетителей;
- требование к защите оборудования:
1) оборудование должно быть расположено и защищено так,
чтобы уменьшить риски от воздействий окружающей среды и
возможности неавторизованного доступа;
2) оборудование необходимо защищать от перебоев в подаче
электроэнергии и других сбоев, связанных с электричеством, например,
наличие резервных источников питания;
3) оборудование необходимо защищать от пожаров и других
чрезвычайных ситуаций;
4) необходимо защищать телекоммуникационные кабельные сети
от перехвата информации или повреждения;
5)
необходимо
проводить
надлежащее
техническое
обслуживание оборудования для обеспечения его непрерывной
работоспособности и целостности.
30
5.7 Управление коммуникациями и операционной деятельностью
информационных технологий
Для обеспечения уверенности в надлежащем и безопасном
функционировании средств обработки информации необходимо
установить
обязанности
и
процедуры
по
управлению
и
функционированию всех средств обработки информации.
К управлению коммуникациями и операционной деятельностью
функционирования ИТ и средств обработки информации предъявляются
следующие требования:
- требования к операционным процедурам:
1) операционные процедуры должны рассматриваться как
официальные документы, документироваться и строго соблюдаться, а
изменения к ним должны утверждаться руководством;
2) процедуры должны содержать детальную инструкцию
выполнения конкретного задания и включать:
a) обработку и управление информацией;
b) определение требований в отношении графика
выполнения заданий, включающих взаимосвязи между системами;
c) время начала выполнения самого раннего задания и время
завершения самого последнего задания;
d) обработку ошибок или других исключительных ситуаций,
которые могут возникнуть в течение выполнения заданий;
e) перезапуск системы и процедуры восстановления в случае
системных сбоев;
3) необходимо обеспечить синхронизацию системных часов для
правильного выполнения операций в сети;
4)
необходимо
постоянно
контролировать
изменения
конфигурации в средствах и системах обработки информации;
5) должны быть определены и внедрены роли, ответственности и
процедуры обеспечения контроля всех изменений в оборудовании, ПО
или процедурах;
6) должны быть определены обязанности и процедуры по
управлению инцидентами для обеспечения быстрой, эффективной и
организованной реакции на нарушения безопасности;
7) необходимо наличие журнала регистрации ошибок,
появившихся в результате сбоев и несоответствий в процессе работы
системы;
- требования к защите от вредоносного ПО:
1) пользователи должны быть осведомлены об опасности
использования неавторизованного или вредоносного ПО;
2) необходимо внедрять специальные средства контроля для
обнаружения и/или предотвращения проникновения подобных программ;
31
3) необходимо устанавливать и регулярно обновлять
антивирусное ПО для обнаружения и сканирования компьютеров и
носителей информации;
4) необходимо регулярно проводить инвентаризацию ПО и
данных в системах, поддерживающих критические процессы в
организации;
5) должны обеспечиваться обнаружение попыток и защита от
несанкционированного изменения ПО и информации;
- требования к резервированию и сохранению информации:
1) необходимо регулярно выполнять резервное копирование
важной служебной информации и ПО;
2) необходимо обеспечить гарантированный уровень физической
защиты и защиты от воздействий окружающей среды для резервных
копий;
3) необходимо регулярно проводить тестирование резервного
оборудования;
4) необходимо регулярно актуализировать и тестировать
процедуры восстановления для обеспечения эффективности их
выполнения;
5) необходимо осуществлять физический контроль и безопасное
хранение носителей информации (в бумажном или цифровом виде) с
учетом максимальной категории безопасности информации, записанной
на носителе;
6) при сохранении информации должны выбираться такие
методы ее архивирования, которые позволили бы ее восстановить в случае
необходимости, с учетом изменения применяемых программноаппаратных средств;
7) при сохранении информации должны быть учтены все
юридические аспекты, связанные с правами собственника информации,
использовавшейся в ИС;
8) должны быть идентифицированы места резервного хранения
информации и решены административные вопросы хранения резервных
копий информации;
9) места резервного хранения информации должны быть
пространственно (географически) отделены от основных мест хранения
информации, чтобы не подвергаться тем же самым опасностям;
10) место резервного хранения информации должно быть
сконфигурировано таким образом, чтобы обеспечить своевременное и
эффективное выполнение операций восстановления;
11) должны быть определены потенциальные проблемы
доступности мест резервного хранения информации, в случае сбоя или
аварии и определены конкретные действия по восстановлению
доступности;
32
- требования к безопасности носителей информации:
1) необходимо наличие процедур по использованию сменных
носителей информации (лент, дисков, кассет, а также печатных отчетов);
2) все носители информации должны храниться в надежном,
безопасном месте;
3) действия по удалению информации с носителей информации
должны контролироваться, документироваться и проверяться;
4) необходимо физически разрушать или перезаписывать
безопасным образом носители данных, содержащие важную информацию,
а не использовать стандартные функции удаления;
5) необходимо проверять на предмет удаления всех важных
данных и лицензионного ПО все компоненты оборудования, содержащего
носители данных (например, встроенные жесткие диски);
6) процедуры удаления информации с носителей информации
должны периодически анализироваться на предмет их корректности и
эффективности;
7) необходимо осуществлять маркирование всех носителей
информации, и ограничивать доступ с целью идентификации
неавторизованного персонала;
8) к съемным носителям информации должны быть прикреплены
внешние метки, содержащие информацию установленного состава;
9) должен быть составлен список носителей информации, к
которым были прикреплены внешние метки;
10) необходимо обеспечить формализованную регистрацию
авторизованных получателей данных;
11) при передаче цифрового носителя информации для
повторного использования должна быть осуществлена процедура его
очистки, чтобы исключить возможность несанкционированного
получения доступа к хранимой (хранившейся) на носителе информации и
ее использования неуполномоченными на это лицами;
12) следует осуществлять контроль транспортировки носителя
информации, чтобы его могло получить только уполномоченное на это
лицо;
- требования по доступу к носителям секретной информации – доступ
к носителям секретной информации должен предоставляться только
уполномоченным на это лицам в соответствии с грифами секретности,
согласно Закону Республики Молдова «О государственной тайне» № 245
от 27.11.2008;
- требования к управлению сетевыми службами:
1) необходимо распределять ответственность и устанавливать
процедуры и обязанности за поддержание сетевых ресурсов и
компьютерных операций;
33
2) необходимо внедрять специальные средства контроля для
обеспечения конфиденциальности и целостности данных, проходящих по
общедоступным сетям, а также для защиты подключенных систем;
- требования к обмену данными:
1) должны быть определены процедуры и мероприятия по защите
информации и носителей при их передаче;
2) при определении требований безопасности должна
учитываться степень важности информации, являющейся предметом
обмена;
3) необходимо обеспечить защиту обмена данными через
электронную почту и транзакции в режиме он-лайн посредством
общедоступных сетей, в частности, Интернет;
4) ПО, данные и другую информацию, требующую высокого
уровня целостности, доступ к которой осуществляется через системы
публичного
доступа,
необходимо
защищать
средствами
криптографической защиты информации, например, посредством
цифровой подписи;
5) требуется обеспечить защиту процесса обмена информацией
посредством речевых, факсимильных и видео средств коммуникаций.
5.8 Контроль доступа
Для обеспечения санкционированного доступа к активам и процессам
организации необходимо осуществлять контроль доступа с учетом
внутренних требований организации и требований безопасности.
Все требования к контролю доступа должны быть отражены в
политиках в отношении распространения и авторизации информации.
5.8.1 Требования к логическому доступу
Для обеспечения доступа к информации лишь авторизованным
пользователям необходимо осуществлять контроль логического доступа.
К контролю логического доступа должны предъявляться следующие
требования:
- правила контроля доступа и права каждого пользователя или группы
пользователей должны однозначно определяться политикой безопасности;
- классификация информации применительно к различным системам
и сетям должна быть согласована с политикой по контролю доступа;
- должны быть определены стандартные профили доступа
пользователей для типовых обязанностей и функций;
- установление правил должно основываться на предпосылке «все
должно быть в общем случае запрещено, пока явно не разрешено».
34
5.8.2 Требования к контролю доступа пользователей
Для предотвращения неавторизованного доступа к активам
необходимо осуществлять контроль над предоставлением прав доступа к
активам организации.
Тщательный подход к предоставлению доступа пользователям к
активам организации должен позволить получить жесткий контроль
доступа и определить все возможные нарушения безопасности.
Контроль доступа пользователей должны включать:
- требования по управлению учетными записями:
1) должно осуществляться управление учетными записями,
включая создание, активацию, модификацию, пересмотр с установленной
периодичностью, отключение и удаление учетных записей;
2) должны использоваться автоматизированные средства
поддержки управления учетными записями;
3) действие временных учетных записей должно автоматически
прекращаться по окончании установленного периода времени (для
каждого типа учетной записи);
4) должно осуществляться автоматическое отключение
неактивных учетных записей после установленного периода времени;
5) должны использоваться автоматизированные средства
регистрации (аудита) и оповещения о создании, модификации,
отключении, прекращении действия учетной записи;
- требования к управлению привилегиями:
1) предоставление привилегий должно контролироваться
посредством процесса авторизации;
2) доступ к функциям безопасности, реализованным в
программном, аппаратном и программно-аппаратном обеспечении, и их
данным должен предоставляться только уполномоченным на это лицам,
например, администраторам безопасности;
3) привилегии должны предоставляться только тем сотрудникам,
которым это необходимо для работы и только на время ее выполнения;
4) необходимо обеспечивать процесс авторизации и регистрации
всех предоставленных привилегий;
5) привилегии не должны предоставляться до завершения
процесса авторизации;
6) периодически должно осуществлять формализованный
процесс пересмотра прав доступа пользователей (рекомендуется один раз
в 6 месяцев или после любых изменений);
- требования к контролю паролей:
1) все пользователи должны подписать документ о
необходимости соблюдения полной конфиденциальности личных
паролей;
35
2) пароли никогда не должны храниться в незащищенной форме.
