категорирование информации и информационных систем. обеспечение базового уровня информационной безопасности
Продолжение. Начало в «Сетевых решениях» №8 за 2006 год.
дополнительные и усиленные регуляторы безопасности для умеренного уровня ИБ
Для умеренного уровня информационной безопасности целесообразно применение следующих дополнительных и усиленных (по сравнению с минимальным уровнем) регуляторов безопасности.
оценка рисков
Сканирование уязвимостей. С заданной частотой или после появления сведений о новых критичных для ИС уязвимостях необходимо сканировать уязвимости в информационной системе.
планирование безопасности
Планирование деятельности, связанной с безопасностью. Обеспечение должного планирования и координации деятельности, связанной с безопасностью и затрагивающей информационную систему, с целью минимизации отрицательного воздействия на работу и активы организации (в том числе на ее миссию, функции, имидж и репутацию).
закупка систем и сервисов
Документация. Необходимо включать в общий пакет документов документацию от изготовителя/поставщика (при наличии таковой), описывающую функциональные свойства регуляторов безопасности, задействованных в информационной системе, достаточно детальную для того, чтобы сделать возможным анализ и тестирование регуляторов.
Принципы проектирования информационной безопасности. Проектирование и реализация информационной системы проводится с применением принципов проектирования информационной безопасности.
Тестирование безопасности разработчиком. Разработчик информационной системы формирует план тестирования и оценки безопасности, реализует его и документирует результаты; последние могут быть использованы для поддержки сертификации по требованиям безопасности и аккредитации поставленной ИС.
сертификация, аккредитация и оценка безопасности
Оценка безопасности. С заданной частотой, но не реже, чем раз в год, целесообразно проводить оценку регуляторов безопасности в информационной системе, чтобы определить, насколько они корректно реализованы, функционируют в соответствии со спецификациями и дают ожидаемые результаты с точки зрения выполнения предъявляемых к ИС требований информационной безопасности.
Сертификация по требованиям безопасности. Оценка регуляторов безопасности в информационной системе для целей сертификации по требованиям безопасности проводится независимой сертифицирующей организацией.
физическая защита
Контроль доступа к устройствам отображения информации. Контроль физического доступа к устройствам отображения информации с целью защиты последней от просмотра неавторизованными лицами.
Мониторинг физического доступа. В режиме реального времени отслеживаются поступающие сигналы о вторжениях и данные со следящих устройств. Контроль посетителей. Обеспечение сопровождения посетителей и, если нужно, мониторинга их активности.
Электрическое оборудование и проводка. Защита электрического оборудования и проводки для информационной системы от повреждений и разрушений. Аварийное отключение. Для определенных помещений, в которых концентрируются ресурсы информационной системы (центры обработки данных, серверные комнаты, машинные залы для мэйнфреймов и т.п.), следует обеспечить возможность отключения электропитания к любому отказавшему (например, из-за короткого замыкания) или оказавшемуся под угрозой (например, из-за разрыва водопровода) компоненту ИС, не подвергая при этом персонал опасности, сопряженной с доступом к оборудованию.
Аварийное электропитание. Применение краткосрочных источников бесперебойного питания, чтобы дать возможность аккуратно выключить информационную систему в случае нарушения основного электропитания.
Противопожарная защита. Необходимо применять и поддерживать устройства/системы пожаротушения и обнаружения возгорания, автоматически срабатывающие в случае пожара.
Запасная производственная площадка. Сотрудники организации на запасной производственной площадке применяют соответствующие регуляторы безопасности для ИС.
Расположение компонентов информационной системы. Следует располагать компоненты информационной системы на отведенных площадях так, чтобы минимизировать потенциальный ущерб от физических рисков и угроз со стороны окружающей среды, а также возможность несанкционированного доступа.
планирование бесперебойной работы
План обеспечения бесперебойной работы. Организация координирует разработку плана обеспечения бесперебойной работы со структурами, ответственными за родственные планы (например, планы восстановления после аварий, реагирования на нарушения безопасности и т.п.).
Обучение. В компании организуется обучение сотрудников их ролям и обязанностям по обеспечению бесперебойной работы информационной системы, а также с заданной частотой, но не реже, чем раз в год, проводятся тренировки для поддержания практических навыков.
Тестирование плана обеспечения бесперебойной работы. С заданной частотой, но не реже, чем раз в год, в организации тестируется план обеспечения бесперебойной работы информационной системы. Для этого применяются заданные тесты и тренировочные процедуры, чтобы определить эффективность плана и готовность организации к его выполнению. Соответствующие должностные лица проверяют результаты тестирования плана и инициируют корректирующие действия. Организация координирует тестирование плана обеспечения бесперебойной работы со структурами, ответственными за родственные планы (например, планы восстановления после аварий, реагирования на нарушения безопасности и т.п.).
Запасные места хранения. Необходимо определить запасное место хранения и заключить необходимые соглашения, чтобы сделать возможным хранение там резервных копий данных информационной системы; запасное место хранения территориально должно быть удалено от основного, чтобы не подвергать его тем же опасностям.
Запасные места обработки данных. Определяется запасное место обработки данных, и инициируются необходимые соглашения, чтобы сделать возможным возобновление выполнения информационной системой критически важных производственных функций в течение заданного промежутка времени, если основные средства обработки данных оказываются недоступными. Запасное место обработки данных территориально удалено от основного и, следовательно, не подвержено тем же опасностям. Определяются потенциальные проблемы с доступом к запасному месту обработки данных в случае широкомасштабных аварий или стихийных бедствий, намечаются явные действия по смягчению выявленных проблем. Соглашение о запасном месте обработки данных содержит обязательства приоритетного обслуживания в соответствии с требованиями организации к доступности.
Телекоммуникационные услуги. Определяются основной и запасной источники телекоммуникационных услуг, поддерживающих информационную систему. Инициируются необходимые соглашения, чтобы сделать возможным возобновление выполнения информационной системой критически важных производственных функций в течение заданного промежутка времени, если основной источник телекоммуникационных услуг оказывается недоступным. Соглашения об основном и запасном источниках телекоммуникационных услуг содержат обязательства приоритетного обслуживания в соответствии с требованиями организации к доступности. Запасной источник телекоммуникационных услуг не разделяет единую точку отказа с основным источником.
Резервное копирование. С заданной частотой в организации тестируются резервные копии, чтобы убедиться в надежности носителей и целостности данных.
управление конфигурацией
Базовая конфигурация и опись компонентов информационной системы. При установке новых компонентов изменяются базовая конфигурация информационной системы и опись компонентов ИС.
Контроль изменений конфигурации. Документируются и контролируются изменения в информационной системе; соответствующие должностные лица санкционируют изменения ИС в соответствии с принятыми в организации политикой и процедурами.
Мониторинг изменений конфигурации. Необходимо отслеживать изменения в информационной системе и анализировать их воздействие на безопасность, чтобы определить эффект изменений.
Ограничение доступа для изменений. Организация проводит в жизнь физические и логические ограничения доступа, связанного с изменениями в информационной системе, и генерирует, сохраняет и пересматривает записи, отражающие все подобные изменения.
