категорирование информации и информационных систем. обеспечение базового уровня информационной безопасности
введение
Мероприятия по обеспечению информационной безопасности (ИБ), как известно, не приносят доходов, с их помощью можно лишь уменьшить ущерб от возможных инцидентов. Поэтому очень важно, чтобы затраты на создание и поддержание ИБ на должном уровне были соразмерны ценности активов организации, связанных с ее информационной системой (ИС). Соразмерность может быть обеспечена категорированием информации и информационной системы, а также выбором регуляторов безопасности на основе результатов категорирования.
категорирование информации и информационных систем
Присвоение категорий безопасности информации и информационным системам производится на основе оценки ущерба, который может быть нанесен нарушениями безопасности. Подобные инциденты могут помешать организации в выполнении возложенной на нее миссии, скомпрометировать активы, поставить компанию в положение нарушителя действующего законодательства, создать угрозу повседневной деятельности, подвергнуть опасности персонал. Категории безопасности используются совместно с данными об уязвимостях и угрозах в процессе анализа рисков, которым подвержена организация.
Существуют три основных аспекта ИБ:
- доступность;
- конфиденциальность;
- целостность.
Вообще говоря, нарушения ИБ могут затрагивать лишь часть этих аспектов, равно как и регуляторы безопасности могут быть специфичны для отдельных аспектов. Поэтому целесообразно оценивать возможный ущерб отдельно для нарушений доступности, конфиденциальности и целостности, а при необходимости можно получить интегральную оценку.
Размер ущерба удобно оценивать по трехуровневой шкале как низкий, умеренный или высокий (Рис. 1).
Рисунок 1. Шкала оценки ущерба при нарушении информационной безопасности.
Потенциальный ущерб для организации оценивается как низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал.
Потенциальный ущерб для компании оценивается как умеренный, если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал.
Потенциальный ущерб для организации оценивается как высокий, если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал, то есть:
- компания теряет способность выполнять все или некоторые из своих основных функций;
- активам организации причиняется крупный ущерб;
- организация несет крупные финансовые потери;
- персоналу наносится тяжелый или катастрофический вред, создающий возможную угрозу жизни или здоровью.
Категорировать необходимо и пользовательскую, и системную информацию, представленную как в электронной форме, так и в бумажном виде. Открытая информация может не иметь категории конфиденциальности. Например, сведения, содержащиеся на общедоступном веб-сервере организации, не имеют категории конфиденциальности, а их доступность и целостность оцениваются как умеренные.
При категорировании информационной системы принимаются во внимание категории хранимой, обрабатываемой и передаваемой средствами ИС информации, а также ценность активов самой ИС, то есть берется максимум категорий по всем видам информации и активов. Для получения интегральной оценки следует взять максимум категорий по основным аспектам информационной безопасности.
минимальные (базовые) требования безопасности
Минимальные (базовые) требования безопасности формулируются в общем виде, без учета категории, присвоенной ИС. Они задают базовый уровень информационной безопасности, им должны удовлетворять все информационные системы. Результаты категорирования важны при выборе регуляторов безопасности, обеспечивающих выполнение требований, сформулированных на основе анализа рисков (Рис. 2).
Рисунок 2. Уровни информационной безопасности.
Минимальные требования безопасности (Рис. 3) охватывают административный, процедурный и программно-технический уровни ИБ и формулируются следующим образом.
Рисунок 3. Базовые требования безопасности к информации и ИС.
Организация должна разработать, документировать и обнародовать официальную политику безопасности и формальные процедуры, направленные на выполнение приведенных ниже требований, и обеспечить эффективную реализацию политики и процедур.
В компании необходимо периодически производить оценку рисков, включая оценку угроз миссии, функционированию, имиджу и репутации организации, ее активам и персоналу. Эти угрозы являются следствием эксплуатации ИС и осуществляемых при этом обработки, хранения и передачи данных. Применительно к закупке систем и сервисов в компании необходимо:
- выделить достаточный объем ресурсов для адекватной защиты ИС;
- при разработке систем учитывать требования ИБ;
- ограничивать использование и установку программного обеспечения;
- обеспечить выделение внешними поставщиками услуг достаточных ресурсов для защиты информации, приложений и/или сервисов.
В области сертификации, аккредитации и оценки безопасности в организации следует проводить:
- постоянный мониторинг регуляторов безопасности, чтобы иметь доверие к их эффективности;
- периодическую оценку регуляторов безопасности, применяемых в ИС, чтобы контролировать их эффективность;
- разработку и претворение в жизнь плана действий по устранению недостатков и уменьшению или устранению уязвимостей в ИС;
- авторизацию введения в эксплуатацию ИС и установление соединений с другими информационными системами.
В области кадровой безопасности необходимо:
- обеспечить надежность (доверенность) должностных лиц, занимающих ответственные посты, а также соответствие этих лиц предъявляемым к данным должностям требованиям безопасности;
- обеспечить защиту информации и информационной системы при проведении дисциплинарных акций, таких как увольнение или перемещение сотрудников; - применять соответствующие официальные санкции к нарушителям политики и процедур безопасности.
Организация должна обеспечить информирование и обучение сотрудников таким образом, чтобы руководители и пользователи ИС знали о рисках, связанных с их деятельностью, и о соответствующих законах, нормативных актах, руководящих документах, стандартах, инструкциях и т.п. Персонал должен иметь соответствующую практическую подготовку для выполнения обязанностей, связанных с информационной безопасностью.
В области планирования необходимо разработать, документировать, периодически изменять и реализовать планы обеспечения безопасности ИС, описывающие регуляторы безопасности (имеющиеся и планируемые) и правила поведения персонала, имеющего доступ к ИС.
С целью планирования бесперебойной работы в компании следует установить, поддерживать и эффективно реализовать планы реагирования на аварийные ситуации, резервного копирования, восстановления после аварий, чтобы обеспечить доступность критичных информационных ресурсов и непрерывность функционирования в аварийных ситуациях.
В плане реагирования на нарушения информационной безопасности организация должна:
- создать действующую структуру для реагирования на инциденты, имея в виду адекватные подготовительные мероприятия, выявление, анализ и локализацию нарушений, восстановление после инцидентов и обслуживание обращений пользователей;
- обеспечить прослеживание, документирование и сообщение об инцидентах соответствующим должностным лицам организации и уполномоченным органам. С целью физической защиты организация должна:
- предоставлять физический доступ к ИС, оборудованию, в производственные помещения только авторизованному персоналу;
- физически защищать оборудование и поддерживающую инфраструктуру ИС;
- обеспечить должные технические условия для функционирования ИС;
- защищать ИС от угроз со стороны окружающей среды;
- обеспечить контроль условий, в которых функционирует ИС;
- обеспечить управление доступом, предоставив доступ к активам ИС только авторизованным пользователям, процессам, действующим от имени этих пользователей, а также устройствам (включая другие ИС) для выполнения разрешенных пользователям транзакций и функций.