5.8.3 Требования к обязанностям пользователей
Для предотвращения неавторизованного доступа пользователей к
информации необходимо, чтобы пользователи были осведомлены о своих
обязанностях по использованию эффективных мероприятий по
управлению доступом.
Обязанностями пользователей в отношении контроля доступа
являются:
- пользователи должны соблюдать определенные правила
обеспечения безопасности при выборе и использовании паролей;
- все пользователи должны быть осведомлены о необходимости:
1) сохранения конфиденциальности паролей;
2) запрещения записи паролей на бумаге, если только не
обеспечено безопасное их хранение;
3) изменения паролей всякий раз, при наличии любого признака
возможной компрометации системы или пароля;
4) выбора качественных паролей с минимальной длиной в шесть
знаков;
5) изменения паролей через определенные интервалы времени
или после определенного числа доступов и исключения повторного или
цикличного использования старых паролей;
6) пароли для привилегированных учетных записей должны
менять чаще, чем обычные пароли;
- пользователи должны обеспечивать соответствующую защиту
оборудования, оставленного без присмотра, выполняя следующие
требования:
1) активные сеансы по окончании работы должны быть
завершены, если отсутствует механизм блокировки сеанса;
2) должно быть ограничено число параллельных сеансов для
каждого пользователя;
3) должно осуществляться автоматическое завершение сеанса
после установленного периода неактивности.
5.8.4 Требования к контролю сетевого доступа
Для защиты сетевых сервисов необходимо осуществлять контроль
доступа, как к внутренним, так и к внешним сетевым сервисам.
Требования к контролю сетевого доступа должны включать:
- пользователям необходимо обеспечивать доступ только к тем
сервисам, в которых они нуждаются для выполнения своих обязанностей
и в которых они авторизованы;
36
- должны быть определены:
1) сети и сетевые услуги, к которым разрешен доступ;
2) процедуры авторизации для определения кому, к каким сетям
и сетевым сервисам разрешен доступ;
3)
мероприятия
и
процедуры
по
защите
от
несанкционированного подключения к сетевым сервисам;
- необходимо ограничивать варианты маршрутизации в каждой точке
сети;
- требования к удаленному доступу:
1) все способы удаленного доступа к активам (такие как,
модемная связь, Интернет) должны документироваться, подвергаться
мониторингу и контролю;
2) каждый используемый способ удаленного доступа должен
быть санкционирован соответствующими должностными лицами и
разрешен только тем пользователям, которым он необходим для
выполнения установленных задач;
3) для облегчения мониторинга и контроля удаленного доступа
должны использоваться соответствующие автоматизированные средства;
4) должно быть реализовано централизованное управление
удаленным доступом к ИС;
- требования по управлению доступом для портативных и мобильных
устройств:
1) должны быть установлены ограничения и разработаны
руководства по использованию портативных и мобильных устройств;
2) доступ к ИС с использованием портативных и мобильных
устройств должен документироваться, подвергаться мониторингу и
контролю;
3) использование портативных и мобильных устройств должно
быть санкционировано соответствующими должностными лицами;
4) должны использоваться сменные жесткие диски или другие
способы и средства защиты информации, находящейся в портативных и
мобильных устройствах;
- требования по ограничению беспроводных подключений:
1) должны быть установлены ограничения и разработаны
руководства по использованию беспроводных технологий;
2) беспроводный доступ к ИС должен документироваться,
подвергаться мониторингу и контролю;
3) беспроводный доступ к ИС должен быть разрешен только при
применении средств криптографической защиты информации;
4) использование беспроводных технологий должно быть
санкционировано соответствующими должностными лицами.
37
5.8.5 Требования доступа к операционным системам
Для предотвращения неавторизованного доступа к компьютерам на
уровне операционной системы необходимо использовать средства
обеспечения безопасности, которые должны обеспечивать:
- идентификацию и верификацию компьютера пользователя,
терминала и местоположения каждого авторизованного пользователя;
- регистрацию успешных и неудавшихся доступов к системе;
- аутентификацию соответствующего уровня.
Требования доступа к операционным системам должны включать:
- возможность использования автоматической идентификации
терминала;
- доступ к информационным сервисам должен быть обеспечен путем
использования безопасной процедуры входа в систему;
- доступ к командам операционной системы должен быть запрещен
пользователям, не имеющим прав системного администрирования;
- должно ограничиваться число разрешенных неудачных попыток
доступа (рекомендуется три попытки);
- при превышении допустимого числа неудачных попыток доступа
должно осуществляться блокирование терминала и/или учетной записи на
определенных период времени или выполняться другие действия,
препятствующие или существенно затрудняющие доступ со стороны
потенциальных нарушителей;
- должно быть подтверждение информации о регистрации только по
завершении ввода всех входных данных;
- необходимо ограничивать максимальное и минимальное время,
разрешенное для процедуры входа в систему;
- информация в отношении успешно завершенной регистрации
должна постоянно фиксироваться;
- использование системных утилит должно быть ограничено и
постоянно контролироваться.
5.8.6 Требования контроля доступа к приложениям
Для предотвращения неавторизованного доступа к данным ИС
необходимо применять меры обеспечения безопасности для ограничения
доступа к прикладным системам.
Требования контроля доступа к приложениям должны включать:
- обеспечение доступа пользователям приложений к информации и
функциям этих приложений в соответствии с политикой контроля
доступа, основанной на требованиях к отдельным приложениям;
- ограничение предоставления пользователям информации о данных и
функциях приложений, к которым они не авторизованы на доступ;
38
- системы, обрабатывающие важную информацию, должны быть
обеспечены выделенной вычислительной средой со специальными
условиями эксплуатации.
5.8.7 Требования к мониторингу доступа
Для обнаружения неавторизованных действий или отклонений от
требований политики контроля доступа необходимо проводить
мониторинг системы.
Требованиями к мониторингу доступа являются:
- создание журналов аудита и их хранение в течение согласованного
периода времени, в которых должны вестись записи инцидентов
нарушения безопасности и другие связанные с безопасностью события;
- записи аудита должны включать:
1) идентификатор пользователей;
2) даты и время входа и выхода;
3) идентификатор терминала или его местоположение;
4) записи успешных и отклоненных попыток доступа к системе;
5) записи успешных и отклоненных попыток доступа к данным и
другим активам;
- определение процедуры мониторинга использования средств
обработки информации, и анализа их результатов;
- уровень мониторинга конкретных средств обработки информации
должен определяться на основе оценки рисков.
5.9 Разработка и обслуживание информационных систем
При разработке и обслуживанию ИС требуется использовать
специальные методы, учитывающие критерии степени защиты, гибкости и
стоимости, и обеспечивающие следующее:
- проверка подлинности – использование методов строгой проверки,
политик паролей, политик блокировки учетных записей и шифрования;
- единая система авторизации – должна основываться на модели
разрешений и обеспечивать высокую степень детализации контроля
доступа;
- разграничение прав доступа – политика, позволяющая управлять
доступом к защищенным информационным ресурсам, системам и
операциям;
- предотвращение чтения сообщений посторонними лицами;
- защита трафика данных от его анализа посторонними;
- обнаружение изменений потоков сообщений;
- определение искажений данных.
Требования к разработке и обслуживанию ИС включают:
39
- требования к архитектуре безопасности:
1) должны быть определены средства безопасности, посредством
которых будет обеспечиваться безопасность предоставляемых публичных
услуг;
2) необходимо применять протоколы обеспечения аутентичности
и конфиденциальности в двух режимах: транспортном (защита только
содержимого пакетов и некоторых полей заголовков) и туннельном
(защита всего пакета);
3) необходимо использовать механизмы управления средствами
криптографической защиты информации (алгоритмы шифрования,
контроля целостности и аутентичности);
- требования безопасности в прикладных системах:
1) должны осуществляться контроль и учет установки и удаления
программных, аппаратных и программно-аппаратных средств систем;
2) необходимо проводить проверку корректности ввода данных
для обеспечения уверенности в их соответствии исходным данным;
3) необходимо проводить контроль обработки данных в
системах;
4) для приложений, где должна быть обеспечена защита
целостности содержания сообщений, необходимо использовать
аутентификацию сообщений;
5) следует проводить тестирование по безопасности всех
используемых систем;
6) должна быть также проведена независимая проверка
функционирования систем;
- требования к контролю изменений:
1) следует строго контролировать внедрение изменений;
2) программистам, отвечающим за поддержку, требуется
предоставлять доступ только к тем частям системы, которые необходимы
для их работы;
3) следует обеспечить протоколирование согласованных уровней
авторизации;
4) необходимо проводить контроль версий для всех обновлений
ПО;
5) в журналах аудита должны регистрироваться все запросы на
изменение;
6) следует проводить анализ средств контроля приложений и
процедур целостности для гарантии, что они не были скомпрометированы
изменениями в операционной системе;
7) необходимо обеспечить своевременное поступление
уведомлений об изменениях в операционной системе;
8) требуется избегать модификаций пакетов программ;
40
- требования по применению средств криптографической защиты
информации:
1)
необходимо
определить
методику
использования
криптографических средств в организации, включая общие принципы и
методы восстановления зашифрованной информации в случае потери,
компрометации или повреждения ключей;
2) должны быть определены соответствующие уровни
криптографической защиты для различных данных;
3) для обеспечения защиты конфиденциальной или критичной
информации необходимо применять криптографический метод
шифрования, принимая во внимание тип и качество используемого
алгоритма шифрования, а также длину криптографических ключей;
4) для обеспечения защиты аутентификации и целостности
электронных документов необходимо применять цифровые подписи;
5) при использовании цифровых подписей необходимо
учитывать требования действующего законодательства, определяющие
условия, при которых цифровая подпись имеет юридическую силу;
6) необходимо защищать криптографические ключи от
изменения и разрушения, а секретные и личные ключи - от
неавторизованного раскрытия.