Минимизация функциональности. Следует конфигурировать информационную систему так, чтобы обеспечить только необходимые возможности и явным образом запретить и/или ограничить использование определенных функций, портов, протоколов и/или сервисов.
сопровождение
Периодическое сопровождение. Поддерживается регистрационный журнал сопровождения информационной системы, в котором фиксируются:
- дата и время обслуживания;
- фамилия и имя лица, производившего обслуживание;
- фамилия и имя сопровождающего, если это необходимо;
- описание произведенных действий по обслуживанию ИС;
- список удаленного или перемещенного оборудования (с идентификационными номерами).
Средства сопровождения. Организация санкционирует, контролирует и отслеживает применение средств сопровождения информационной системы и постоянно поддерживает эти средства.
Своевременное обслуживание. Организация получает обслуживание и запчасти для заданных ключевых компонентов информационной системы в течение заданного промежутка времени.
целостность систем и данных
Защита от вредоносного программного обеспечения. Централизованное управление механизмами защиты от вредоносного программного обеспечения. Средства и методы мониторинга информационной системы. Применение средств и методов мониторинга событий в информационной системе, выявление атак и идентификация несанкционированного использования ИС.
Защита от спама. В информационной системе реализуется защита от спама.
Ограничения на ввод данных. Организация предоставляет право на ввод данных в информационную систему только авторизованным лицам.
Точность, полнота, достоверность и аутентичность данных. Информационная система проверяет данные на точность, полноту, достоверность и аутентичность.
Обработка ошибок. Информационная система явным образом выявляет и обрабатывает ошибочные ситуации.
Обработка и сохранение выходных данных. Выходные данные информационной системы обрабатываются и сохраняются в соответствии с принятыми в организации политикой и эксплуатационными требованиями.
защита носителей
Метки носителей. Съемные носители данных и выходные данные ИС снабжаются внешними метками, содержащими ограничения на распространение и обработку этих данных; заданные типы носителей или аппаратных компонентов освобождаются от меток, поскольку остаются в пределах контролируемой зоны.
Хранение носителей. Следует организовать физический контроль и безопасное хранение носителей данных, бумажных и цифровых, основываясь на максимальной категории, присвоенной данным, записанным на носителе.
Транспортировка носителей. Контроль носителей данных, бумажных и цифровых, и поручение отправки, получения, транспортировки и доставки носителей авторизованным лицам.
реагирование на нарушения информационной безопасности
Обучение. Компания обучает сотрудников их ролям и обязанностям, связанным с реагированием на нарушения информационной безопасности ИС, и с заданной частотой, но не реже, чем раз в год, проводит тренировки для поддержания практических навыков.
Тестирование. С заданной частотой, но не реже, чем раз в год, тестируются средства реагирования на нарушения информационной безопасности ИС, при этом используются заданные тесты и тренировочные процедуры, чтобы определить эффективность реагирования. Результаты документируются. Реагирование. Для поддержки процесса реагирования на нарушения информационной безопасности применяются автоматические механизмы.
Мониторинг. Необходимо постоянно прослеживать и документировать нарушения информационной безопасности ИС.
Доклады о нарушениях. Применение автоматических механизмов в формировании докладов о нарушениях информационной безопасности.
идентификация и аутентификация
Идентификация и аутентификация устройств. Информационная система идентифицирует и аутентифицирует определенные устройства, прежде чем установить с ними соединение.
управление доступом
Управление учетными записями. Применение автоматических механизмов для поддержки управления учетными записями в информационной системе. Информационная система автоматически терминирует временные и аварийные учетные записи по истечении заданного для каждого типа записей промежутка времени; информационная система автоматически отключает неактивные учетные записи по истечении заданного промежутка времени.
Проведение в жизнь. Информационная система обеспечивает, чтобы доступ к функциям безопасности (реализованным аппаратно и/или программно) и к защитным данным предоставлялся только авторизованным лицам (например, администраторам безопасности).
Управление информационными потоками. Информационная система проводит в жизнь присвоенные привилегии для управления информационными потоками в системе и между взаимосвязанными системами в соответствии с принятой политикой безопасности.
Разделение обязанностей. Разделение обязанностей реализуется посредством присвоения привилегий доступа.
Минимизация привилегий. Информационная система использует наиболее ограничительный набор прав/привилегий доступа, необходимых пользователям (или процессам, действующим от имени этих пользователей) для выполнения их задач.
Блокирование сеансов. Информационная система предотвращает дальнейший доступ к ИС до тех пор, пока пользователь не восстановит доступ, применяя соответствующие процедуры идентификации и аутентификации.
Терминирование сеансов. Информационная система автоматически терминирует сеанс по истечении заданного периода неактивности.
Действия, разрешенные без идентификации и аутентификации. Организация разрешает выполнение действий без идентификации и аутентификации, только если они необходимы для достижения ключевых целей организации.
Удаленный доступ. Применение автоматических механизмов для облегчения мониторинга и контроля методов удаленного доступа, а также шифрования для защиты конфиденциальности сеансов удаленного доступа. Необходимо контролировать весь удаленный доступ в управляемой точке контроля доступа. Ограничения на беспроводной доступ. Необходимо применение аутентификации и шифрования для защиты беспроводного доступа к информационной системе. Мобильные устройства. Организация:
- устанавливает ограничения на применение и разрабатывает руководства по использованию мобильных устройств;
- документирует, отслеживает и контролирует доступ посредством подобных устройств к ИС;
- соответствующие должностные лица санкционируют использование мобильных устройств;
- применяются съемные жесткие диски или криптография для защиты данных, располагающихся в мобильных устройствах.
протоколирование и аудит
Содержимое регистрационных записей. Информационная система обеспечивает возможность включения в регистрационные записи дополнительной, более детальной информации для протоколируемых событий, идентифицируемых по типу, месту или субъекту.
Мониторинг, анализ и отчет о регистрационной информации. Необходимо регулярно изучать/анализировать регистрационную информацию с целью выявления ненадлежащей или нетипичной активности, расследовать случаи подозрительной активности или предполагаемых нарушений, докладывать о результатах соответствующим должностным лицам и предпринимать необходимые действия.
Редукция регистрационной информации и генерация отчетов. Информационная система предоставляет возможности редукции регистрационной информации и генерации отчетов.
Метки времени. Информационная система предоставляет метки времени для использования при генерации регистрационных записей.
защита систем и коммуникаций
Разделение приложений. Информационная система разделяет пользовательскую функциональность (включая сервисы пользовательского интерфейса) от функциональности управления ИС.
Остаточная информация. Информационная система должна предотвращать несанкционированную и ненамеренную передачу информации через разделяемые системные ресурсы.
Защита границ. Целесообразно физически размещать общедоступные компоненты информационной системы (например, общедоступные веб-серверы) в отдельных подсетях с отдельными физическими сетевыми интерфейсами, предотвратить публичный доступ во внутреннюю сеть (за исключением должным образом контролируемого доступа).
Целостность передаваемых данных. Информационная система должна защищать целостность передаваемых данных.