Для обеспечения протоколирования и аудита необходимо:
- создавать, защищать и поддерживать регистрационные журналы, позволяющие отслеживать, анализировать, расследовать и готовить отчеты о незаконной, несанкционированной или ненадлежащей активности;
- обеспечить прослеживаемость действий в ИС с точностью до пользователя (подотчетность пользователей).
В плане управления конфигурацией в компании следует:
- установить и поддерживать базовые конфигурации;
- иметь опись (карту) ИС, актуализируемую с учетом жизненного цикла, в которую входят аппаратура, программное обеспечение и документация; - установить и обеспечить практическое применение настроек для конфигурирования средств безопасности в продуктах, входящих в ИС.
Также необходимо обеспечить идентификацию и аутентификацию пользователей ИС, процессов, действующих от имени пользователей, а также устройств как необходимое условие предоставления доступа к ИС.
Применительно к сопровождению необходимо:
- осуществлять периодическое и своевременное обслуживание ИС;
- обеспечить эффективные регуляторы для средств, методов, механизмов и персонала, осуществляющих сопровождение.
В плане защиты носителей необходимо:
- защищать носители данных как цифровые, так и бумажные;
- предоставлять доступ к данным на носителях только авторизованным пользователям;
санировать или уничтожать носители перед выводом из эксплуатации или перед передачей для повторного использования.
С целью защиты систем и коммуникаций необходимо:
- отслеживать, контролировать и защищать коммуникации (то есть передаваемые и принимаемые данные) на внешних и ключевых внутренних границах ИС; - применять архитектурные и аппаратно-программные подходы, повышающие действующий уровень информационной безопасности ИС.
Для обеспечения целостности систем и данных необходимо:
- своевременно идентифицировать дефекты ИС и данных, докладывать о них и исправлять;
- защищать ИС от вредоносного программного обеспечения;
- отслеживать сигналы о нарушениях безопасности и сообщения о новых угрозах для информационной системы и должным образом реагировать на них.
выбор базового набора регуляторов безопасности
Необходимым условием выполнения требований безопасности являются выбор и реализация соответствующих регуляторов безопасности, то есть выработка и применение экономически оправданных контрмер и средств защиты. Регуляторы безопасности подразделяются на административные, процедурные и программно-технические и служат для обеспечения доступности, конфиденциальности и целостности информационной системы и обрабатываемых, хранимых и передаваемых ею данных.
Выбор регуляторов безопасности происходит на основе результатов категорирования данных и информационной системы. Кроме того, следует учесть, какие регуляторы безопасности уже реализованы и для каких имеются конкретные планы реализации, а также требуемую степень доверия к эффективности действующих регуляторов.
Адекватный выбор регуляторов безопасности можно упростить, если производить его из предопределенных базовых наборов, ассоциированных с требуемым уровнем ИБ. Применяя трехуровневую шкалу, используют три базовых набора, соответственно, для минимального (низкого, базового), умеренного и высокого уровня информационной безопасности.
регуляторы безопасности для минимального уровня ИБ
На минимальном уровне информационной безопасности целесообразно применять нижеприведенные административные регуляторы безопасности. По каждому регулятору первым пунктом подразумевается «Политика и процедуры», который указывает на необходимость разработки, распространения, периодического пересмотра и изменения:
- официальной документированной политики регулятора, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
- формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов.
Рисунок 4. Регуляторы безопасности по уровням ИБ.
оценка рисков
Категорирование по требованиям безопасности. Категорирование данных и информационной системы, документирование результатов, включая обоснование установленных категорий; документ заверяется руководством.
Проведение. Оценка рисков и возможного ущерба от несанкционированного доступа, использования, раскрытия, нарушения работы, модификации и/или разрушения данных и/или информационной системы, включая ресурсы, управляемые внешними организациями.
Пересмотр результатов. Пересмотр результатов оценки рисков проводится либо с заданной частотой, либо после существенных изменений в ИС или поддерживающей инфраструктуре, либо после иных событий, способных заметно повлиять на уровень безопасности ИС или ее статус аккредитации.
планирование безопасности
План безопасности ИС. Разработка и реализация для информационной системы плана, в котором описаны требования безопасности для ИС и имеющиеся и планируемые регуляторы безопасности, служащие для выполнения этих требований; документ заверяется руководством.
Изменение плана безопасности ИС. С заданной частотой пересматривается план безопасности ИС. В него вносятся изменения, отражающие изменения в компании и в ее информационной системе либо проблемы, выявленные при реализации плана или при оценке регуляторов безопасности.
Правила поведения. В организации устанавливается и доводится до сведения пользователей ИС набор правил, описывающих обязанности и ожидаемое поведение по отношению к использованию информации и информационной системы. Прежде чем получить доступ к ИС и ее информационным ресурсам, пользователи подписывают подтверждение того, что они прочитали, поняли и согласны выполнять предписанные правила поведения.
Оценка приватности. В компании проводится оценка выполнения в ИС требований приватности.
закупка систем и сервисов
Выделение ресурсов. Определение, документирование и выделение ресурсов, необходимых для адекватной защиты информационной системы в компании, являются частью процессов капитального планирования и управления инвестициями.
Поддержка жизненного цикла. Организация управляет информационной системой, применяя методологию поддержки жизненного цикла с учетом аспектов информационной безопасности.
Закупки. В контракты на закупку включаются требования и/или спецификации безопасности, основанные на результатах оценки рисков.
Документация. Необходимо обеспечить наличие, защиту и распределение авторизованным должностным лицам компании адекватной документации на информационную систему и ее составные части.
Ограничения на использование программного обеспечения. Организация обеспечивает выполнение существующих ограничений на использование программного обеспечения.
Программное обеспечение, устанавливаемое пользователями. Необходимо проводить в жизнь явно сформулированные правила, касающиеся загрузки и установки пользователями программного обеспечения.
Аутсорсинг информационных сервисов. Необходимо следить, чтобы внешние организации, предоставляющие информационные сервисы, применяли адекватные регуляторы безопасности, соответствующие действующему законодательству и условиям контракта, а также отслеживать адекватность регуляторов безопасности.