5.10 Управление непрерывностью деятельности
Непрерывность деятельности организации необходимо обеспечивать
с целью минимизации отрицательных последствий, вызванных
бедствиями и нарушениями безопасности, до приемлемого уровня с
помощью комбинирования профилактических и восстановительных
мероприятий по управлению безопасностью.
Требования к управлению непрерывности должны включать:
- формирование и документирование стратегии обеспечения
непрерывности, а также планов обеспечения непрерывности и
восстановления деятельности;
использование
адекватных
систем
резервирования
и
восстановления;
- требования к планам непрерывности и восстановления
деятельности:
1) планы должны включать определение ответственных лиц и
выполняемые ими действия при восстановлении ИС предоставления
публичных услуг после сбоя или отказа;
2) планы должны быть рассмотрены соответствующими
должностными лицами, утверждены, размножены в необходимом
количестве и направлены лицам, ответственным за действия в
непредвиденных ситуациях;
41
3) планы должны периодически пересматриваться и обновляться
с учетом изменений или проблем, возникших в результате проверки или
реализации плана;
4) персонал должен пройти подготовку (с установленной
периодичностью – переподготовку) по вопросам его роли,
ответственности и обязанностей при осуществлении действий в
непредвиденных ситуациях;
5) в процессе подготовки персонала должны моделироваться
соответствующие события, что поможет в будущем персоналу
эффективно выполнить требуемые от него действия при возникновении
кризисных ситуаций;
6) должны использоваться автоматизированные средства для
того, чтобы обеспечить более полную и реалистичную среду обучения;
- требования к проверке планов непрерывности и восстановления
деятельности:
1) должно осуществляться периодическое тестирование планов с
целью оценки их эффективности и готовности персонала к выполнению
действий, предписанных планом;
2) соответствующие должностные лица должны изучить
результаты тестирования планов и при необходимости инициировать их
корректировку;
3) должны использоваться автоматизированные средства для
более тщательного и эффективного тестирования действий по
обеспечению непрерывности и восстановлению деятельности;
- требования к резервным местам обработки информации:
1) должны быть определены резервные места обработки
информации и решены административные вопросы обработки
информации для критически важных задач до восстановления
возможностей по обработке информации;
2) резервные места обработки информации должны быть
пространственно (географически) отделены от основных мест обработки
информации, чтобы не подвергаться тем же самым опасностям;
3) должны быть определены потенциальные проблемы
доступности резервных мест обработки информации в случае сбоя или
аварии и выделены конкретные действия по восстановлению доступности;
4) при использовании резервных мест обработки информации
должны учитываться установленные приоритеты обслуживания;
5) резервное место обработки информации должно быть
сконфигурировано таким образом, чтобы обеспечить минимально
требуемые эксплуатационные возможности;
- требования к резервированию телекоммуникационных сервисов:
1) должны быть идентифицированы основные и резервные
телекоммуникационные сервисы и решены административные вопросы
42
использования резервных телекоммуникационных сервисов для
критически важных задач до восстановления доступности основных;
2)
при
использовании
основных
и
резервных
телекоммуникационных сервисов должны учитываться установленные
приоритеты обслуживания;
3) поставщики основных и резервных телекоммуникационных
сервисов должны быть соответствующим образом отделены друг от друга,
чтобы не подвергаться одним и тем же самым опасностям;
4) поставщики основных и резервных телекоммуникационных
сервисов должны иметь соответствующие планы действий в
непредвиденных ситуациях;
- требования к восстановлению системы:
1) должны использоваться механизмы и поддерживающие их
процедуры, необходимые для восстановления системы после сбоя или
отказа;
2) восстановление системы после сбоя или отказа должно
использоваться как часть проверки плана действий в непредвиденных
ситуациях.
5.11 Соответствие требованиям
Для предотвращения любых нарушений норм действующего
законодательства, обязательных предписаний и
регулирующих
требований или договорных обязательств, а также требований
безопасности необходимо проводить контроль соответствия, в качестве
мониторинга и аудита безопасности.
5.11.1 Требования к мониторингу безопасности
Мониторинг безопасности должен обеспечивать постоянный
контроль над поддержанием требуемого уровня безопасности при
предоставлении публичных услуг.
Мониторинг безопасности должен позволять выявлять изменения:
- функций, реализуемых в ходе процесса предоставления услуг мониторинг функций должен быть направлен на выявление
необходимости изменения категории активов в связи с изменением
возможного ущерба от нарушения безопасности;
- активов - мониторинг активов должен быть направлен на выявление
изменений в информации, аппаратном и программном обеспечении,
которые могут явиться причиной изменения состава уязвимостей и угроз
нарушения безопасности;
- угроз и уязвимостей - мониторинг уязвимостей и угроз безопасности
должен быть направлен на своевременное выявление новых уязвимостей
43
и угроз, которые могут увеличить риск нарушения безопасности при
предоставлении услуг;
- мер и средств обеспечения безопасности - мониторинг мер и средств
обеспечения безопасности должен быть направлен на контроль
поддержания их эффективности в противодействии установленным и
выявляемым уязвимостям и угрозам.
Мониторинг безопасности в работе предоставления услуг должен
включать:
- текущий контроль состояния безопасности - должен обеспечивать
уверенность, что меры и средства обеспечения безопасности действуют,
не скомпрометированы и безопасность системы предоставления
публичных услуг не нарушена. С этой целью должны осуществляться
следующие действия:
1) контроль реализации постоянно действующих мер
обеспечения безопасности;
2)
контроль
работоспособности
средств
обеспечения
безопасности;
3) контроль целостности информационных ресурсов и систем;
4) обнаружение и ликвидация вторжений (нарушений прав
доступа, вирусных атак, спама), при этом все обнаруженные нарушения
безопасности в ходе предоставления публичных услуг должны
фиксироваться, расследоваться и незамедлительно ликвидироваться
посредством различных мер и средств защиты информации;
- оценка безопасности - должна обеспечивать уверенность в
соответствии системы предоставления услуг установленным требованиям
безопасности и политике безопасности. Оценка безопасности должна
проводиться периодически, в соответствии со сроками, установленными в
политике безопасности, но не реже чем один раз в год, а также при
существенных изменениях в активах, угрозах безопасности и политике
безопасности. При оценке безопасности процесса предоставления
публичных услуг должны оцениваться:
1) соответствие мер и средств обеспечения безопасности
требованиям, определенным в политике безопасности;
2) правильность применения мер и средств обеспечения
безопасности в соответствии с политикой безопасности;
3) правильность действий по устранению последствий
инцидентов нарушения безопасности и нейтрализации уязвимостей.
Для получения данных о состоянии безопасности системы
предоставления услуг должны использоваться:
- анализ документов по учету применения мер и средств обеспечения
безопасности;
- опросы персонала, участвующих в процессе предоставлении
публичных услуг;
44
- анализ эффективности мер и средств обеспечения безопасности в
противодействии имевшим место инцидентам нарушения безопасности;
- проверки и испытания мер и средств обеспечения безопасности на
соответствие требованиям безопасности;
- испытания на проникновение для оценки возможности
использования уязвимостей для нарушения безопасности;
- специализированные аппаратные и программные средства для
контроля состояния средств обеспечения безопасности и выявления
уязвимостей;
- данные предыдущих оценок безопасности.
По результатам проведения оценки, в случае выявления недостатков в
обеспечении безопасности системы предоставления услуг должны
осуществляться, в зависимости от значимости недостатков, следующие
действия:
- уточнение мер и средств обеспечения безопасности;
- корректировка политики безопасности;
- оценка риска и корректировка требований безопасности при
оказании услуг.
5.11.2 Требования к аудиту безопасности
Аудит безопасности представляет собой системный процесс
получения и оценки объективных данных о текущем состоянии ИС с
точки зрения безопасности, действиях и событиях, происходящих в ней,
устанавливающий степень их соответствия определенному уровню
безопасности.
Цель аудита безопасности для организации, предоставляющей
публичные услуги:
- получение наиболее полной и объективной оценки защищенности;
- локализация имеющихся проблем и разработка эффективной
системы обеспечения безопасности организации.
При
проведении
аудита
безопасности
в
организации,
предоставляющей публичные услуги, могут быть использованы
различные виды аудита в области безопасности информации, которые
отличаются только по цели, а методика их проведения идентична:
- первоначальное обследование (первичный аудит) – результатом
должна быть концепция безопасности организации, которая позволит ей
выстроить грамотную защиту информации;
- предпроектное обследование (технический аудит) – результатом
должен быть набор требований к системе обеспечения безопасности;
- аттестация объекта – результатом должен быть документ, аттестат
соответствия, удостоверяющий что объект соответствует стандарту и
45
действующему национальному законодательству, или заключение
эксперта;
- контрольное обследование – плановое контрольное обследование с
целью проверки соблюдения правил по обеспечению безопасности.