Конфиденциальность передаваемых данных. Должна быть предусмотрена защита конфиденциальности передаваемых данных.
Разрыв сетевых соединений. Информационная система терминирует сетевое соединение в конце сеанса или по истечении заданного периода неактивности. Выработка криптографических ключей и управление ими. Информационная система применяет автоматические механизмы и вспомогательные процедуры или ручные процедуры для выработки криптографических ключей и управления ключами.
Коллективные приложения. Информационная система запрещает удаленную активацию механизмов коллективных приложений (например, видео- или аудиоконференций) и предоставляет явные свидетельства их использования локальным пользователям (например, индикацию использования видеокамер или микрофонов).
Сертификаты инфраструктуры открытых ключей. Организация разрабатывает и реализует политику для сертификатов и спецификацию сертификационной практики для выпуска сертификатов открытых ключей, используемых в информационной системе.
Мобильный код. Организация:
- устанавливает ограничения на применение и разрабатывает руководства по использованию технологий мобильного кода, исходя из возможности нанесения ущерба информационной системе при злоумышленном применении этих технологий;
- документирует, отслеживает и контролирует использование мобильного кода в информационной системе;
- соответствующие должностные лица санкционируют использование мобильного кода.
Применение VoIP. Организация:
- устанавливает ограничения на применение и разрабатывает руководства по использованию технологий VoIP, исходя из возможности нанесения ущерба информационной системе при злоумышленном применении этих технологий;
- документирует, отслеживает и контролирует использование VoIP в информационной системе;
- соответствующие должностные лица санкционируют использование VoIP.
Сервис безопасного поиска имен (уполномоченные источники). Информационные системы (уполномоченные серверы доменных имен), предоставляющие внешним пользователям сервис поиска имен для доступа к информационным ресурсам организации через Интернет, обеспечивают атрибуты для аутентификации источника данных и контроля целостности данных, чтобы дать пользователям возможность получить гарантии аутентичности и целостности сообщений при получении данных в рамках сетевых транзакций.
дополнительные и усиленные регуляторы безопасности для высокого уровня ИБ
Для высокого уровня информационной безопасности рекомендуется применение следующих дополнительных и усиленных (по сравнению с умеренным уровнем) регуляторов безопасности.
оценка рисков
Сканирование уязвимостей. Средства сканирования уязвимостей включают возможность оперативного изменения списка сканируемых уязвимостей информационной системы. С заданной частотой или после появления сведений о новых критичных для ИС уязвимостях организация изменяет список сканируемых уязвимостей информационной системы.
закупка систем и сервисов
Документация. Следует включить в общий пакет документов документацию от изготовителя/поставщика (при наличии таковой), описывающую детали проектирования и реализации регуляторов безопасности, задействованных в информационной системе, со степенью подробности, достаточной для того, чтобы сделать возможным анализ и тестирование регуляторов (включая функциональные интерфейсы между компонентами регуляторов).
Управление конфигурацией разработчиком. Разработчик информационной системы создает и реализует план управления конфигурацией, контролирующий изменения системы в процессе разработки, прослеживающий дефекты безопасности, требующий авторизации изменений, и предоставляет документацию плана и его реализации.
физическая защита
Контроль доступа к каналам передачи данных. Контролируется физический доступ к линиям распространения и передачи данных, принадлежащим ИС и расположенным в пределах охраняемых границ, чтобы предотвратить неумышленное повреждение, прослушивание, модификацию в процессе передачи, разрыв или физическое искажение линий.
Мониторинг физического доступа. Применяются автоматические механизмы выявления потенциальных вторжений и инициирования реакции на них. Протоколирование доступа. Применяются автоматические механизмы для облегчения поддержки и просмотра регистрационных журналов.
Аварийное электропитание. Необходимо обеспечить долгосрочные альтернативные источники электропитания для информационной системы, способные поддерживать минимальные требуемые эксплуатационные возможности в случае долговременного выхода из строя первичного источника электропитания. Противопожарная защита. Применяются и поддерживаются устройства/системы пожаротушения и обнаружения возгораний, автоматически извещающие о своей активации организацию и аварийные службы.
Защита от затопления. Применяются автоматические механизмы перекрытия воды в случае ее интенсивной утечки.
планирование бесперебойной работы
Обучение. Моделирование событий включается в учебные курсы, чтобы способствовать эффективному реагированию сотрудников на возможные кризисные ситуации.
Тестирование плана обеспечения бесперебойной работы. План обеспечения бесперебойной работы тестируется на запасной производственной площадке, чтобы ознакомить сотрудников с имеющимися возможностями и ресурсами и оценить способность площадки поддерживать непрерывность функционирования. Запасные места хранения. Запасное место хранения конфигурируется так, чтобы облегчить своевременные и эффективные восстановительные действия. Определяются потенциальные проблемы с доступом к запасному месту хранения в случае широкомасштабных аварий или стихийных бедствий и намечаются явные действия по смягчению выявленных проблем.
Запасные места обработки данных. Запасное место обработки данных полностью конфигурируется для поддержания минимальных требуемых
эксплуатационных возможностей и готовности к использованию в качестве производственной площадки.
Телекоммуникационные услуги. Запасной источник телекоммуникационных услуг должен быть в достаточной степени удален территориально от основного, чтобы не подвергаться тем же опасностям, что и основной. Оба источника телекоммуникационных услуг должны иметь адекватные планы обеспечения бесперебойной работы.
Резервное копирование. Для восстановления функций информационной системы выборочно используются резервные копии как часть тестирования плана обеспечения бесперебойной работы. Резервные копии операционной системы и другого критичного для ИС программного обеспечения хранятся в отдельном месте или в огнеупорном контейнере, расположенном отдельно от эксплуатационного ПО.
Восстановление информационной системы. Организация включает полное восстановление информационной системы как часть тестирования плана обеспечения бесперебойной работы.
управление конфигурацией
Базовая конфигурация и опись компонентов информационной системы. Применяются автоматические механизмы, чтобы поддерживать актуальную, полную, точную и легко доступную базовую конфигурацию информационной системы и опись компонентов ИС.
Контроль изменений конфигурации. Автоматические механизмы применяются, чтобы:
- документировать предлагаемые изменения информационной системы;
- извещать соответствующих должностных лиц;
- привлекать внимание к не полученным своевременно утверждающим визам;
- откладывать изменения до получения необходимых утверждающих виз;
- документировать произведенные изменения информационной системы.
Ограничение доступа для изменений. Чтобы проводить в жизнь ограничения доступа и поддерживать протоколирование ограничивающих действий, применяются автоматические механизмы.
Настройки. Автоматические механизмы применяются для централизованного управления, применения и верифицирования настроек.
Минимизация функциональности. С заданной частотой пересматривается вся информационная система с целью идентифицировать и ликвидировать функции, порты, протоколы и иные сервисы, не являющиеся необходимыми.
сопровождение
Периодическое сопровождение. Применяются автоматические механизмы, чтобы обеспечить планирование и проведение периодического сопровождения в соответствии с установленными требованиями, а также актуальность, точность, полноту и доступность регистрационных записей о необходимых и произведенных действиях по сопровождению.