сертификация, аккредитация и оценка безопасности
Соединения с другими ИС. Авторизация компанией всех соединений своей информационной системы с другими ИС, находящимися вне границ аккредитации, и постоянное отслеживание/контроль этих соединений; подписание уполномоченными должностными лицами соглашения об установлении соединений между системами.
Сертификация по требованиям безопасности. Организация проводит оценку применяемых в ИС регуляторов безопасности, чтобы проверить, насколько корректно они реализованы, функционируют в соответствии со спецификациями и дают ожидаемые результаты с точки зрения выполнения предъявляемых к ИС требований информационной безопасности.
Календарный план мероприятий. В организации разрабатывается и с заданной частотой изменяется календарный план мероприятий. В нем описаны запланированные, реализованные и оцененные корректирующие действия, направленные на устранение всех недостатков, выявленных в процессе оценки регуляторов безопасности, и на уменьшение или устранение известных уязвимостей ИС.
Аккредитация. Компания явным образом санкционирует (осуществляет аккредитацию) ввод информационной системы в эксплуатацию и с заданной частотой, но не реже, чем раз в три года, проводит повторную аккредитацию.
Постоянный мониторинг. Следует обеспечить постоянный мониторинг регуляторов безопасности в ИС.
Рисунок 5. Поддержание необходимого уровня безопасности.
процедурные регуляторы безопасности для минимального уровня ИБ
кадровая безопасность
Категорирование должностей. С каждой должностью ассоциируется определенный уровень риска и устанавливаются критерии отбора кандидатов на эти должности. Целесообразно с заданной частотой пересматривать установленные уровни риска.
Отбор персонала. Прежде чем предоставить доступ к информации и информационной системе, проводится проверка лиц, нуждающихся в подобном доступе. Увольнение. Увольняемый сотрудник лишается доступа к ИС, с ним проводят заключительную беседу, проверяют сдачу всего казенного имущества, в том числе ключей, идентификационных карт, пропусков, и убеждаются, что соответствующие должностные лица имеют доступ к официальным данным, созданным увольняемым сотрудником и хранящимся в информационной системе.
Перемещение персонала. При переходе сотрудника на другую должность организация пересматривает предоставленные ему права доступа к ИС и ее ресурсам, и выполняет соответствующие действия, такие как изготовление новых ключей, идентификационных карт, пропусков, закрытие старых и заведение новых системных счетов, а также смена прав доступа.
Соглашения о доступе. Прежде чем предоставить доступ к информации и информационной системе сотруднику, нуждающемуся в подобном доступе, составляются соответствующие соглашения (например, о неразглашении информации, о надлежащем использовании ИС), а также правила поведения, компания обеспечивает подписание этих соглашений сторонами и с заданной частотой пересматривает их.
Требования безопасности к сотрудникам сторонних организаций. Организация устанавливает требования безопасности, в том числе роли и обязанности, к сотрудникам сторонних организаций (сервисных служб, подрядчиков, разработчиков, поставщиков информационных услуг и услуг управления системами и сетями) и отслеживает обеспечение сторонними организациями адекватного уровня информационной безопасности.
Санкции. В компании применяется формализованный процесс наказания сотрудников, нарушивших установленные политику и процедуры безопасности.
физическая защита
Авторизация физического доступа. В организации составляются и поддерживаются в актуальном состоянии списки сотрудников, имеющих доступ в помещения, в которых расположены компоненты информационной системы (кроме помещений, официально считающихся общедоступными), выпускаются соответствующие удостоверения (бэджи, идентификационные карты, интеллектуальные карты); соответствующие должностные лица с заданной частотой пересматривают и утверждают списки и удостоверения.
Управление физическим доступом. Необходимо контролировать точки физического доступа, в том числе официально определенные точки входа/выхода в помещения, в которых расположены компоненты информационной системы (кроме помещений, официально считающихся общедоступными). Следует проверять предоставленные сотрудникам права, прежде чем разрешить им доступ. Кроме того контролируется доступ в помещения, официально считающиеся общедоступными, в соответствии с проведенной оценкой рисков.
Мониторинг физического доступа. Отслеживается физический доступ к системе с целью выявления и реагирования на нарушения.
Контроль посетителей. Физический доступ к информационной системе контролируется аутентификацией посетителей перед разрешением войти в помещения, где расположены компоненты ИС (кроме помещений, официально считающихся общедоступными).
Протоколирование доступа. В компании поддерживаются журналы посещений помещений (кроме тех, что официально считаются общедоступными), где фиксируются:
- фамилия, имя посетителя и название организации;
- подпись посетителя;
- представленные документы (форму идентификации);
- дата и время доступа (входа и выхода);
- цель посещения;
- фамилия, имя посещаемого лица и его организационная принадлежность.
Соответствующие должностные лица с заданной частотой просматривают журналы посещений.
Аварийное освещение. В компании необходимо применять и поддерживать автоматические системы аварийного освещения, которые включаются при перебоях электропитания и покрывают аварийные выходы и пути эвакуации.
Противопожарная защита. Применяются и поддерживаются устройства/системы пожаротушения и обнаружения возгораний.
Средства контроля температуры и влажности. Отслеживаются и поддерживаются в допустимых пределах температура и влажность в помещениях, содержащих компоненты ИС.
Защита от затопления. Необходимо защищать ИС от затопления и протечек, возникающих из-за повреждения водопровода или в силу иных причин, обеспечивая доступность и исправность кранов, перекрывающих воду, и информируя соответствующих должностных лиц о расположении этих кранов. Доставка и вывоз. В организации контролируются доставка и вывоз компонентов информационной системы (аппаратное и программное обеспечение) и поддерживается информация о месте нахождения этих компонентов.
планирование бесперебойной работы
План обеспечения бесперебойной работы. Разрабатывается и реализуется план обеспечения бесперебойной работы информационной системы, в котором описываются роли, обязанности ответственных должностных лиц, указываются их контактные координаты. Кроме того, в плане прописываются действия, выполняемые при восстановлении ИС после повреждений и аварий. Соответствующие должностные лица пересматривают и утверждают этот план и доводят его до сведения сотрудников, ответственных за бесперебойную работу.
Изменение плана обеспечения бесперебойной работы. С заданной частотой, но не реже одного раза в год, в организации пересматривается план обеспечения бесперебойной работы информационной системы, чтобы отразить изменения в структуре ИС или организации и/или устранить проблемы, выявленные при реализации, выполнении и/или тестировании плана.