Процесс проведения аудита безопасности в организации должен
включать следующие этапы:
- постановка задачи и уточнение границ работ – должен быть
проведен предварительный анализ и организационные мероприятия по
подготовке проведения аудита безопасности;
- сбор и анализ информации – должна собираться информация и
даваться оценка следующих мер и средств: организационных мер в
области безопасности, программно-технических средств защиты
информации, обеспечения физической безопасности;
- проведение анализа рисков и оценки соответствия системы
предъявляемым требованиям и стандартам – должны быть проведены
классификация активов, анализ уязвимостей, составление модели
потенциального
злоумышленника,
оценка
рисков
нарушения
безопасности;
- разработка рекомендаций и предложений по поводу мер по
повышению безопасности:
1) рекомендации по совершенствованию системы защиты
информации, применение которых позволит минимизировать риски;
2) приложения со списком конкретных уязвимостей;
3) итоговый отчет, содержащий оценку текущего уровня
безопасности;
4) информация об обнаруженных ошибках;
5) анализ соответствующих рисков и рекомендации по их
устранению.
Аудит безопасности в организации позволяет получить объективную
и независимую оценку текущего состояния защищенности активов,
рассчитать риски, учитывающие вероятность реализации угроз, а также их
возможный ущерб для ИС.
Требования к аудиту безопасности при предоставлении публичных
услуг должны включать:
- разработку, документирование и периодическое обновление
политики аудита и обеспечения подотчетности (политика регистрации и
учета), а также процедуры и меры, связанные с реализацией политики
аудита и обеспечения подотчетности;
- должна осуществляться генерация записей аудита для событий,
определенных в перечне событий, подвергаемых аудиту;
- должны быть предоставлены метки времени для использования при
генерации записей аудита;
46
- в каждой записи аудита должна регистрироваться следующая
информация: дата и время события, тип события, идентификатор субъекта
и результат события (успешный или неуспешный), а также
дополнительная информация;
- каждое событие, потенциально подвергаемое аудиту, должно быть
ассоциировано с идентификатором пользователя, который был
инициатором данного события;
- у авторизированного администратора должна быть возможность
читать всю информацию аудита из записей аудита, то есть должен быть
доступ к журналу аудита;
- у пользователей доступ к чтению записей аудита должен быть
запрещен, за исключением пользователей, которым явно предоставлен
доступ для чтения;
- должна быть предоставлена возможность выполнить поиск,
сортировку и упорядочение данных аудита, основанных на
идентификаторе пользователя и назначении;
- должна быть возможность включения событий, потенциально
подвергаемых аудиту, в совокупность событий, подвергающихся аудиту,
или к их исключению из этой совокупности по идентификатору
пользователя или назначению;
- хранимые записи аудита должны быть защищены от
несанкционированного удаления, должны быть способны предотвращать
модификации записей аудита;
- должен быть установлен период времени, в течение которого
данные аудита должны храниться для обеспечения расследований
инцидентов безопасности, а также выполнения нормативных требований
по хранению данных аудита;
- предупреждения об опасности должны генерироваться
авторизированному администратору, если журнал аудита превышает
принятые ограничения;
- должна быть возможность предотвращать потерю подвергающихся
аудиту событий при переполнении журнала аудита;
- требования к объему памяти, выделяемому для хранения данных
аудита:
1) должен быть выделен объем памяти, достаточный для
хранения данных аудита;
2) должны быть сделаны необходимые настройки для того, чтобы
объем данных аудита не превысил выделенного объема памяти;
- требования к обработке данных аудита:
1) при сбоях аудита или заполнении всего объема памяти,
выделенного для хранения данных аудита, должно выдаваться
уведомление соответствующим должностным лицам и предприниматься
установленные действия, такие как завершение работы системы,
47
игнорирование событий, подвергающихся аудиту, запись поверх самых
старых хранимых записей аудита;
2) при заполнении установленного процента или количества
объема памяти, выделенного для хранения данных аудита, должно
выдаваться соответствующее предупреждение;
- требования к мониторингу, анализу и генерации отчетов о
результатах аудита:
1) должны осуществляться регулярный просмотр и анализ
записей аудита с целью обнаружения необычной или подозрительной
активности, составление соответствующих отчетов для должностных лиц
и предприниматься установленные для этих случаев действия;
2) должны использоваться автоматизированные средства,
позволяющие объединить мониторинг, анализ и генерацию отчетов о
результатах аудита в единый процесс анализа подозрительной активности
и реагирования на потенциальные нарушения;
- требования к сокращению объема данных аудита:
1) должны быть реализованы возможности по сокращению
объема данных аудита и генерации соответствующих отчетов;
2) должна быть реализована возможность автоматической
обработки записей аудита для определенных типов событий;
- должна быть обеспечена защита данных аудита и средств ведения
аудита от несанкционированного доступа;
- должна быть реализована возможность обеспечения неотказуемости
(определить, выполнял ли конкретный пользователь данное действие).
5.11.3 Требования к государственному контролю
Кроме аудита безопасности должен осуществляться государственный
контроль соблюдения требований безопасности ИТ в организации,
осуществляющей процесс предоставления публичных услуг, который
должен осуществляться уполномоченными органами в целях
предупреждения или выявления нарушений требований по безопасности.
Органы, уполномоченные провести государственный контроль, вправе:
- требовать от организации, осуществляющей предоставление
публичных услуг, документы, удостоверяющие соответствие процесса
эксплуатации ИС требованиям безопасности ;
- выдавать предписания об устранении нарушений обязательных
требований по безопасности в срок, установленный с учетом характера
нарушения;
- по решению суда принимать мотивированные решения о полном
или частичном приостановлении процесса эксплуатации ИС
предоставления услуг, если иными мерами невозможно устранить
нарушение требований безопасности;
48
- приостанавливать или прекращать действие сертификата
соответствия;
- принимать иные предусмотренные законодательством меры в целях
недопущения нарушения требований безопасности.
Органы, уполномоченные провести государственный контроль,
обязаны:
- проводить в ходе мероприятий по государственному контролю
разъяснительную работу по применению требований законодательства в
области безопасности ИТ;
- соблюдать установленный порядок защиты информации в
зависимости от степени ее критичности и важности;
- соблюдать установленный порядок осуществления мероприятий по
государственному контролю и оформления результатов таких
мероприятий;
- принимать на основании результатов мероприятий по
государственному контролю меры по устранению последствий нарушений
требований по безопасности и правил оценки соответствия.
5.12
Управление
информационной
привлечении сторонних организаций
безопасностью
при
В процесс предоставления публичных услуг могут быть вовлечены:
сотрудники
сторонних
организаций,
осуществляющих
обслуживание программно-аппаратного комплекса;
- партнеры, которым может потребоваться обмен информацией или
доступ к активам организации.
При привлечении третьих сторон должны соблюдаться следующие
требования:
- необходимо выявить риски, связанные с активами и процессами,
вовлекающими внешние стороны;
- перед предоставлением доступа сотрудникам сторонних
организаций к активам и процессам должны быть реализованы
надлежащие меры и средства обеспечения безопасности;
- доступ третьих сторон к средствам обработки информации
организации должен контролироваться;
- контракты, разрешающие доступ сторонним организациям, должны
включать процедуру определения прав и условий доступа других
участников;
- представители сторонних организаций должны подписывать
соглашение о соблюдении конфиденциальности до того, как им будет
предоставлен доступ к активам или средствам обработки информации;
49
- в соглашениях о конфиденциальности должна быть определена
ответственность сторон, в соответствии с требованиями безопасности и
действующего законодательства;
- в контракте с третьей стороной особое внимание необходимо
уделить следующим вопросам:
1) уровень предоставляемых услуг;
2) юридические
аспекты,
соответствие
законодательным
требованиям,
например,
обеспечение
сохранности
персональных данных;
3) распределение ответственности, включая ответственность
субподрядчиков третьей стороны;
4) обеспечение конфиденциальности, целостности и доступности
обрабатываемой, хранимой и передаваемой информации;
5) все требования безопасности, связанные с доступом третьей
стороны, включая меры и средства по обеспечению
безопасности и контроля;
6) сервисы и мероприятия, которые будут поддерживаться в
случае возникновения чрезвычайных ситуаций;
- необходимо гарантировать, что средства обеспечения безопасности,
включенные в соглашение о предоставлении услуг сторонней
организации, реализуются, эксплуатируются и поддерживаются
сторонней организацией надлежащим образом;
- услуги, отчеты и записи, предоставляемые сторонней организацией,
должны постоянно контролироваться и анализироваться;
- при разработке ПО с привлечением сторонних организаций
необходимо применять следующие меры контроля:
1)
контроль
наличия
лицензионных
соглашений
и
определенности в вопросах собственности на ПО и соблюдения прав
интеллектуальной собственности;
2) проверка действительности сертификации качества и
правильности выполненных работ;
3) контроль обеспечения прав доступа для аудита с целью
проверки качества и точности выполненной работы;
4) контроль над документированием требований к качеству
программ в договорной форме;
5) проверка процесса тестирования перед установкой ПО.
6 Системы обеспечения безопасности
Обеспечение безопасности активов организации при предоставлении
публичных услуг возлагается на системы обеспечения безопасности. Для
достижения целей и решения задач обеспечения безопасности в ходе
50
процесса предоставления публичных услуг как минимум должны
применяться следующие три класса систем обеспечения безопасности:
- опорные системы безопасности – системы, которые являются
общими и лежат в основе реализации большинства остальных систем
безопасности;
- системы предотвращения нарушений безопасности – системы
безопасности, ориентированные на предотвращение различного рода
нарушений безопасности в ходе процесса предоставления услуг;
- системы обнаружения нарушений и восстановления безопасности –
данные системы безопасности должны быть направлены на решение задач
выявления нарушений безопасности при предоставлении публичных
услуг (до или после их осуществления) и восстановления системы
предоставления услуг в безопасное состояние.