Средства сопровождения. Необходимо досматривать все средства сопровождения (например, диагностическое и тестовое оборудование), вносимые на территорию организации обслуживающим персоналом, на предмет видимых ненадлежащих модификаций. Следует проверять все носители, содержащие диагностические тестовые программы (например, программное обеспечение, используемое для сопровождения и диагностики систем), на предмет наличия вредоносного ПО, прежде чем носители будут применены в информационной системе. Проверке подвергается все оборудование, применяемое в целях сопровождения и способное сохранять информацию, чтобы удостовериться, что в оборудовании не записана принадлежащая организации информация или что оно должным образом санировано перед повторным использованием. Если оборудование не может быть санировано, оно остается на территории организации или уничтожается, за исключением случаев, явно санкционированных соответствующими должностными лицами.
Удаленное сопровождение. Протоколируются все сеансы удаленного сопровождения, а соответствующие должностные лица просматривают регистрационный журнал удаленных сеансов. Установка и использование каналов удаленной диагностики отражаются в плане безопасности информационной системы. Сервисы удаленной диагностики или сопровождения допустимы только в том случае, если обслуживающая организация поддерживает в своей ИС по крайней мере тот же уровень безопасности, что и обслуживаемая.
целостность систем и данных
Защита от вредоносного программного обеспечения. Информационная система автоматически изменяет механизмы защиты от вредоносного программного обеспечения.
Верификация функциональности безопасности. Информационная система в рамках технических возможностей, при старте или перезапуске системы, по команде уполномоченного пользователя и/или периодически с заданной частотой верифицирует корректность работы функций безопасности и извещает системного администратора и/или выключает или перезапускает систему в случае выявления каких-либо аномалий.
Защита от спама. Организация централизованно управляет механизмами защиты от спама.
защита носителей
Доступ к носителям. Применяются либо посты охраны, либо автоматические механизмы для управления доступом к местам хранения носителей, обеспечения защиты от несанкционированного доступа, а также регистрации попыток доступа и доступа предоставленного.
реагирование на нарушения информационной безопасности
Обучение. В учебные курсы включается моделирование событий, чтобы способствовать эффективному реагированию сотрудников на возможные кризисные ситуации.
Тестирование. Для более тщательного и эффективного тестирования возможностей реагирования применяются автоматические механизмы.
Мониторинг. Автоматические механизмы применяются, чтобы способствовать прослеживанию нарушений безопасности, а также сбору и анализу информации о нарушениях.
идентификация и аутентификация
Идентификация и аутентификация пользователей. Информационная система применяет многофакторную аутентификацию.
Управление учетными записями. Применяются автоматические механизмы протоколирования и, при необходимости, уведомления соответствующих лиц о создании, модификации, отключении и терминировании учетных записей.
Управление параллельными сеансами. Информационная система ограничивает число параллельных сеансов для одного пользователя.
Надзор и просмотр. Автоматические механизмы применяются для облегчения просмотра пользовательской активности.
управление доступом
Автоматическая маркировка. Информационная система маркирует выходные данные, используя стандартные соглашения об именовании, чтобы
идентифицировать все специальные инструкции по распространению, обработке и распределению данных.
протоколирование и аудит
Содержимое регистрационных записей. Информационная система обеспечивает возможность централизованного управления содержимым регистрационных записей, генерируемых отдельными компонентами ИС.
Обработка регистрационной информации. Информационная система обеспечивает выдачу предупреждающего сообщения когда доля занятого пространства, отведенного для хранения регистрационной информации, достигает заданного значения.
Мониторинг, анализ и отчет о регистрационной информации. Применение автоматических механизмов, чтобы интегрировать мониторинг, анализ и отчет о регистрационной информации в общий процесс выявления и реагирования на подозрительную активность.
Редукция регистрационной информации и генерация отчетов. Информационная система предоставляет возможность автоматической обработки регистрационной информации о требующих внимания событиях, основываясь на заданных критериях выбора.
защита систем и коммуникаций
Изоляция функций безопасности. Информационная система изолирует функции безопасности от прочих функций.
Целостность передаваемых данных. Необходимо применение криптографических механизмов для распознавания изменений данных в процессе передачи, если данные не защищены альтернативными физическими мерами (например, защитной системой распределения).
Конфиденциальность передаваемых данных. Применение криптографических механизмов для предотвращения несанкционированного раскрытия информации в процессе передачи, если она не защищена альтернативными физическими мерами (например, защитной системой распределения).
Сервис безопасного поиска имен (разрешение имен). Информационные системы (уполномоченные серверы доменных имен), предоставляющие внутренним пользователям сервис поиска имен для доступа к информационным ресурсам, обеспечивают механизмы для аутентификации источника данных и контроля целостности данных, а также выполняют эти действия по запросу клиентских систем.
минимальные требования доверия для регуляторов безопасности
Минимальные требования доверия для регуляторов безопасности предъявляются к определенным процессам и действиям. Специалисты, разрабатывающие и реализующие регуляторы, определяют и применяют (выполняют) эти процессы и действия для повышения степени уверенности в том, что регуляторы реализованы корректно, функционируют в соответствии со спецификациями и дают ожидаемые результаты с точки зрения выполнения предъявляемых к ИС требований информационной безопасности.
На минимальном уровне информационной безопасности необходимо, чтобы регуляторы безопасности были задействованы и удовлетворяли явно заданным в их определении функциональным требованиям.
На умеренном уровне информационной безопасности дополнительно должны выполняться следующие условия. Специалисты, разрабатывающие (реализующие) регуляторы, предоставляют описание их функциональных свойств, достаточно детальное, чтобы было возможно выполнять анализ и тестирование регуляторов. Как неотъемлемая составная часть регуляторов разработчиками документируются и предоставляются распределение обязанностей и конкретные действия, благодаря которым после завершения разработки (реализации) регуляторы должны удовлетворять предъявляемым к ним функциональным требованиям. Технология, по которой разрабатываются регуляторы, должна поддерживать высокую степень уверенности в их полноте, непротиворечивости и корректности.
Рисунок 1. Обеспечение информационной безопасности. Процессный подход.
На высоком уровне информационной безопасности, кроме всего вышеуказанного, необходимо предоставить описание проекта и реализации регуляторов, включая функциональные интерфейсы между их компонентами. От разработчиков требуются свидетельства того, что после завершения разработки (реализации) выполнение предъявляемых к регуляторам требований будет непрерывным и непротиворечивым в масштабах всей информационной системы, и будет поддерживаться возможность повышения эффективности регуляторов.
заключение
Обеспечение информационной безопасности — сложный, многоаспектный процесс, требующий принятия множества решений, анализа множества факторов и требований, порой противоречивых. Наличие категорий и минимальных требований безопасности, а также предопределенного каталога регуляторов безопасности, способно служить базой для системного подхода к обеспечению ИБ - подхода, требующего разумных трудовых и материальных затрат и способного дать практически приемлемые результаты для большинства организаций.