Резервное копирование. С заданной частотой проводится резервное копирование содержащихся в информационной системе пользовательских и системных данных (включая данные о состоянии ИС), резервные копии хранятся в местах, защищенных должным образом.
Восстановление информационной системы. В организации применяются механизмы и поддерживающие процедуры, позволяющие восстановить информационную систему после повреждений или аварий.
управление конфигурацией
Базовая конфигурация и опись компонентов информационной системы. В компании разрабатываются, документируются и поддерживаются актуальная базовая конфигурация информационной системы, опись компонентов ИС и соответствующие данные об их владельцах.
Настройки. В компании:
- утверждаются обязательные настройки для продуктов информационных технологий, применяемых в ИС;
- устанавливаются настройки безопасности продуктов информационных технологий в наиболее ограничительный режим, совместимый с эксплуатационными требованиями;
- документируются настройки;
- обеспечиваются должные настройки всех компонентов информационной системы.
сопровождение
Периодическое сопровождение. Планирование, осуществление и документирование повседневного, профилактического и регулярного сопровождения компонентов информационной системы в соответствии со спецификациями изготовителя или поставщика и/или организационными требованиями. Удаленное сопровождение. Организация санкционирует, контролирует и отслеживает удаленно выполняемую деятельность по сопровождению и диагностике. Персонал сопровождения. Необходимо поддерживать список лиц, авторизованных для осуществления сопровождения информационной системы. Только авторизованный персонал осуществляет сопровождение ИС.
целостность систем и данных
Устранение дефектов. Идентификация дефектов информационной системы, информирование о них и исправление.
Защита от вредоносного программного обеспечения. В компании реализуется в информационной системе защита от вредоносного программного обеспечения, включая возможность автоматических обновлений.
Сигналы о нарушениях безопасности и сообщения о новых угрозах. Необходимо регулярно отслеживать сигналы о нарушениях безопасности и сообщения о новых угрозах для ИС, доводить их до сведения соответствующих должностных лиц и должным образом реагировать на них.
защита носителей
Доступ к носителям. Необходимо обеспечить, чтобы только авторизованные пользователи имели доступ к информации в печатной форме или на цифровых носителях, изъятых из информационной системы.
Санация и вывод из эксплуатации. Организация:
- санирует носители (как бумажные, так и цифровые) перед выводом из эксплуатации или передачей для повторного использования;
- прослеживает, документирует и верифицирует деятельность по санации носителей;
- периодически тестирует санирующее оборудование и процедуры, чтобы убедиться в корректности их функционирования.
реагирование на нарушения информационной безопасности
Реагирование. В компании формируются структуры для реагирования на нарушения информационной безопасности (группа реагирования), включая подготовку, выявление и анализ, локализацию, ликвидацию воздействия и восстановление после нарушений.
Доклады о нарушениях. Необходимо своевременно доводить информацию о нарушениях ИБ до сведения уполномоченных должностных лиц.
Помощь. Формирование структуры для выдачи рекомендаций и оказания помощи пользователям ИС при реагировании на нарушения ИБ и докладах о них; эта структура является неотъемлемой составной частью группы реагирования.
информирование и обучение
Информирование о проблемах ИБ. Следует обеспечить, чтобы до всех пользователей, включая руководителей, доводилась основная информация по проблематике ИБ, прежде чем этим пользователям будет предоставлен доступ к ИС; подобное информирование должно продолжаться и дальше с заданной частотой, но не реже, чем раз в год.
Обучение по проблематике ИБ. Необходимо определить должностных лиц, играющих важную роль и имеющих ответственные обязанности по обеспечению информационной безопасности ИС, документировать эти роли и обязанности и обеспечить соответствующее обучение указанных лиц, прежде чем предоставить им доступ к ИС. Подобное обучение должно продолжаться и дальше с заданной частотой.
Документирование обучения по проблематике ИБ. В компании документируется и отслеживается ход обучения каждого сотрудника по проблематике ИБ, включая вводный курс и курсы, специфичные для ИС.
Контакты с группами и ассоциациями информационной безопасности. Целесообразно установить и поддерживать контакты с группами, форумами и ассоциациями, специализирующимися в области информационной безопасности, чтобы быть в курсе современного состояния ИБ, передовых рекомендуемых защитных средств, методов и технологий.
программно-технические регуляторы безопасности для минимального уровня ИБ
идентификация и аутентификация
Идентификация и аутентификация пользователей. Информационная система однозначно идентифицирует и аутентифицирует пользователей (или процессы, действующие от имени пользователей).
Управление идентификаторами. Организация управляет идентификаторами пользователей посредством:
- уникальной идентификации каждого пользователя;
- верификации идентификатора каждого пользователя;
- получения официальной санкции от уполномоченных должностных лиц на выпуск идентификатора пользователя;
- обеспечения выпуска идентификатора для нужного пользователя;
- прекращения действия идентификатора пользователя после заданного периода отсутствия активности;
- архивирования идентификаторов пользователей.
Управление аутентификаторами. Компания управляет аутентификаторами в информационной системе (токенами, сертификатами в инфраструктуре открытых ключей, биометрическими данными, паролями, ключевыми картами и т.п.) посредством:
- определения начального содержимого аутентификаторов;
- регламентацией административных процедур начального распространения аутентификаторов, замещения утерянных, скомпрометированных или поврежденных аутентификаторов, а также отзыва аутентификаторов;
- изменения подразумеваемых аутентификаторов после установки информационной системы.
Отклик аутентификаторов. Информационная система скрывает эхо-отображение аутентификационной информации в процессе аутентификации, чтобы защитить эту информацию от возможного использования неавторизованными лицами.
Аутентификация по отношению к криптографическим модулям. Для аутентификации по отношению к криптографическим модулям информационная система применяет методы, удовлетворяющие требованиям стандартов на подобные модули.
управление доступом
Управление учетными записями. Организация управляет учетными записями в информационной системе, включая их создание, активацию, модификацию, пересмотр (с заданной частотой), отключение и удаление.
Проведение в жизнь. Информационная система проводит в жизнь присвоенные привилегии для управления доступом к системе в соответствии с применимой политикой.
Неудачные попытки входа. Задается ограничение на число последовательных неудачных попыток доступа со стороны пользователя в течение заданного промежутка времени. При превышении пользовательская учетная запись автоматически запирается или задерживается по заданному алгоритму выдача приглашения на вход на заданное время.