6.1 Опорные системы безопасности
Опорные системы безопасности должны выступать в роли основы,
связующей среды для построения всех остальных систем безопасности. К
данному классу относятся следующие системы безопасности:
- система идентификации – для реализации большинства систем
безопасности требуется однократная идентификация объектов и субъектов
при предоставлении публичных услуг. Система идентификации должна
обеспечивать возможность присвоения уникального идентификатора
пользователям, процессам, ИС, информационным и иным ресурсам в ИС;
- система криптографической защиты – данная система является
обязательной для обеспечения безопасности процесса предоставления
публичных услуг. Система криптографической защиты должна
использовать специальные методы и средства (аппаратные, программные
и аппаратно-программные средства) преобразования информации,
используемые для защиты целостности и конфиденциальности
информации и данных;
- система управления безопасностью и администрирования. Система
управления безопасностью представляет собой распространение и
управление информацией, необходимой для работы систем и механизмов
безопасности для обеспечения безопасности при предоставлении услуг.
Система администрирования представляет собой процессы настройки
параметров инсталляции и эксплуатации программного и аппаратного
обеспечения систем безопасности при оказании услуг, а также учет
вносимых изменений в эксплуатируемое оборудование.
Должны
быть
определены
обязанности
по
управлению
оборудованием обработки информации и по работе с ним.
Все опорные системы безопасности обеспечивают защищенность
системы, которая представляет собой совокупность свойств системы,
51
позволяющая доверять технической реализации системы для обеспечения
безопасности. Примерами мер и средств защищенности системы
являются:
- защита информации от повторного использования;
- минимизация прав доступа;
- разделение процессов;
- разделение ответственности;
- модульность и этапы разработки;
- минимизация круга осведомленных лиц.
Требуется рассматривать не только качество реализованных средств
защиты системы предоставления услуг, но и процедуры их разработки,
способы достижения и решения технических задач.
6.2 Системы предотвращения нарушений безопасности
Системы предотвращения нарушений безопасности должны
обеспечивать безопасность защищаемых объектов от воздействия, которое
признано вторжением или нарушением безопасности.
К данному классу должны быть отнесены следующие системы:
- система защищенных телекоммуникаций (каналов связи). В системе
предоставления публичных услуг обеспечение надежной защиты в
большой степени зависит от защищенности каналов связи. Система
защиты
каналов
связи
должна
обеспечивать
целостность,
конфиденциальность и доступность информации при ее передаче по
каналам связи. Меры и средства обеспечения безопасности должны
обеспечивать защиту от уничтожения, подстановки, модификации и
повторной передачи данных и других видов злоумышленных действий;
- система аутентификации является наиболее важной системой
безопасности, особенно в системе предоставления публичных услуг.
Система аутентификации представляет собой систему, выполняющую
процедуру проверки подлинности субъекта, позволяющую достоверно
убедиться в том, что субъект, предъявивший свой идентификатор, на
самом деле является именно тем субъектом, идентификатор которого он
использует. Методы аутентификации должны применяться для
пользователей всех категорий, в том числе к персоналу технической
поддержки,
операторам,
администраторам
сети,
системным
программистам, администраторам баз данных;
- система авторизации представляет собой систему, направленную на
предоставление (наделение) субъектам определенных полномочий
относительно выполнения ими действий в ИС предоставления публичных
услуг;
- система управления доступом – система, определенная как
«предотвращение неавторизованного использования активов, включая
52
предотвращение использования активов недопустимым способом».
Система должна быть применима к различным типам доступа к
информационным ресурсам и системам, например, использование
коммуникационных
ресурсов,
чтение,
запись
или
удаление
информационных ресурсов, использование ресурсов информационных
систем по обработке данных. Политика управления доступом должна
быть основой политики безопасности ИТ, в которой должны быть
охвачены все стадии доступа пользователей: от начальной регистрации
новых пользователей до заключительного лишения регистрации тех
пользователей, которым больше не требуется доступ к ИС и услугам.
Системы
предотвращения
нарушений
безопасности
при
предоставлении
публичных
услуг
должны
обеспечивать
конфиденциальность, целостность и доступность информации, а также
неотказуемость и секретность транзакций.
Неотказуемость (доказательство принадлежности) определяется как
«предотвращение возможности отказа одним из реальных участников
коммуникаций от факта его полного или частичного участия в передаче
данных». Должны использоваться две формы неотказуемости:
невозможность отказа от посылки сообщения (доказательство источника)
и подтверждение (доказательство) получения сообщений. Неотказуемость
необходима для предотвращения и обнаружения нарушений безопасности
в ИС предоставления услуг. Меры и средства обеспечения неотказуемости
должны предотвращать возможность отказа от выполненных действий.
Секретность транзакций в ИС предоставления публичных услуг
означает соблюдение требований по обеспечению секретности личности,
использующей услуги и информационные ресурсы. Секретность
представляет собой защиту от разглашения информации (данных) о
личности пользователя, использующего информационные ресурсы и
системы. Секретность транзакций должна обеспечивать защиту от потери
неотказуемости путем анализа действий, операций, выполняемых
пользователями в системе предоставления публичных услуг.
6.3 Системы
безопасности
обнаружения
нарушений
и
восстановления
Системы обнаружения нарушений и восстановления безопасности
должны включать услуги обнаружения нарушений безопасности,
направленные на усиление услуг предотвращения, а также регулярное
создание и тестирование резервных копий данных и ПО.
Для обнаружения нарушений безопасности ИС предоставления
публичных услуг должны использоваться следующие системы:
- система аудита безопасности, направленная на обнаружение
событий, оказывающих влияние на безопасность ИС, на обеспечение
53
реагирования системы на выявленные вторжения, а также на обеспечение
формирования необходимых данных для последующего восстановления
ИС в безопасное состояние. В ходе аудита безопасности должны
рассматриваться различные системы и механизмы безопасности,
обеспечивающие защиту информации при предоставлении публичных
услуг.
Механизмы аудита должны решать следующие задачи:
1) обеспечение подотчетности пользователей и администраторов,
что
является
средством
сдерживания
попыток
нарушения
информационной безопасности. Одним из важных механизмов
безопасности для обеспечения подотчетности являются механизмы
идентификации и аутентификации, а также механизмы управления
доступом для обеспечения конфиденциальности и целостности
подотчетной информации;
2) обеспечение возможности восстановления последовательности
событий, что позволяет обнаружить слабости в защите информации,
выявить виновника вторжения, оценить масштабы причиненного ущерба
и вернуться к нормальной работе;
3) предоставление информации для выявления и анализа
проблем, через подготовку соответствующих отчетов;
- система обнаружения происшествий и политика сдерживания.
Система обнаружения происшествий должна быть направлена на
обнаружение, как попыток нарушений безопасности, так и на
регистрацию легитимной активности пользователей. Обнаружение
должно быть локальным и/или дистанционным, и должно реализоваться
через тревожную сигнализацию о происшествиях, регистрацию событий и
восстановительные действия. Для сокращения действительных и
потенциальных
следствий
инцидентов
политика
сдерживания
потенциальных инцидентов должна включать сообщение об инциденте,
ответные действия по минимизации рисков и их приоритеты;
- система контроля целостности программных, аппаратных и
информационных компонент ИС должна быть направлена на
своевременное обнаружение нарушений целостности;
- система восстановления безопасности должно выполнять функцию
реакции ИС на нарушение безопасности. Система восстановления
безопасности должна реализовываться через выполнение таких действий,
как немедленное разъединение или прекращение работы, отказ субъекту в
доступе, временное лишение субъекта прав, занесение субъекта в «черный
список».
7 Минимальные требования безопасности при предоставлении
публичных услуг
54
При создании системы обеспечения безопасности необходимо как
минимум основываться на профилях защиты, что позволит обеспечить
надежную защиту всех активов и процессов организации.
Профили защиты должны характеризовать отдельные меры и
средства обеспечения безопасности, комбинации подобных мероприятий.
В профилях защиты должны быть выделены следующие базовые меры и
средства обеспечения безопасности:
- идентификация и аутентификация;
- управление доступом;
- протоколирование и аудит;
- шифрование;
- контроль целостности;
- экранирование;
- анализ защищенности;
- обеспечение неотказуемости;
- обеспечение безопасного восстановления;
- туннелирование.
При создании комплексной системы информационной безопасности в
ходе предоставления публичных услуг должны использоваться
следующие профили защиты:
- контролируемый доступ;
- меточная защита;
- операционные системы;
- одноуровневые операционные системы;
- многоуровневые операционные системы;
- системы управления базами данных.
Все требования профилей защиты должны подразделяться на
следующие:
- функциональные требования, соответствующие активному аспекту
защиты,
предъявляемые
к
функциям
безопасности
системы
предоставления публичных услуг и реализующим их механизмам;
- требования доверия, которые соответствуют пассивному аспекту,
предъявляются к технологии и процессу разработки и эксплуатации
системы предоставления публичных услуг.
Требования доверия безопасности должны охватывать весь
жизненный цикл предоставления публичных услуг. Требования доверия
предполагают выполнение следующих действий:
- оценка заданий по безопасности и профилей защиты, ставшие
источниками требований безопасности;
- проверка процессов и процедур безопасности, их применение;
- анализ документации;
- верификация представленных доказательств;
- анализ тестов и их результаты;
55
- анализ уязвимостей;
- проведение независимого тестирования.
7.1 Профиль защиты «Контролируемый доступ»
Профиль защиты «Контролируемый доступ» предназначен для
формулирования требований к механизмам защиты, реализующим, в
частности, дискреционный (избирательный) принцип контроля доступа.
Профиль защиты с контролируемым доступом определяет набор
функциональных требований и требований доверия для ИС
предоставления публичных услуг. Контролируемый доступ поддерживает
такое управление доступом, которое позволяет ограничивать действия
отдельных пользователей и доступ к информационным ресурсам и
системам.