Владимир Галатенко, доктор физико-математических наук
дополнительные и усиленные регуляторы безопасности для умеренного уровня ИБ
Для умеренного уровня информационной безопасности целесообразно применение следующих дополнительных и усиленных (по сравнению с минимальным уровнем) регуляторов безопасности.
оценка рисков
Сканирование уязвимостей. С заданной частотой или после появления сведений о новых критичных для ИС уязвимостях необходимо сканировать уязвимости в информационной системе.
планирование безопасности
Планирование деятельности, связанной с безопасностью. Обеспечение должного планирования и координации деятельности, связанной с безопасностью и затрагивающей информационную систему, с целью минимизации отрицательного воздействия на работу и активы организации (в том числе на ее миссию, функции, имидж и репутацию).
закупка систем и сервисов
Документация. Необходимо включать в общий пакет документов документацию от изготовителя/поставщика (при наличии таковой), описывающую функциональные свойства регуляторов безопасности, задействованных в информационной системе, достаточно детальную для того, чтобы сделать возможным анализ и тестирование регуляторов.
Принципы проектирования информационной безопасности. Проектирование и реализация информационной системы проводится с применением принципов проектирования информационной безопасности.
Тестирование безопасности разработчиком. Разработчик информационной системы формирует план тестирования и оценки безопасности, реализует его и документирует результаты; последние могут быть использованы для поддержки сертификации по требованиям безопасности и аккредитации поставленной ИС.
сертификация, аккредитация и оценка безопасности
Оценка безопасности. С заданной частотой, но не реже, чем раз в год, целесообразно проводить оценку регуляторов безопасности в информационной системе, чтобы определить, насколько они корректно реализованы, функционируют в соответствии со спецификациями и дают ожидаемые результаты с точки зрения выполнения предъявляемых к ИС требований информационной безопасности.
Сертификация по требованиям безопасности. Оценка регуляторов безопасности в информационной системе для целей сертификации по требованиям безопасности проводится независимой сертифицирующей организацией.
физическая защита
Контроль доступа к устройствам отображения информации. Контроль физического доступа к устройствам отображения информации с целью защиты последней от просмотра неавторизованными лицами.
Мониторинг физического доступа. В режиме реального времени отслеживаются поступающие сигналы о вторжениях и данные со следящих устройств. Контроль посетителей. Обеспечение сопровождения посетителей и, если нужно, мониторинга их активности.
Электрическое оборудование и проводка. Защита электрического оборудования и проводки для информационной системы от повреждений и разрушений. Аварийное отключение. Для определенных помещений, в которых концентрируются ресурсы информационной системы (центры обработки данных, серверные комнаты, машинные залы для мэйнфреймов и т.п.), следует обеспечить возможность отключения электропитания к любому отказавшему (например, из-за короткого замыкания) или оказавшемуся под угрозой (например, из-за разрыва водопровода) компоненту ИС, не подвергая при этом персонал опасности, сопряженной с доступом к оборудованию.
Аварийное электропитание. Применение краткосрочных источников бесперебойного питания, чтобы дать возможность аккуратно выключить информационную систему в случае нарушения основного электропитания.
Противопожарная защита. Необходимо применять и поддерживать устройства/системы пожаротушения и обнаружения возгорания, автоматически срабатывающие в случае пожара.
Запасная производственная площадка. Сотрудники организации на запасной производственной площадке применяют соответствующие регуляторы безопасности для ИС.
Расположение компонентов информационной системы. Следует располагать компоненты информационной системы на отведенных площадях так, чтобы минимизировать потенциальный ущерб от физических рисков и угроз со стороны окружающей среды, а также возможность несанкционированного доступа.
планирование бесперебойной работы
План обеспечения бесперебойной работы. Организация координирует разработку плана обеспечения бесперебойной работы со структурами, ответственными за родственные планы (например, планы восстановления после аварий, реагирования на нарушения безопасности и т.п.).
Обучение. В компании организуется обучение сотрудников их ролям и обязанностям по обеспечению бесперебойной работы информационной системы, а также с заданной частотой, но не реже, чем раз в год, проводятся тренировки для поддержания практических навыков.
Тестирование плана обеспечения бесперебойной работы. С заданной частотой, но не реже, чем раз в год, в организации тестируется план обеспечения бесперебойной работы информационной системы. Для этого применяются заданные тесты и тренировочные процедуры, чтобы определить эффективность плана и готовность организации к его выполнению. Соответствующие должностные лица проверяют результаты тестирования плана и инициируют корректирующие действия. Организация координирует тестирование плана обеспечения бесперебойной работы со структурами, ответственными за родственные планы (например, планы восстановления после аварий, реагирования на нарушения безопасности и т.п.).
Запасные места хранения. Необходимо определить запасное место хранения и заключить необходимые соглашения, чтобы сделать возможным хранение там резервных копий данных информационной системы; запасное место хранения территориально должно быть удалено от основного, чтобы не подвергать его тем же опасностям.
Запасные места обработки данных. Определяется запасное место обработки данных, и инициируются необходимые соглашения, чтобы сделать возможным возобновление выполнения информационной системой критически важных производственных функций в течение заданного промежутка времени, если основные средства обработки данных оказываются недоступными. Запасное место обработки данных территориально удалено от основного и, следовательно, не подвержено тем же опасностям. Определяются потенциальные проблемы с доступом к запасному месту обработки данных в случае широкомасштабных аварий или стихийных бедствий, намечаются явные действия по смягчению выявленных проблем. Соглашение о запасном месте обработки данных содержит обязательства приоритетного обслуживания в соответствии с требованиями организации к доступности.
Телекоммуникационные услуги. Определяются основной и запасной источники телекоммуникационных услуг, поддерживающих информационную систему. Инициируются необходимые соглашения, чтобы сделать возможным возобновление выполнения информационной системой критически важных производственных функций в течение заданного промежутка времени, если основной источник телекоммуникационных услуг оказывается недоступным. Соглашения об основном и запасном источниках телекоммуникационных услуг содержат обязательства приоритетного обслуживания в соответствии с требованиями организации к доступности. Запасной источник телекоммуникационных услуг не разделяет единую точку отказа с основным источником.
Резервное копирование. С заданной частотой в организации тестируются резервные копии, чтобы убедиться в надежности носителей и целостности данных.
управление конфигурацией
Базовая конфигурация и опись компонентов информационной системы. При установке новых компонентов изменяются базовая конфигурация информационной системы и опись компонентов ИС.
Контроль изменений конфигурации. Документируются и контролируются изменения в информационной системе; соответствующие должностные лица санкционируют изменения ИС в соответствии с принятыми в организации политикой и процедурами.
Мониторинг изменений конфигурации. Необходимо отслеживать изменения в информационной системе и анализировать их воздействие на безопасность, чтобы определить эффект изменений.
Ограничение доступа для изменений. Организация проводит в жизнь физические и логические ограничения доступа, связанного с изменениями в информационной системе, и генерирует, сохраняет и пересматривает записи, отражающие все подобные изменения.