Предупреждение об использовании системы. Информационная система отображает официально одобренное предупреждающее сообщение об использовании системы, прежде чем предоставить доступ к ней, информируя потенциальных пользователей:
- об организационной принадлежности системы;
- о возможном мониторинге, протоколировании и аудите использования системы;
- о запрете и возможном наказании за несанкционированное использование системы;
- о согласии пользователя на мониторинг и протоколирование в случае использования системы; предупреждающее сообщение содержит соответствующие положения политики безопасности и остается на экране, пока пользователь не предпримет явных действий для входа в ИС.
Надзор и просмотр. Организация надзирает и проверяет действия пользователей в отношении проведения в жизнь и использования имеющихся в ИС регуляторов доступа.
Действия, разрешенные без идентификации и аутентификации. Определение конкретных действий пользователей, которые могут быть выполнены в информационной системе без идентификации и аутентификации.
Удаленный доступ. Документирование, отслеживание и контроль всех видов удаленного доступа к ИС (например, через модемные входы или через Интернет), включая удаленный доступ для выполнения привилегированных действий; соответствующие должностные лица санкционируют применение каждого вида удаленного доступа и авторизуют для его применения только тех пользователей, которым он необходим.
Ограничения на беспроводной доступ. Организация:
- устанавливает ограничения на использование и руководит реализацией беспроводных технологий;
- документирует, отслеживает и контролирует беспроводной доступ к ИС; соответствующие должностные лица санкционируют применение беспроводных технологий.
Персональные информационные системы. Ограничение применения персональных информационных систем для производственных нужд, включая обработку, хранение и передачу производственной информации.
протоколирование и аудит
Протоколируемые события. Информационная система генерирует регистрационные записи для заданных событий.
Содержимое регистрационных записей. Информационная система сохраняет в регистрационных записях достаточно информации, чтобы установить, какое событие произошло, что послужило источником события, каким оказался исход события.
Ресурсы для хранения регистрационной информации. Необходимо выделять достаточный объем ресурсов для хранения регистрационной информации и конфигурировать протоколирование так, чтобы не допустить исчерпания этих ресурсов.
Обработка регистрационной информации. В случае сбоя протоколирования или исчерпания ресурсов хранения регистрационной информации информационная система предупреждает соответствующих должностных лиц и предпринимает заданные дополнительные действия.
Защита регистрационной информации. Информационная система защищает регистрационную информацию и средства протоколирования/аудита от несанкционированного доступа, модификации и удаления.
Сохранение регистрационной информации. Следует сохранять регистрационную информацию в течение заданного времени, чтобы обеспечить поддержку расследований ранее произошедших нарушений информационной безопасности и выполнение требований действующего законодательства и организационных требований сохранения информации.
защита систем и коммуникаций
Защита от атак на доступность. Информационная система защищает от атак на доступность заданных видов или ограничивает их воздействие. Защита периметра. Информационная система отслеживает и контролирует коммуникации на своих внешних и ключевых внутренних границах ИС. Применение узаконенной криптографии. Если в информационной системе применяются криптографические средства, они должны удовлетворять требованиям действующего законодательства, технических регламентов, стандартов, руководящих и нормативных документов, отраслевых и организационных стандартов.
Защита общедоступных систем. Информационная система обеспечивает целостность данных и приложений для общедоступных систем.
Продолжение следует.
Владимир Галатенко, доктор физико-математических наук
Мероприятия по обеспечению информационной безопасности (ИБ), как известно, не приносят доходов, с их помощью можно лишь уменьшить ущерб от возможных инцидентов. Поэтому очень важно, чтобы затраты на создание и поддержание ИБ на должном уровне были соразмерны ценности активов организации, связанных с ее информационной системой (ИС). Соразмерность может быть обеспечена категорированием информации и информационной системы, а также выбором регуляторов безопасности на основе результатов категорирования.
категорирование информации и информационных систем
Присвоение категорий безопасности информации и информационным системам производится на основе оценки ущерба, который может быть нанесен нарушениями безопасности. Подобные инциденты могут помешать организации в выполнении возложенной на нее миссии, скомпрометировать активы, поставить компанию в положение нарушителя действующего законодательства, создать угрозу повседневной деятельности, подвергнуть опасности персонал. Категории безопасности используются совместно с данными об уязвимостях и угрозах в процессе анализа рисков, которым подвержена организация.
Существуют три основных аспекта ИБ:
- доступность;
- конфиденциальность;
- целостность.
Вообще говоря, нарушения ИБ могут затрагивать лишь часть этих аспектов, равно как и регуляторы безопасности могут быть специфичны для отдельных аспектов. Поэтому целесообразно оценивать возможный ущерб отдельно для нарушений доступности, конфиденциальности и целостности, а при необходимости можно получить интегральную оценку.
Размер ущерба удобно оценивать по трехуровневой шкале как низкий, умеренный или высокий (Рис. 1).
Рисунок 1. Шкала оценки ущерба при нарушении информационной безопасности.
Потенциальный ущерб для организации оценивается как низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал.
Потенциальный ущерб для компании оценивается как умеренный, если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал.
Потенциальный ущерб для организации оценивается как высокий, если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал, то есть:
- компания теряет способность выполнять все или некоторые из своих основных функций;
- активам организации причиняется крупный ущерб;
- организация несет крупные финансовые потери;
- персоналу наносится тяжелый или катастрофический вред, создающий возможную угрозу жизни или здоровью.
Категорировать необходимо и пользовательскую, и системную информацию, представленную как в электронной форме, так и в бумажном виде. Открытая информация может не иметь категории конфиденциальности. Например, сведения, содержащиеся на общедоступном веб-сервере организации, не имеют категории конфиденциальности, а их доступность и целостность оцениваются как умеренные.
При категорировании информационной системы принимаются во внимание категории хранимой, обрабатываемой и передаваемой средствами ИС информации, а также ценность активов самой ИС, то есть берется максимум категорий по всем видам информации и активов. Для получения интегральной оценки следует взять максимум категорий по основным аспектам информационной безопасности.
минимальные (базовые) требования безопасности
Минимальные (базовые) требования безопасности формулируются в общем виде, без учета категории, присвоенной ИС. Они задают базовый уровень информационной безопасности, им должны удовлетворять все информационные системы. Результаты категорирования важны при выборе регуляторов безопасности, обеспечивающих выполнение требований, сформулированных на основе анализа рисков (Рис. 2).
Рисунок 2. Уровни информационной безопасности.
Минимальные требования безопасности (Рис. 3) охватывают административный, процедурный и программно-технический уровни ИБ и формулируются следующим образом.