Целями безопасности профиля защиты «Контролируемый доступ»
являются:
- обеспечение доступа к информационным ресурсам и системам
только авторизированным пользователям;
- управление доступом к ресурсам для определения, какие ресурсы
могут быть доступны пользователям;
- протоколирование действий пользователей в ИС в ходе
предоставления публичных услуг;
- обеспечение не раскрытия любой информации, содержащейся в
защищаемом ресурсе, при его перераспределении.
Требования безопасности при предоставлении услуг профиля защиты
«Контролируемый доступ» должны быть разделены на функциональные
требования и требования доверий, которые способствуют достижению
целей данного профиля безопасности.
7.1.1 Функциональные
«Контролируемый доступ»
требования
7.1.1.1 Требования к защите
предоставлении публичных услуг
для
данных
профиля
защиты
пользователя
при
Требования к защите данных пользователя при предоставлении
публичных услуг являются:
- должна осуществляться политика дискреционного (избирательного)
управления доступом для пользователей и всех операций между
субъектами и объектами (определение границ управления);
- требования к управлению доступом, основанным на атрибутах
безопасности:
56
1) должна быть возможность сопоставления разрешенных и
запрещенных операций с идентификаторами одного или более
пользователей;
2) должна быть возможность использования разрешенных или
запрещенных операций по умолчанию;
3) для каждой операции должны быть заданы правила
использования по умолчанию разрешающих атрибутов, определенных в
атрибутах управления доступом объекта;
4) должны явно разрешать или отказывать в доступе субъектов к
объектам, основываясь на правилах;
- должен выполняться пакет тестовых программ при первоначальном
запуске, периодически во время нормального функционирования или по
запросу
авторизированного
администратора
для
демонстрации
правильности выполнения требований безопасности;
- должен поддерживаться домен безопасности для собственного
выполнения, защищающий их от вмешательства и искажения
неавторизированными субъектами;
- должны предоставляться надежные метки времени для собственного
использования, так как генерация записей аудита зависит от корректности
внутреннего представления даты и времени;
- должна быть обеспечена недоступность любого предыдущего
информационного содержания ресурсов при распределении ресурса для
всех объектов.
7.1.1.2 Требования к управлению
предоставлении публичных услуг
безопасностью
при
Требования к управлению безопасностью при предоставлении
публичных услуг являются:
- возможность изменять права доступа должна быть ограничена так,
чтобы пользователь, имеющий права доступа к информационному
объекту, не имел возможность изменять эти права, пока не получит на это
разрешение;
- требования к управлению данными:
1) должна существовать возможность создания, уничтожения и
очистки журнала аудита только авторизированным администраторам;
2) должна существовать возможность изменения или просмотра
множества подвергающихся аудиту событий только авторизированным
администраторам;
3) должна существовать возможность инициализации и
модификации атрибутов безопасности пользователя, кроме данных
аутентификации, только авторизированным администраторам;
57
4) должна существовать возможность инициализации и
модификации данных аутентификации только авторизированным
администраторам;
- требования к ролям безопасности:
1) должны поддерживаться следующие роли: авторизированный
администратор;
пользователи,
уполномоченные
политикой
дискреционного управления доступом изменять атрибуты безопасности
информационного объекта; пользователи, уполномоченные изменять
собственные данные аутентификации;
2)
должна
существовать
возможность
ассоциировать
пользователей с ролями.
7.1.2 Требования доверия безопасности для профиля защиты
«Контролируемый доступ»
7.1.2.1 Требования к документации и программному обеспечению
Требования к документации и ПО, которые обеспечивают
предоставление публичных услуг, должны включать:
- требования к документации системы предоставления публичных
услуг, которая должна:
1) быть актуальна, соответствующим образом защищена и
доступна для установленных категорий персонала;
2) включать документацию, описывающую меры и средства
обеспечения безопасности при оказании публичных услуг с
подробностью, необходимой для их анализа и проверки;
- требования к руководству администратора, которое должно
содержать:
1) описание функций администрирования и интерфейсов,
доступных администратору;
2) описание того, как управлять системой предоставления
публичных услуг безопасным способом;
3) предупреждения относительно функций и привилегий,
которые следует контролировать в безопасной среде обработки
информации;
4) описание всех параметров безопасности, контролируемых
администратором, указывая, при необходимости, безопасные значения
параметров;
5) описание всех предположений о поведении пользователя,
которые связаны с безопасной эксплуатацией системы предоставления
публичных услуг;
6) описание возможных событий, относящихся к безопасности и
связанных с выполнением обязательных функций администрирования;
58
- требования к руководству пользователя, которое должно:
1) содержать описание функций и интерфейсов, доступных
пользователям;
2) содержать описание применяемых и применения доступных
пользователям средств обеспечения безопасности и контроля;
3) предупреждения относительно доступных для пользователей
функций и привилегий;
4) четко представить все обязанности пользователя, необходимые
для безопасной эксплуатации системы предоставления публичных услуг;
- требования к установке ПО:
1) эксплуатирующей организацией должны быть установлены и
реализовываться четкие правила установки ПО пользователями;
2) должны быть идентифицированы типы ПО, разрешенные и
запрещенные для установки пользователями;
- требования к использованию ПО:
1) при использовании ПО и документации на него должны
выполняться соглашения с производителем и требования действующего
национального законодательства об авторском праве;
2) эксплуатирующая организация должна иметь систему
контроля копирования и распределения ПО и документации на него в
соответствии с полученными лицензиями.
7.2 Профиль защиты «Меточная защита»
Профиль защиты «Меточная защита» предназначен для управления
доступом, который позволяет ограничивать действия отдельных
пользователей и доступом к информационным ресурсам и системам, и
определяет набор функциональных требований и требований доверия для
ИС предоставления публичных услуг.
При «Меточной защите» должны применяться два класса механизмов
управления
доступом,
которые
позволяют
индивидуальным
пользователям определять, как информационные ресурсы и системы
(например, файлы, каталоги) совместно используются под их
управлением, и
которые накладывают ограничения на совместное
использование ресурсов и систем среди пользователей.
Цели безопасности профиля защиты «Меточная защита» включает
все цели профиля защиты «Контролируемый доступ», а также следующие
цели:
- предоставление всех необходимых функций и возможностей для
поддержки авторизированных администраторов, которые являются
ответственными за управление безопасностью при предоставлении
публичных услуг;
59
- проектирование и реализация таким образом, чтобы обеспечивалось
осуществление политики безопасности организации в предопределенной
среде с учетом требований к физической безопасности и требований к
персоналу.
Требования безопасности предоставления публичных услуг профиля
защиты «Меточная защита» должны быть разделены на функциональные
требования и требования доверий, которые способствуют достижению
целей данного профиля безопасности. Функциональные требования
профиля защиты «Меточная защита» частично совпадают с требования
профиля защиты «Контролируемый доступ», а требования доверия
совпадают с профилем защиты «Контролируемый доступ».
7.2.1 Функциональные
«Меточная защита»
требования
для
профиля
защиты
Функциональные требования профиля защиты «Меточная защита»
совпадают с требования профиля защиты «Контролируемый доступ»,
которые должны быть дополнены:
- требования к экспорту данных пользователя без атрибутов
безопасности:
1) должна осуществляться политика мандатного управления
доступом при экспорте «непомеченных» данных пользователя;
2) устройства, используемые для экспорта данных без атрибутов
безопасности не должны использоваться для того, чтобы экспортировать
данные с атрибутами безопасности;
- требования к экспорту данных пользователя с атрибутами
безопасности:
1) при экспорте данных пользователя за пределы атрибуты
безопасности должны однозначно ассоциироваться с экспортируемыми
«помеченными» данными пользователя;
2) устройства, используемые для экспорта данных с атрибутами
безопасности, не могут использоваться для экспорта данных без
атрибутов безопасности;
- должна осуществляться политика мандатного управления доступом
для субъектов и объектов, и всех операций среди субъектов и объектов;
- требования к иерархическим атрибутам безопасности:
1) должна осуществляться политика мандатного управления
доступом, основанная на следующих типах атрибутов безопасности
субъектов и информации: метка чувствительности субъекта и метка
чувствительности объекта, содержащего информацию;
2) информационный поток между управляемым субъектом и
информацией должен быть разрешен: если метка чувствительности
субъекта больше чем или равна метке чувствительности объекта, то поток
60
информации от объекта к субъекту разрешается (операция чтения); если
метка чувствительности объекта больше чем или равна метке
чувствительности субъекта, то поток информации от субъекта к объекту
разрешается (операция записи); если метка чувствительности субъекта A
больше чем или равна метке чувствительности субъекта B, то поток
информации от субъекта B к субъекту A разрешается;
- требования к отмене прав доступа:
1) должна существовать возможность немедленной отмены
важных для безопасности полномочий;
2) права доступа, ассоциированные с объектом, должны быть
приведены в действие после того, как проверка доступа произведена;
- кроме выше указанных ролей должны поддерживаться
пользователи, уполномоченные политикой мандатного управления
доступом изменять атрибуты безопасности информационного объекта.
7.3 Профиль защиты «Операционные системы»
Профиль защиты «Операционные системы» определяет требования
безопасности для операционных систем общего назначения при
предоставлении публичных услуг, обычно содержащих файловые
системы, сервисы печати, сетевые сервисы, сервисы архивации данных и
другие приложения, обеспечиваемые хостом (например, электронная
почта, базы данных). Операционные системы, отвечающие требованиям
данного профиля, поддерживают среды, где может обрабатываться
конфиденциальная информация. Профиль защиты «Операционные
системы» обеспечивает дискреционное управление доступом, которое
означает, что у субъекта с некоторым разрешением доступа есть
возможность передать это разрешение любому другому субъекту.