Минимизация функциональности. Следует конфигурировать информационную систему так, чтобы обеспечить только необходимые возможности и явным образом запретить и/или ограничить использование определенных функций, портов, протоколов и/или сервисов.
сопровождение
Периодическое сопровождение. Поддерживается регистрационный журнал сопровождения информационной системы, в котором фиксируются:
- дата и время обслуживания;
- фамилия и имя лица, производившего обслуживание;
- фамилия и имя сопровождающего, если это необходимо;
- описание произведенных действий по обслуживанию ИС;
- список удаленного или перемещенного оборудования (с идентификационными номерами).
Средства сопровождения. Организация санкционирует, контролирует и отслеживает применение средств сопровождения информационной системы и постоянно поддерживает эти средства.
Своевременное обслуживание. Организация получает обслуживание и запчасти для заданных ключевых компонентов информационной системы в течение заданного промежутка времени.
целостность систем и данных
Защита от вредоносного программного обеспечения. Централизованное управление механизмами защиты от вредоносного программного обеспечения. Средства и методы мониторинга информационной системы. Применение средств и методов мониторинга событий в информационной системе, выявление атак и идентификация несанкционированного использования ИС.
Защита от спама. В информационной системе реализуется защита от спама.
Ограничения на ввод данных. Организация предоставляет право на ввод данных в информационную систему только авторизованным лицам.
Точность, полнота, достоверность и аутентичность данных. Информационная система проверяет данные на точность, полноту, достоверность и аутентичность.
Обработка ошибок. Информационная система явным образом выявляет и обрабатывает ошибочные ситуации.
Обработка и сохранение выходных данных. Выходные данные информационной системы обрабатываются и сохраняются в соответствии с принятыми в организации политикой и эксплуатационными требованиями.
защита носителей
Метки носителей. Съемные носители данных и выходные данные ИС снабжаются внешними метками, содержащими ограничения на распространение и обработку этих данных; заданные типы носителей или аппаратных компонентов освобождаются от меток, поскольку остаются в пределах контролируемой зоны.
Хранение носителей. Следует организовать физический контроль и безопасное хранение носителей данных, бумажных и цифровых, основываясь на максимальной категории, присвоенной данным, записанным на носителе.
Транспортировка носителей. Контроль носителей данных, бумажных и цифровых, и поручение отправки, получения, транспортировки и доставки носителей авторизованным лицам.
реагирование на нарушения информационной безопасности
Обучение. Компания обучает сотрудников их ролям и обязанностям, связанным с реагированием на нарушения информационной безопасности ИС, и с заданной частотой, но не реже, чем раз в год, проводит тренировки для поддержания практических навыков.
Тестирование. С заданной частотой, но не реже, чем раз в год, тестируются средства реагирования на нарушения информационной безопасности ИС, при этом используются заданные тесты и тренировочные процедуры, чтобы определить эффективность реагирования. Результаты документируются. Реагирование. Для поддержки процесса реагирования на нарушения информационной безопасности применяются автоматические механизмы.
Мониторинг. Необходимо постоянно прослеживать и документировать нарушения информационной безопасности ИС.
Доклады о нарушениях. Применение автоматических механизмов в формировании докладов о нарушениях информационной безопасности.
идентификация и аутентификация
Идентификация и аутентификация устройств. Информационная система идентифицирует и аутентифицирует определенные устройства, прежде чем установить с ними соединение.
управление доступом
Управление учетными записями. Применение автоматических механизмов для поддержки управления учетными записями в информационной системе. Информационная система автоматически терминирует временные и аварийные учетные записи по истечении заданного для каждого типа записей промежутка времени; информационная система автоматически отключает неактивные учетные записи по истечении заданного промежутка времени.
Проведение в жизнь. Информационная система обеспечивает, чтобы доступ к функциям безопасности (реализованным аппаратно и/или программно) и к защитным данным предоставлялся только авторизованным лицам (например, администраторам безопасности).
Управление информационными потоками. Информационная система проводит в жизнь присвоенные привилегии для управления информационными потоками в системе и между взаимосвязанными системами в соответствии с принятой политикой безопасности.
Разделение обязанностей. Разделение обязанностей реализуется посредством присвоения привилегий доступа.
Минимизация привилегий. Информационная система использует наиболее ограничительный набор прав/привилегий доступа, необходимых пользователям (или процессам, действующим от имени этих пользователей) для выполнения их задач.
Блокирование сеансов. Информационная система предотвращает дальнейший доступ к ИС до тех пор, пока пользователь не восстановит доступ, применяя соответствующие процедуры идентификации и аутентификации.
Терминирование сеансов. Информационная система автоматически терминирует сеанс по истечении заданного периода неактивности.
Действия, разрешенные без идентификации и аутентификации. Организация разрешает выполнение действий без идентификации и аутентификации, только если они необходимы для достижения ключевых целей организации.
Удаленный доступ. Применение автоматических механизмов для облегчения мониторинга и контроля методов удаленного доступа, а также шифрования для защиты конфиденциальности сеансов удаленного доступа. Необходимо контролировать весь удаленный доступ в управляемой точке контроля доступа. Ограничения на беспроводной доступ. Необходимо применение аутентификации и шифрования для защиты беспроводного доступа к информационной системе. Мобильные устройства. Организация:
- устанавливает ограничения на применение и разрабатывает руководства по использованию мобильных устройств;
- документирует, отслеживает и контролирует доступ посредством подобных устройств к ИС;
- соответствующие должностные лица санкционируют использование мобильных устройств;
- применяются съемные жесткие диски или криптография для защиты данных, располагающихся в мобильных устройствах.
протоколирование и аудит
Содержимое регистрационных записей. Информационная система обеспечивает возможность включения в регистрационные записи дополнительной, более детальной информации для протоколируемых событий, идентифицируемых по типу, месту или субъекту.
Мониторинг, анализ и отчет о регистрационной информации. Необходимо регулярно изучать/анализировать регистрационную информацию с целью выявления ненадлежащей или нетипичной активности, расследовать случаи подозрительной активности или предполагаемых нарушений, докладывать о результатах соответствующим должностным лицам и предпринимать необходимые действия.
Редукция регистрационной информации и генерация отчетов. Информационная система предоставляет возможности редукции регистрационной информации и генерации отчетов.
Метки времени. Информационная система предоставляет метки времени для использования при генерации регистрационных записей.
защита систем и коммуникаций
Разделение приложений. Информационная система разделяет пользовательскую функциональность (включая сервисы пользовательского интерфейса) от функциональности управления ИС.
Остаточная информация. Информационная система должна предотвращать несанкционированную и ненамеренную передачу информации через разделяемые системные ресурсы.
Защита границ. Целесообразно физически размещать общедоступные компоненты информационной системы (например, общедоступные веб-серверы) в отдельных подсетях с отдельными физическими сетевыми интерфейсами, предотвратить публичный доступ во внутреннюю сеть (за исключением должным образом контролируемого доступа).
Целостность передаваемых данных. Информационная система должна защищать целостность передаваемых данных.
Конфиденциальность передаваемых данных. Должна быть предусмотрена защита конфиденциальности передаваемых данных.