Рисунок 3. Базовые требования безопасности к информации и ИС.
Организация должна разработать, документировать и обнародовать официальную политику безопасности и формальные процедуры, направленные на выполнение приведенных ниже требований, и обеспечить эффективную реализацию политики и процедур.
В компании необходимо периодически производить оценку рисков, включая оценку угроз миссии, функционированию, имиджу и репутации организации, ее активам и персоналу. Эти угрозы являются следствием эксплуатации ИС и осуществляемых при этом обработки, хранения и передачи данных. Применительно к закупке систем и сервисов в компании необходимо:
- выделить достаточный объем ресурсов для адекватной защиты ИС;
- при разработке систем учитывать требования ИБ;
- ограничивать использование и установку программного обеспечения;
- обеспечить выделение внешними поставщиками услуг достаточных ресурсов для защиты информации, приложений и/или сервисов.
В области сертификации, аккредитации и оценки безопасности в организации следует проводить:
- постоянный мониторинг регуляторов безопасности, чтобы иметь доверие к их эффективности;
- периодическую оценку регуляторов безопасности, применяемых в ИС, чтобы контролировать их эффективность;
- разработку и претворение в жизнь плана действий по устранению недостатков и уменьшению или устранению уязвимостей в ИС;
- авторизацию введения в эксплуатацию ИС и установление соединений с другими информационными системами.
В области кадровой безопасности необходимо:
- обеспечить надежность (доверенность) должностных лиц, занимающих ответственные посты, а также соответствие этих лиц предъявляемым к данным должностям требованиям безопасности;
- обеспечить защиту информации и информационной системы при проведении дисциплинарных акций, таких как увольнение или перемещение сотрудников; - применять соответствующие официальные санкции к нарушителям политики и процедур безопасности.
Организация должна обеспечить информирование и обучение сотрудников таким образом, чтобы руководители и пользователи ИС знали о рисках, связанных с их деятельностью, и о соответствующих законах, нормативных актах, руководящих документах, стандартах, инструкциях и т.п. Персонал должен иметь соответствующую практическую подготовку для выполнения обязанностей, связанных с информационной безопасностью.
В области планирования необходимо разработать, документировать, периодически изменять и реализовать планы обеспечения безопасности ИС, описывающие регуляторы безопасности (имеющиеся и планируемые) и правила поведения персонала, имеющего доступ к ИС.
С целью планирования бесперебойной работы в компании следует установить, поддерживать и эффективно реализовать планы реагирования на аварийные ситуации, резервного копирования, восстановления после аварий, чтобы обеспечить доступность критичных информационных ресурсов и непрерывность функционирования в аварийных ситуациях.
В плане реагирования на нарушения информационной безопасности организация должна:
- создать действующую структуру для реагирования на инциденты, имея в виду адекватные подготовительные мероприятия, выявление, анализ и локализацию нарушений, восстановление после инцидентов и обслуживание обращений пользователей;
- обеспечить прослеживание, документирование и сообщение об инцидентах соответствующим должностным лицам организации и уполномоченным органам. С целью физической защиты организация должна:
- предоставлять физический доступ к ИС, оборудованию, в производственные помещения только авторизованному персоналу;
- физически защищать оборудование и поддерживающую инфраструктуру ИС;
- обеспечить должные технические условия для функционирования ИС;
- защищать ИС от угроз со стороны окружающей среды;
- обеспечить контроль условий, в которых функционирует ИС;
- обеспечить управление доступом, предоставив доступ к активам ИС только авторизованным пользователям, процессам, действующим от имени этих пользователей, а также устройствам (включая другие ИС) для выполнения разрешенных пользователям транзакций и функций.
Для обеспечения протоколирования и аудита необходимо:
- создавать, защищать и поддерживать регистрационные журналы, позволяющие отслеживать, анализировать, расследовать и готовить отчеты о незаконной, несанкционированной или ненадлежащей активности;
- обеспечить прослеживаемость действий в ИС с точностью до пользователя (подотчетность пользователей).
В плане управления конфигурацией в компании следует:
- установить и поддерживать базовые конфигурации;
- иметь опись (карту) ИС, актуализируемую с учетом жизненного цикла, в которую входят аппаратура, программное обеспечение и документация; - установить и обеспечить практическое применение настроек для конфигурирования средств безопасности в продуктах, входящих в ИС.
Также необходимо обеспечить идентификацию и аутентификацию пользователей ИС, процессов, действующих от имени пользователей, а также устройств как необходимое условие предоставления доступа к ИС.
Применительно к сопровождению необходимо:
- осуществлять периодическое и своевременное обслуживание ИС;
- обеспечить эффективные регуляторы для средств, методов, механизмов и персонала, осуществляющих сопровождение.
В плане защиты носителей необходимо:
- защищать носители данных как цифровые, так и бумажные;
- предоставлять доступ к данным на носителях только авторизованным пользователям;
санировать или уничтожать носители перед выводом из эксплуатации или перед передачей для повторного использования.
С целью защиты систем и коммуникаций необходимо:
- отслеживать, контролировать и защищать коммуникации (то есть передаваемые и принимаемые данные) на внешних и ключевых внутренних границах ИС; - применять архитектурные и аппаратно-программные подходы, повышающие действующий уровень информационной безопасности ИС.
Для обеспечения целостности систем и данных необходимо:
- своевременно идентифицировать дефекты ИС и данных, докладывать о них и исправлять;
- защищать ИС от вредоносного программного обеспечения;
- отслеживать сигналы о нарушениях безопасности и сообщения о новых угрозах для информационной системы и должным образом реагировать на них.
выбор базового набора регуляторов безопасности
Необходимым условием выполнения требований безопасности являются выбор и реализация соответствующих регуляторов безопасности, то есть выработка и применение экономически оправданных контрмер и средств защиты. Регуляторы безопасности подразделяются на административные, процедурные и программно-технические и служат для обеспечения доступности, конфиденциальности и целостности информационной системы и обрабатываемых, хранимых и передаваемых ею данных.
Выбор регуляторов безопасности происходит на основе результатов категорирования данных и информационной системы. Кроме того, следует учесть, какие регуляторы безопасности уже реализованы и для каких имеются конкретные планы реализации, а также требуемую степень доверия к эффективности действующих регуляторов.
Адекватный выбор регуляторов безопасности можно упростить, если производить его из предопределенных базовых наборов, ассоциированных с требуемым уровнем ИБ. Применяя трехуровневую шкалу, используют три базовых набора, соответственно, для минимального (низкого, базового), умеренного и высокого уровня информационной безопасности.