Управление доступом ко всем защищаемым данным и
информационным ресурсам должен осуществляться на основе
идентификатора. Для всех пользователей должны быть назначены
уникальные идентификаторы. Этот идентификатор должен обеспечивать
ответственность пользователя. Должна быть подтверждена подлинность
заявленного идентификатора пользователя перед тем, как пользователю
будет разрешено выполнять любые действия.
Специфические особенности безопасности, требуемые для таких
систем, должны включать:
идентификацию
и
аутентификацию:
авторизированные
пользователи должны быть идентифицированы и аутентифицированы
перед доступом к информации, хранящейся в системе предоставления
публичных услуг;
61
- дискреционное управление доступом предоставляет возможность
авторизированным пользователям определить защиту для файлов данных,
которые они создают;
- сервисы аудита, предоставляющие возможность уполномоченным
администраторам, должны обнаруживать и анализировать потенциальные
нарушения безопасности.
Целями безопасности профиля защиты «Операционные системы»
являются:
- операционная система должна обеспечивать, чтобы только
авторизированные пользователи получали доступ к ней и к
информационным ресурсам, которыми она управляет;
- система должна отображать информацию, связанную с
предыдущими попытками установить сеанс;
- операционная система должна предоставлять возможность
обнаруживать и регистрировать значимые для безопасности события при
предоставлении публичных услуг, ассоциированные с индивидуальными
пользователями, должна предоставлять возможность защитить и
выборочно просматривать информацию аудита, ассоциированную с
индивидуальными пользователями;
- операционная система должна управлять доступом к ресурсам,
основанным на идентификаторах пользователей или групп пользователей;
- операционная система должна предоставлять уполномоченным
пользователям возможность определять, к каким информационным
ресурсам какие пользователи или группы пользователей могут получить
доступ;
- операционная система должна быть поставлена и инсталлирована
способом, который поддерживает безопасность системы предоставления
публичных услуг;
- операционная система должна предоставлять средства для защиты
данных пользователя и ресурсов;
- никакой пользователь не должен блокировать других пользователей
при обращении их к информационным ресурсам;
- операционная система должна подвергаться независимому
тестированию, включающему сценарии тестирования и результаты;
- операционная система должна верифицировать заявленный
идентификатор пользователя;
- в операционной системе пользователи должны идентифицироваться
однократно.
Требования безопасности при предоставлении публичных услуг
профиля защиты «Операционные системы» должны быть разделены на
функциональные требования и требования доверий, которые
способствуют достижению целей данного профиля безопасности.
62
7.3.1 Функциональные
«Операционные системы»
требования
для
профиля
защиты
Функциональные требования профиля защиты «Операционные
системы» совпадают с определенными требованиями профиля защиты
«Меточная защита», которые должны быть дополнены:
- должна существовать возможность определения режима
выполнения,
отключения,
подключения,
модификации
режима
выполнения функций, относящихся к выбору событий, подвергаемых
аудиту;
- должна существовать возможность защиты данных от раскрытия и
модификации при их передаче между разделенными частями ИС;
- должна обеспечиваться согласованность данных при дублировании
их в различных частях ИС предоставления публичных услуг;
- требования к самотестированию:
1) должен выполняться пакет программ самотестирования при
запуске или по запросу авторизированного администратора для
демонстрации правильного выполнения;
2) должна существовать возможность у авторизированных
администраторов верифицировать целостность данных и хранимого
выполняемого кода;
- должны реализовать максимальные квоты следующих ресурсов:
процент памяти дискового пространства и процент системной памяти,
которые индивидуальные пользователи могут использовать в любое
заданное время;
- должен предоставляться маршрут связи между собой и локальными
пользователями, который логически отличим от других маршрутов связи,
и обеспечивает уверенную идентификацию его конечных сторон, а также
защиту передаваемых данных от модификации или раскрытия.
7.3.2 Требования доверия безопасности для профиля защиты
«Операционные системы»
Требования доверия безопасности профиля защиты «Операционные
системы» совпадают с требованиями такого рода профиля защиты
«Меточная защита», которые должны быть дополнены следующими:
- требования к тестированию:
1) разработчик должен протестировать функции ИС
предоставления публичных услуг и документировать результаты;
2) тестовая документация должна состоять из планов и описаний
процедур тестирования, а также ожидаемых и фактических результатов
тестирования;
63
3) планы тестирования должны идентифицировать проверяемые
функции безопасности и содержать изложение целей тестирования;
4) результаты выполнения тестов разработчиком должны
демонстрировать, что каждая проверенная функция безопасности была
выполнена успешно;
- должны быть идентифицированы все возможные режимы
эксплуатации системы предоставления публичных услуг, включая
действия после сбоя или ошибки в работе, их последствия и значение для
обеспечения безопасной эксплуатации; документация должна показать
для всех идентифицированных уязвимостей, что ни одна из них не может
быть использована в системе предоставления услуг.
Примеры угроз для профиля защиты «Операционные системы»
представлены в приложении 1.
7.4 Профиль защиты «Одноуровневые операционные системы»
Операционные системы, отвечающие требованиям данного профиля,
поддерживают среды, где могут обрабатываться одноуровневые данные
при предоставлении публичных услуг. Данный профиль должен
обеспечивать дискреционное управление доступом и предоставлять
криптографические сервисы. Для создания системы предоставления
публичных услуг для данного профиля защиты должны использоваться
аппаратное и программное обеспечение или их комбинацию для того,
чтобы реализовать криптографические сервисы. Криптографические
сервисы
должны
обеспечивать
соответствующий
уровень
функциональных возможностей и уверенность в достижении целей
обеспечения информационной безопасности. Должны использоваться
сертифицированные средства криптографической защиты. Профиль
защиты «Одноуровневые операционные системы» применяется для
многопользовательских систем общего назначения, что подходит для
системы оказания публичных услуг.
Цели профиля защиты «Одноуровневые операционные системы»
включают те же цели, что и профиль защиты «Операционные системы», а
также следующие цели:
- операционная система должна функционировать, поддерживая
безопасность ИС предоставления публичных услуг;
- операционная система должна предоставлять криптографические
механизмы обеспечения целостности данных при их передаче к
удаленным частям ИС.
Требования безопасности при предоставлении услуг профиля защиты
«Одноуровневые операционные системы» должны быть разделены на
функциональные требования и требования доверий, которые
способствуют достижению целей данного профиля безопасности.
64
7.4.1 Функциональные требования
«Одноуровневые операционные системы»
для
профиля
защиты
Функциональные требования для профиля защиты «Одноуровневые
операционные системы» совпадают с определенными требованиями
профиля защиты «Операционная система», которые должны быть
дополнены следующими:
- требования к управлению средствами криптографической защиты
информации:
1) должны быть сгенерированы симметричные и ассиметричные
криптографические ключи в соответствии с согласованным алгоритмом
генерации криптографических ключей;
2) должны быть добавлены к каждому сгенерированному
симметричному ключу контрольная сумма другого аттестованного
алгоритма;
3) любые сгенерированные сертификаты открытых ключей
должны соответствовать требованиям действующего национального
законодательства;
4) криптографические ключи должны распределяться в
соответствии с определенным методом распределения: ручной
(физический) метод, автоматический (электронный);
5) должно обеспечиваться хранение ключей только в
зашифрованном виде в соответствии с требованиями действующего
национального законодательства;
6) криптографические ключи должны уничтожаться в
соответствии с методом уничтожения криптографических ключей,
который
отвечает
требованиям
действующего
национального
законодательства, а стирание всего открытого текста криптографических
ключей и всех других критичных параметров безопасности в пределах
устройства должно быть немедленным и полным;
- должны выполняться операции шифрования/дешифрования данных,
вычисления
криптографической
цифровой
подписи,
операции
хеширования, операции обмена криптографическими ключами в
соответствии с действующим законодательством;
- должна быть добавлена роль администратора средств
криптографической защиты информации;
- должен поддерживаться криптографический домен, отделенный от
остальной части, защищенный от вмешательства и искажения
неавторизированными субъектами.
65
7.4.2 Требования доверия безопасности для профиля защиты
«Одноуровневые операционные системы»
Требования
доверия
безопасности
для
профиля
защиты
«Одноуровневые операционные системы», применяемых в процессе
предоставления публичных услуг, должны включать в себя анализ
уязвимостей/тестирование проникновения, требования к разработке и
анализ скрытых каналов для криптографии.
Требования
доверия
безопасности
для
профиля
защиты
«Одноуровневые операционные системы» совпадают с требованиями
такого рода профиля защиты «Операционные системы», которые должны
быть дополнены следующими:
- криптографический модуль должен быть спроектирован и
структурирован так, чтобы отделить его от других процессов;
- должны быть определены физические/логические порты
криптографического модуля;
- требования к устранению недостатков:
1) должна быть установлена процедура приема и обработки
сообщений пользователей о недостатках безопасности и запросов на их
исправление;
2) процедуры устранения недостатков должны содержать
описание процедур для отслеживания всех ставших известными
недостатков безопасности при предоставлении публичных услуг;
3) процедуры устранения недостатков должны содержать
требование представления описания природы и проявлений каждого
недостатка безопасности, а также статуса завершения исправления этого
недостатка;
- требования к анализу скрытых каналов криптографического модуля:
1) для криптографического модуля должен быть проведен поиск
скрытых каналов утечки критичных параметров безопасности;
2) документация анализа должна идентифицировать скрытые
каналы в криптографическом модуле и содержать оценку их пропускной
способности;
3) документация анализа должна содержать описание наиболее
опасного
варианта
сценария
использования
каждого
идентифицированного скрытого канала;
4) должно быть подтверждение, что результаты анализа скрытых
каналов показывают, что криптографический модуль удовлетворяет
функциональным требованиям.