Разрыв сетевых соединений. Информационная система терминирует сетевое соединение в конце сеанса или по истечении заданного периода неактивности. Выработка криптографических ключей и управление ими. Информационная система применяет автоматические механизмы и вспомогательные процедуры или ручные процедуры для выработки криптографических ключей и управления ключами.
Коллективные приложения. Информационная система запрещает удаленную активацию механизмов коллективных приложений (например, видео- или аудиоконференций) и предоставляет явные свидетельства их использования локальным пользователям (например, индикацию использования видеокамер или микрофонов).
Сертификаты инфраструктуры открытых ключей. Организация разрабатывает и реализует политику для сертификатов и спецификацию сертификационной практики для выпуска сертификатов открытых ключей, используемых в информационной системе.
Мобильный код. Организация:
- устанавливает ограничения на применение и разрабатывает руководства по использованию технологий мобильного кода, исходя из возможности нанесения ущерба информационной системе при злоумышленном применении этих технологий;
- документирует, отслеживает и контролирует использование мобильного кода в информационной системе;
- соответствующие должностные лица санкционируют использование мобильного кода.
Применение VoIP. Организация:
- устанавливает ограничения на применение и разрабатывает руководства по использованию технологий VoIP, исходя из возможности нанесения ущерба информационной системе при злоумышленном применении этих технологий;
- документирует, отслеживает и контролирует использование VoIP в информационной системе;
- соответствующие должностные лица санкционируют использование VoIP.
Сервис безопасного поиска имен (уполномоченные источники). Информационные системы (уполномоченные серверы доменных имен), предоставляющие внешним пользователям сервис поиска имен для доступа к информационным ресурсам организации через Интернет, обеспечивают атрибуты для аутентификации источника данных и контроля целостности данных, чтобы дать пользователям возможность получить гарантии аутентичности и целостности сообщений при получении данных в рамках сетевых транзакций.
дополнительные и усиленные регуляторы безопасности для высокого уровня ИБ
Для высокого уровня информационной безопасности рекомендуется применение следующих дополнительных и усиленных (по сравнению с умеренным уровнем) регуляторов безопасности.
оценка рисков
Сканирование уязвимостей. Средства сканирования уязвимостей включают возможность оперативного изменения списка сканируемых уязвимостей информационной системы. С заданной частотой или после появления сведений о новых критичных для ИС уязвимостях организация изменяет список сканируемых уязвимостей информационной системы.
закупка систем и сервисов
Документация. Следует включить в общий пакет документов документацию от изготовителя/поставщика (при наличии таковой), описывающую детали проектирования и реализации регуляторов безопасности, задействованных в информационной системе, со степенью подробности, достаточной для того, чтобы сделать возможным анализ и тестирование регуляторов (включая функциональные интерфейсы между компонентами регуляторов).
Управление конфигурацией разработчиком. Разработчик информационной системы создает и реализует план управления конфигурацией, контролирующий изменения системы в процессе разработки, прослеживающий дефекты безопасности, требующий авторизации изменений, и предоставляет документацию плана и его реализации.
физическая защита
Контроль доступа к каналам передачи данных. Контролируется физический доступ к линиям распространения и передачи данных, принадлежащим ИС и расположенным в пределах охраняемых границ, чтобы предотвратить неумышленное повреждение, прослушивание, модификацию в процессе передачи, разрыв или физическое искажение линий.
Мониторинг физического доступа. Применяются автоматические механизмы выявления потенциальных вторжений и инициирования реакции на них. Протоколирование доступа. Применяются автоматические механизмы для облегчения поддержки и просмотра регистрационных журналов.
Аварийное электропитание. Необходимо обеспечить долгосрочные альтернативные источники электропитания для информационной системы, способные поддерживать минимальные требуемые эксплуатационные возможности в случае долговременного выхода из строя первичного источника электропитания. Противопожарная защита. Применяются и поддерживаются устройства/системы пожаротушения и обнаружения возгораний, автоматически извещающие о своей активации организацию и аварийные службы.
Защита от затопления. Применяются автоматические механизмы перекрытия воды в случае ее интенсивной утечки.
планирование бесперебойной работы
Обучение. Моделирование событий включается в учебные курсы, чтобы способствовать эффективному реагированию сотрудников на возможные кризисные ситуации.
Тестирование плана обеспечения бесперебойной работы. План обеспечения бесперебойной работы тестируется на запасной производственной площадке, чтобы ознакомить сотрудников с имеющимися возможностями и ресурсами и оценить способность площадки поддерживать непрерывность функционирования. Запасные места хранения. Запасное место хранения конфигурируется так, чтобы облегчить своевременные и эффективные восстановительные действия. Определяются потенциальные проблемы с доступом к запасному месту хранения в случае широкомасштабных аварий или стихийных бедствий и намечаются явные действия по смягчению выявленных проблем.
Запасные места обработки данных. Запасное место обработки данных полностью конфигурируется для поддержания минимальных требуемых
эксплуатационных возможностей и готовности к использованию в качестве производственной площадки.
Телекоммуникационные услуги. Запасной источник телекоммуникационных услуг должен быть в достаточной степени удален территориально от основного, чтобы не подвергаться тем же опасностям, что и основной. Оба источника телекоммуникационных услуг должны иметь адекватные планы обеспечения бесперебойной работы.
Резервное копирование. Для восстановления функций информационной системы выборочно используются резервные копии как часть тестирования плана обеспечения бесперебойной работы. Резервные копии операционной системы и другого критичного для ИС программного обеспечения хранятся в отдельном месте или в огнеупорном контейнере, расположенном отдельно от эксплуатационного ПО.
Восстановление информационной системы. Организация включает полное восстановление информационной системы как часть тестирования плана обеспечения бесперебойной работы.
управление конфигурацией
Базовая конфигурация и опись компонентов информационной системы. Применяются автоматические механизмы, чтобы поддерживать актуальную, полную, точную и легко доступную базовую конфигурацию информационной системы и опись компонентов ИС.
Контроль изменений конфигурации. Автоматические механизмы применяются, чтобы:
- документировать предлагаемые изменения информационной системы;
- извещать соответствующих должностных лиц;
- привлекать внимание к не полученным своевременно утверждающим визам;
- откладывать изменения до получения необходимых утверждающих виз;
- документировать произведенные изменения информационной системы.
Ограничение доступа для изменений. Чтобы проводить в жизнь ограничения доступа и поддерживать протоколирование ограничивающих действий, применяются автоматические механизмы.
Настройки. Автоматические механизмы применяются для централизованного управления, применения и верифицирования настроек.
Минимизация функциональности. С заданной частотой пересматривается вся информационная система с целью идентифицировать и ликвидировать функции, порты, протоколы и иные сервисы, не являющиеся необходимыми.
сопровождение
Периодическое сопровождение. Применяются автоматические механизмы, чтобы обеспечить планирование и проведение периодического сопровождения в соответствии с установленными требованиями, а также актуальность, точность, полноту и доступность регистрационных записей о необходимых и произведенных действиях по сопровождению.