регуляторы безопасности для минимального уровня ИБ
На минимальном уровне информационной безопасности целесообразно применять нижеприведенные административные регуляторы безопасности. По каждому регулятору первым пунктом подразумевается «Политика и процедуры», который указывает на необходимость разработки, распространения, периодического пересмотра и изменения:
- официальной документированной политики регулятора, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
- формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов.
Рисунок 4. Регуляторы безопасности по уровням ИБ.
оценка рисков
Категорирование по требованиям безопасности. Категорирование данных и информационной системы, документирование результатов, включая обоснование установленных категорий; документ заверяется руководством.
Проведение. Оценка рисков и возможного ущерба от несанкционированного доступа, использования, раскрытия, нарушения работы, модификации и/или разрушения данных и/или информационной системы, включая ресурсы, управляемые внешними организациями.
Пересмотр результатов. Пересмотр результатов оценки рисков проводится либо с заданной частотой, либо после существенных изменений в ИС или поддерживающей инфраструктуре, либо после иных событий, способных заметно повлиять на уровень безопасности ИС или ее статус аккредитации.
планирование безопасности
План безопасности ИС. Разработка и реализация для информационной системы плана, в котором описаны требования безопасности для ИС и имеющиеся и планируемые регуляторы безопасности, служащие для выполнения этих требований; документ заверяется руководством.
Изменение плана безопасности ИС. С заданной частотой пересматривается план безопасности ИС. В него вносятся изменения, отражающие изменения в компании и в ее информационной системе либо проблемы, выявленные при реализации плана или при оценке регуляторов безопасности.
Правила поведения. В организации устанавливается и доводится до сведения пользователей ИС набор правил, описывающих обязанности и ожидаемое поведение по отношению к использованию информации и информационной системы. Прежде чем получить доступ к ИС и ее информационным ресурсам, пользователи подписывают подтверждение того, что они прочитали, поняли и согласны выполнять предписанные правила поведения.
Оценка приватности. В компании проводится оценка выполнения в ИС требований приватности.
закупка систем и сервисов
Выделение ресурсов. Определение, документирование и выделение ресурсов, необходимых для адекватной защиты информационной системы в компании, являются частью процессов капитального планирования и управления инвестициями.
Поддержка жизненного цикла. Организация управляет информационной системой, применяя методологию поддержки жизненного цикла с учетом аспектов информационной безопасности.
Закупки. В контракты на закупку включаются требования и/или спецификации безопасности, основанные на результатах оценки рисков.
Документация. Необходимо обеспечить наличие, защиту и распределение авторизованным должностным лицам компании адекватной документации на информационную систему и ее составные части.
Ограничения на использование программного обеспечения. Организация обеспечивает выполнение существующих ограничений на использование программного обеспечения.
Программное обеспечение, устанавливаемое пользователями. Необходимо проводить в жизнь явно сформулированные правила, касающиеся загрузки и установки пользователями программного обеспечения.
Аутсорсинг информационных сервисов. Необходимо следить, чтобы внешние организации, предоставляющие информационные сервисы, применяли адекватные регуляторы безопасности, соответствующие действующему законодательству и условиям контракта, а также отслеживать адекватность регуляторов безопасности.
сертификация, аккредитация и оценка безопасности
Соединения с другими ИС. Авторизация компанией всех соединений своей информационной системы с другими ИС, находящимися вне границ аккредитации, и постоянное отслеживание/контроль этих соединений; подписание уполномоченными должностными лицами соглашения об установлении соединений между системами.
Сертификация по требованиям безопасности. Организация проводит оценку применяемых в ИС регуляторов безопасности, чтобы проверить, насколько корректно они реализованы, функционируют в соответствии со спецификациями и дают ожидаемые результаты с точки зрения выполнения предъявляемых к ИС требований информационной безопасности.
Календарный план мероприятий. В организации разрабатывается и с заданной частотой изменяется календарный план мероприятий. В нем описаны запланированные, реализованные и оцененные корректирующие действия, направленные на устранение всех недостатков, выявленных в процессе оценки регуляторов безопасности, и на уменьшение или устранение известных уязвимостей ИС.
Аккредитация. Компания явным образом санкционирует (осуществляет аккредитацию) ввод информационной системы в эксплуатацию и с заданной частотой, но не реже, чем раз в три года, проводит повторную аккредитацию.
Постоянный мониторинг. Следует обеспечить постоянный мониторинг регуляторов безопасности в ИС.
Рисунок 5. Поддержание необходимого уровня безопасности.
процедурные регуляторы безопасности для минимального уровня ИБ
кадровая безопасность
Категорирование должностей. С каждой должностью ассоциируется определенный уровень риска и устанавливаются критерии отбора кандидатов на эти должности. Целесообразно с заданной частотой пересматривать установленные уровни риска.
Отбор персонала. Прежде чем предоставить доступ к информации и информационной системе, проводится проверка лиц, нуждающихся в подобном доступе. Увольнение. Увольняемый сотрудник лишается доступа к ИС, с ним проводят заключительную беседу, проверяют сдачу всего казенного имущества, в том числе ключей, идентификационных карт, пропусков, и убеждаются, что соответствующие должностные лица имеют доступ к официальным данным, созданным увольняемым сотрудником и хранящимся в информационной системе.
Перемещение персонала. При переходе сотрудника на другую должность организация пересматривает предоставленные ему права доступа к ИС и ее ресурсам, и выполняет соответствующие действия, такие как изготовление новых ключей, идентификационных карт, пропусков, закрытие старых и заведение новых системных счетов, а также смена прав доступа.
Соглашения о доступе. Прежде чем предоставить доступ к информации и информационной системе сотруднику, нуждающемуся в подобном доступе, составляются соответствующие соглашения (например, о неразглашении информации, о надлежащем использовании ИС), а также правила поведения, компания обеспечивает подписание этих соглашений сторонами и с заданной частотой пересматривает их.
Требования безопасности к сотрудникам сторонних организаций. Организация устанавливает требования безопасности, в том числе роли и обязанности, к сотрудникам сторонних организаций (сервисных служб, подрядчиков, разработчиков, поставщиков информационных услуг и услуг управления системами и сетями) и отслеживает обеспечение сторонними организациями адекватного уровня информационной безопасности.
Санкции. В компании применяется формализованный процесс наказания сотрудников, нарушивших установленные политику и процедуры безопасности.