Примеры угроз для профиля защиты «Одноуровневые операционные
системы» представлены в приложении 2.
66
7.5 Профиль защиты «Многоуровневые операционные системы»
Операционные системы, отвечающие требованиям данного профиля,
поддерживают среды, где могут обрабатываться многоуровневые данные
при предоставлении публичных услуг. Системы данного профиля защиты
должны обеспечивать дискреционное управление доступом, мандатное
управление доступом, мандатное управление целостностью и
предоставлять криптографические сервисы. Все пользователи должны
иметь ассоциированный уровень допуска, определяющий максимальный
уровень чувствительности информационных ресурсов и систем, к
которым они могут обращаться.
Цели операционной системы профиля защиты «Многоуровневые
операционные системы» включают те же цели, что и профиль защиты
«Одноуровневые операционные системы» и дополнительно цель: –
операционная система должна управлять доступом к ресурсам, который
основан на уровне допуска пользователей и ресурсов, а также на уровне
целостности ресурсов и уровне прав пользователя на модификацию
данных.
Требования безопасности при предоставлении публичных услуг
профиля защиты «Многоуровневые операционные системы» должны быть
разделены на функциональные требования и требования доверий, которые
способствуют достижению целей данного профиля безопасности.
Требования доверия безопасности данного профиля совпадают с
требованиями доверия безопасности профиля «Одноуровневые
операционные системы».
7.5.1 Функциональные требования для
«Многоуровневые операционные системы»
профиля
защиты
Функциональные требования для профиля защиты «Многоуровневые
операционные системы» совпадают с функциональными требованиями
для профиля защиты «Одноуровневая операционная система», которые
должны быть дополнены требованиями к полному управлению
информационными потоками:
- для всех операций перемещения управляемой информации к
управляемым субъектам должна осуществляться политика мандатного
управления доступом;
- если метка чувствительности субъекта больше чем или равна метке
чувствительности объекта, то поток информации от объекта к субъекту
разрешен (операция чтения);
- если метка чувствительности объекта больше чем или равна метке
чувствительности субъекта, то поток информации от субъекта к объекту
разрешен (операция записи).
67
Примеры
угроз
для
профиля
защиты
«Многоуровневые
операционные системы» представлены в приложении 3.
7.6 Профиль защиты «Системы управления базами данных»
Профиль защиты «Системы управления базами данных» определяет
требования безопасности для систем управления базами данных в
организациях, предоставляющих публичные услуги, где имеются
требования для защиты конфиденциальности, целостности и доступности
информации, хранимой в базе данных. Несанкционированное раскрытие,
модификация или отказ в обслуживании такой информации может оказать
неблагоприятное воздействие на процесс предоставления публичных
услуг и на само функционирование организации.
Данный профиль защиты должен определять:
совокупность
основных
требований,
которым
должны
удовлетворять все базы данных;
совокупность
пакетов
с
данными
аутентификации,
предоставляющими собой средства для подтверждения подлинности
пользователя.
Цели профиля защиты «Системы управления базами данных»
включают:
- предотвращение несанкционированного или непредусмотренного
раскрытия, ввода, модификации или уничтожения данных и объектов
базы данных (файлы и каталоги, включая программы, библиотеки рабочих
программ, файлы базы данных, экспортируемые файлы, файлы повторной
регистрации, управляемые файлы, файлы с трассировкой и файлы с
дампом), а также просмотра базы данных, управления данными и аудита
данных базы данных;
предоставление
средств
управления
использованием
информационных
ресурсов
базы
данных
авторизированными
пользователями;
предоставление
средств
идентификации/аутентификации
пользователей для надежного подтверждения подлинности пользователей;
- предоставление средств подробной регистрации значимых для
безопасности событий.
Требования безопасности при предоставлении публичных услуг
профиля защиты «Системы управления базами данных» должны быть
разделены на функциональные требования и требования доверий, которые
способствуют достижению целей данного профиля безопасности.
68
7.6.1 Функциональные требования
«Системы управления базами данных»
для
профиля
защиты
Функциональные требования для профиля защиты «Системы
управления базами данных» при предоставлении публичных услуг,
должны включать:
- каждое событие, потенциально подвергаемое аудиту базы данных
должно ассоциироваться с идентификатором пользователя базы данных,
который был инициатором этого события;
- управление доступом должно осуществляться для субъектов,
объектов и операций базы данных;
- для каждого пользователя базы данных должен поддерживаться
следующий список атрибутов безопасности: идентификатор пользователя
базы данных и привилегии доступа к объекту базы данных;
- каждый пользователь базы данных должен быть успешно
идентифицирован до разрешения любого другого действия от имени этого
пользователя;
- должно существовать ограничение возможностей выполнения
операций с данными авторизованными пользователями базы данных;
- должны поддерживаться следующие роли: административный
пользователь базы данных и пользователь базы данных;
- должен поддерживаться домен безопасности для собственного
выполнения, защищающий данные от вмешательства и искажения
неавторизированными субъектами базы данных;
- максимальное число параллельных сеансов с базой данных,
предоставляемых одному и тому же пользователю базы данных, должно
быть ограничено и заранее задано;
- должна существовать возможность отказа пользователю в открытии
сеанса с базой данных, основываясь на его правах;
- требования к аутентификации средствами базы данных:
1)
должны
обнаруживаться
неуспешные
попытки
аутентификации средствами базы данных;
2) пароли базы данных должны отвечать требованиям
действующего законодательства.
7.6.2 Требования доверия безопасности для профиля защиты
«Системы управления базами данных»
Требования доверия безопасности для профиля защиты «Системы
управления базами данных», должны включать основные требования:
69
- система должна идентифицировать и аутентифицировать
пользователей до предоставления доступа к любым информационным
ресурсам, системам и средствам;
- система должна предоставлять механизмы управления доступом для
достижения поставленных целей;
система
должна
предоставлять
механизм
аудита
и
инструментальные средства управления аудитом для поддержки ИС
предоставления услуг;
- система должна предоставлять резервную копию, возможность
возвратиться к работоспособному состоянию и другие безопасные
механизмы восстановления.
Примеры угроз для профиля защиты «Системы управления базами
данных», представлены в приложении 4.
70
Приложение 1
Угрозы безопасности профиля защиты
«Операционные системы»
Угрозы безопасности
1. Ошибки в проекте операционных систем
2. Ошибки в реализации операционных систем
3. Ошибки документирования
4. Ошибочные действия администратора, нарушающие политику
безопасности операционных систем
5. Ошибочные действия пользователя, приводящие к нарушению
политики безопасности операционных систем
6. Сбой (отказ) операционных систем
71
Приложение 2
Угрозы безопасности профиля защиты
«Одноуровневые операционные системы»
Угрозы безопасности
1. Неправильное администрирование может привести к нарушению
характерных свойств безопасности
2. Порча или потеря данных аудита
3. Порча или потеря данных конфигурации или других доверенных
данных
4. Атаки, приводящие к отказу в обслуживании
5. Несанкционированный доступ либо неавторизированного, либо
авторизированного пользователя к данным в транзите, передаваемым
или получаемым операционной системой
6. Неправильная установка операционной системы, что может
привести к нарушению безопасности
7. Перезагрузка может привести к опасному состоянию операционной
системы
8. Системы не могут адекватно перемещать данные из объектов,
совместно
используемых
различными
пользователями,
при
освобождении и последующем использовании ресурсов
9. Случайные или преднамеренные ошибки в спецификациях
требований, в проекте или при разработке операционной системы
10. Случайные или преднамеренные ошибки в реализации проекта
операционной системы
11. Неправильное поведение системы может быть результатом
неспособности обнаружить, что все функции и взаимодействия
операционной системы правильны
12. Нарушитель может получать доступ, повторяя информацию
аутентификации
13. Авторизированные пользователи могут неправильно полагать, что
они поддерживают связь с операционной системой, тогда как они
фактически поддерживают связь с враждебной сущностью, выдающей
себя за операционную систему
14. Неправомочный доступ нарушителя к учетной записи
администратора или к учетной записи другого лица из доверенного
персонала
15. К оставленному без надзора сеансу может быть получен
несанкционированный доступ
16.
Несанкционированный
доступ
неавторизированным
или
авторизированным пользователем к данным информационной системы
72
17. Несанкционированное изменение или использование атрибутов
операционной системы и ресурсов
18. Сбой операционной системы при обнаружении и регистрации
несанкционированных действий
19. Отказ системы при попытках администратора идентифицировать
несанкционированные действия и повлиять на них
20. После сбоя операционной системы состояние безопасности
операционной системы может быть неизвестно
21. Потеря или порча данных пользователя другими пользователями
73
Приложение 3
Угрозы безопасности профиля защиты
«Многоуровневые операционные системы»
Угрозы
безопасности
профиля
защиты
«Многоуровневые
операционные системы» включают угрозы безопасности профиля защиты
«Одноуровневые операционные системы» и угрозы безопасности,
указанные в таблице.
Угрозы безопасности
1. Сущность, оперирующая на одной машине в сети, может подменить
свое представление в этой сети сущностью, оперирующей на другой
машине
2. Несанкционированный доступ пользователей к «помеченным»
данным, так как системы не могут адекватно разделять данные на
основе их меток
74
Приложение 4
Угрозы безопасности профиля защиты
«Системы управления базами данных»
Угрозы безопасности
1. Несанкционированный доступ к базе данных
2. Несанкционированный доступ к информации базы данных
3. Чрезмерное использование ресурсов базы данных
4. Неправильное использование привилегий пользователей базы
данных
5. Потеря или разрушение данных управления базой данных и данных
аудита, в результате внезапных прерываний функционирования
объектов системы