Средства сопровождения. Необходимо досматривать все средства сопровождения (например, диагностическое и тестовое оборудование), вносимые на территорию организации обслуживающим персоналом, на предмет видимых ненадлежащих модификаций. Следует проверять все носители, содержащие диагностические тестовые программы (например, программное обеспечение, используемое для сопровождения и диагностики систем), на предмет наличия вредоносного ПО, прежде чем носители будут применены в информационной системе. Проверке подвергается все оборудование, применяемое в целях сопровождения и способное сохранять информацию, чтобы удостовериться, что в оборудовании не записана принадлежащая организации информация или что оно должным образом санировано перед повторным использованием. Если оборудование не может быть санировано, оно остается на территории организации или уничтожается, за исключением случаев, явно санкционированных соответствующими должностными лицами.
Удаленное сопровождение. Протоколируются все сеансы удаленного сопровождения, а соответствующие должностные лица просматривают регистрационный журнал удаленных сеансов. Установка и использование каналов удаленной диагностики отражаются в плане безопасности информационной системы. Сервисы удаленной диагностики или сопровождения допустимы только в том случае, если обслуживающая организация поддерживает в своей ИС по крайней мере тот же уровень безопасности, что и обслуживаемая.
целостность систем и данных
Защита от вредоносного программного обеспечения. Информационная система автоматически изменяет механизмы защиты от вредоносного программного обеспечения.
Верификация функциональности безопасности. Информационная система в рамках технических возможностей, при старте или перезапуске системы, по команде уполномоченного пользователя и/или периодически с заданной частотой верифицирует корректность работы функций безопасности и извещает системного администратора и/или выключает или перезапускает систему в случае выявления каких-либо аномалий.
Защита от спама. Организация централизованно управляет механизмами защиты от спама.
защита носителей
Доступ к носителям. Применяются либо посты охраны, либо автоматические механизмы для управления доступом к местам хранения носителей, обеспечения защиты от несанкционированного доступа, а также регистрации попыток доступа и доступа предоставленного.
реагирование на нарушения информационной безопасности
Обучение. В учебные курсы включается моделирование событий, чтобы способствовать эффективному реагированию сотрудников на возможные кризисные ситуации.
Тестирование. Для более тщательного и эффективного тестирования возможностей реагирования применяются автоматические механизмы.
Мониторинг. Автоматические механизмы применяются, чтобы способствовать прослеживанию нарушений безопасности, а также сбору и анализу информации о нарушениях.
идентификация и аутентификация
Идентификация и аутентификация пользователей. Информационная система применяет многофакторную аутентификацию.
Управление учетными записями. Применяются автоматические механизмы протоколирования и, при необходимости, уведомления соответствующих лиц о создании, модификации, отключении и терминировании учетных записей.
Управление параллельными сеансами. Информационная система ограничивает число параллельных сеансов для одного пользователя.
Надзор и просмотр. Автоматические механизмы применяются для облегчения просмотра пользовательской активности.
управление доступом
Автоматическая маркировка. Информационная система маркирует выходные данные, используя стандартные соглашения об именовании, чтобы
идентифицировать все специальные инструкции по распространению, обработке и распределению данных.
протоколирование и аудит
Содержимое регистрационных записей. Информационная система обеспечивает возможность централизованного управления содержимым регистрационных записей, генерируемых отдельными компонентами ИС.
Обработка регистрационной информации. Информационная система обеспечивает выдачу предупреждающего сообщения когда доля занятого пространства, отведенного для хранения регистрационной информации, достигает заданного значения.
Мониторинг, анализ и отчет о регистрационной информации. Применение автоматических механизмов, чтобы интегрировать мониторинг, анализ и отчет о регистрационной информации в общий процесс выявления и реагирования на подозрительную активность.
Редукция регистрационной информации и генерация отчетов. Информационная система предоставляет возможность автоматической обработки регистрационной информации о требующих внимания событиях, основываясь на заданных критериях выбора.
защита систем и коммуникаций
Изоляция функций безопасности. Информационная система изолирует функции безопасности от прочих функций.
Целостность передаваемых данных. Необходимо применение криптографических механизмов для распознавания изменений данных в процессе передачи, если данные не защищены альтернативными физическими мерами (например, защитной системой распределения).
Конфиденциальность передаваемых данных. Применение криптографических механизмов для предотвращения несанкционированного раскрытия информации в процессе передачи, если она не защищена альтернативными физическими мерами (например, защитной системой распределения).
Сервис безопасного поиска имен (разрешение имен). Информационные системы (уполномоченные серверы доменных имен), предоставляющие внутренним пользователям сервис поиска имен для доступа к информационным ресурсам, обеспечивают механизмы для аутентификации источника данных и контроля целостности данных, а также выполняют эти действия по запросу клиентских систем.
минимальные требования доверия для регуляторов безопасности
Минимальные требования доверия для регуляторов безопасности предъявляются к определенным процессам и действиям. Специалисты, разрабатывающие и реализующие регуляторы, определяют и применяют (выполняют) эти процессы и действия для повышения степени уверенности в том, что регуляторы реализованы корректно, функционируют в соответствии со спецификациями и дают ожидаемые результаты с точки зрения выполнения предъявляемых к ИС требований информационной безопасности.
На минимальном уровне информационной безопасности необходимо, чтобы регуляторы безопасности были задействованы и удовлетворяли явно заданным в их определении функциональным требованиям.
На умеренном уровне информационной безопасности дополнительно должны выполняться следующие условия. Специалисты, разрабатывающие (реализующие) регуляторы, предоставляют описание их функциональных свойств, достаточно детальное, чтобы было возможно выполнять анализ и тестирование регуляторов. Как неотъемлемая составная часть регуляторов разработчиками документируются и предоставляются распределение обязанностей и конкретные действия, благодаря которым после завершения разработки (реализации) регуляторы должны удовлетворять предъявляемым к ним функциональным требованиям. Технология, по которой разрабатываются регуляторы, должна поддерживать высокую степень уверенности в их полноте, непротиворечивости и корректности.
Рисунок 1. Обеспечение информационной безопасности. Процессный подход.
На высоком уровне информационной безопасности, кроме всего вышеуказанного, необходимо предоставить описание проекта и реализации регуляторов, включая функциональные интерфейсы между их компонентами. От разработчиков требуются свидетельства того, что после завершения разработки (реализации) выполнение предъявляемых к регуляторам требований будет непрерывным и непротиворечивым в масштабах всей информационной системы, и будет поддерживаться возможность повышения эффективности регуляторов.
заключение
Обеспечение информационной безопасности — сложный, многоаспектный процесс, требующий принятия множества решений, анализа множества факторов и требований, порой противоречивых. Наличие категорий и минимальных требований безопасности, а также предопределенного каталога регуляторов безопасности, способно служить базой для системного подхода к обеспечению ИБ - подхода, требующего разумных трудовых и материальных затрат и способного дать практически приемлемые результаты для большинства организаций.
Владимир Галатенко, доктор физико-математических наук
Сетевые решения. Статья была опубликована в номере 09 за 2006 год в рубрике save ass…