физическая защита
Авторизация физического доступа. В организации составляются и поддерживаются в актуальном состоянии списки сотрудников, имеющих доступ в помещения, в которых расположены компоненты информационной системы (кроме помещений, официально считающихся общедоступными), выпускаются соответствующие удостоверения (бэджи, идентификационные карты, интеллектуальные карты); соответствующие должностные лица с заданной частотой пересматривают и утверждают списки и удостоверения.
Управление физическим доступом. Необходимо контролировать точки физического доступа, в том числе официально определенные точки входа/выхода в помещения, в которых расположены компоненты информационной системы (кроме помещений, официально считающихся общедоступными). Следует проверять предоставленные сотрудникам права, прежде чем разрешить им доступ. Кроме того контролируется доступ в помещения, официально считающиеся общедоступными, в соответствии с проведенной оценкой рисков.
Мониторинг физического доступа. Отслеживается физический доступ к системе с целью выявления и реагирования на нарушения.
Контроль посетителей. Физический доступ к информационной системе контролируется аутентификацией посетителей перед разрешением войти в помещения, где расположены компоненты ИС (кроме помещений, официально считающихся общедоступными).
Протоколирование доступа. В компании поддерживаются журналы посещений помещений (кроме тех, что официально считаются общедоступными), где фиксируются:
- фамилия, имя посетителя и название организации;
- подпись посетителя;
- представленные документы (форму идентификации);
- дата и время доступа (входа и выхода);
- цель посещения;
- фамилия, имя посещаемого лица и его организационная принадлежность.
Соответствующие должностные лица с заданной частотой просматривают журналы посещений.
Аварийное освещение. В компании необходимо применять и поддерживать автоматические системы аварийного освещения, которые включаются при перебоях электропитания и покрывают аварийные выходы и пути эвакуации.
Противопожарная защита. Применяются и поддерживаются устройства/системы пожаротушения и обнаружения возгораний.
Средства контроля температуры и влажности. Отслеживаются и поддерживаются в допустимых пределах температура и влажность в помещениях, содержащих компоненты ИС.
Защита от затопления. Необходимо защищать ИС от затопления и протечек, возникающих из-за повреждения водопровода или в силу иных причин, обеспечивая доступность и исправность кранов, перекрывающих воду, и информируя соответствующих должностных лиц о расположении этих кранов. Доставка и вывоз. В организации контролируются доставка и вывоз компонентов информационной системы (аппаратное и программное обеспечение) и поддерживается информация о месте нахождения этих компонентов.
планирование бесперебойной работы
План обеспечения бесперебойной работы. Разрабатывается и реализуется план обеспечения бесперебойной работы информационной системы, в котором описываются роли, обязанности ответственных должностных лиц, указываются их контактные координаты. Кроме того, в плане прописываются действия, выполняемые при восстановлении ИС после повреждений и аварий. Соответствующие должностные лица пересматривают и утверждают этот план и доводят его до сведения сотрудников, ответственных за бесперебойную работу.
Изменение плана обеспечения бесперебойной работы. С заданной частотой, но не реже одного раза в год, в организации пересматривается план обеспечения бесперебойной работы информационной системы, чтобы отразить изменения в структуре ИС или организации и/или устранить проблемы, выявленные при реализации, выполнении и/или тестировании плана.
Резервное копирование. С заданной частотой проводится резервное копирование содержащихся в информационной системе пользовательских и системных данных (включая данные о состоянии ИС), резервные копии хранятся в местах, защищенных должным образом.
Восстановление информационной системы. В организации применяются механизмы и поддерживающие процедуры, позволяющие восстановить информационную систему после повреждений или аварий.
управление конфигурацией
Базовая конфигурация и опись компонентов информационной системы. В компании разрабатываются, документируются и поддерживаются актуальная базовая конфигурация информационной системы, опись компонентов ИС и соответствующие данные об их владельцах.
Настройки. В компании:
- утверждаются обязательные настройки для продуктов информационных технологий, применяемых в ИС;
- устанавливаются настройки безопасности продуктов информационных технологий в наиболее ограничительный режим, совместимый с эксплуатационными требованиями;
- документируются настройки;
- обеспечиваются должные настройки всех компонентов информационной системы.
сопровождение
Периодическое сопровождение. Планирование, осуществление и документирование повседневного, профилактического и регулярного сопровождения компонентов информационной системы в соответствии со спецификациями изготовителя или поставщика и/или организационными требованиями. Удаленное сопровождение. Организация санкционирует, контролирует и отслеживает удаленно выполняемую деятельность по сопровождению и диагностике. Персонал сопровождения. Необходимо поддерживать список лиц, авторизованных для осуществления сопровождения информационной системы. Только авторизованный персонал осуществляет сопровождение ИС.
целостность систем и данных
Устранение дефектов. Идентификация дефектов информационной системы, информирование о них и исправление.
Защита от вредоносного программного обеспечения. В компании реализуется в информационной системе защита от вредоносного программного обеспечения, включая возможность автоматических обновлений.
Сигналы о нарушениях безопасности и сообщения о новых угрозах. Необходимо регулярно отслеживать сигналы о нарушениях безопасности и сообщения о новых угрозах для ИС, доводить их до сведения соответствующих должностных лиц и должным образом реагировать на них.
защита носителей
Доступ к носителям. Необходимо обеспечить, чтобы только авторизованные пользователи имели доступ к информации в печатной форме или на цифровых носителях, изъятых из информационной системы.
Санация и вывод из эксплуатации. Организация:
- санирует носители (как бумажные, так и цифровые) перед выводом из эксплуатации или передачей для повторного использования;
- прослеживает, документирует и верифицирует деятельность по санации носителей;
- периодически тестирует санирующее оборудование и процедуры, чтобы убедиться в корректности их функционирования.
реагирование на нарушения информационной безопасности
Реагирование. В компании формируются структуры для реагирования на нарушения информационной безопасности (группа реагирования), включая подготовку, выявление и анализ, локализацию, ликвидацию воздействия и восстановление после нарушений.
Доклады о нарушениях. Необходимо своевременно доводить информацию о нарушениях ИБ до сведения уполномоченных должностных лиц.
Помощь. Формирование структуры для выдачи рекомендаций и оказания помощи пользователям ИС при реагировании на нарушения ИБ и докладах о них; эта структура является неотъемлемой составной частью группы реагирования.
информирование и обучение
Информирование о проблемах ИБ. Следует обеспечить, чтобы до всех пользователей, включая руководителей, доводилась основная информация по проблематике ИБ, прежде чем этим пользователям будет предоставлен доступ к ИС; подобное информирование должно продолжаться и дальше с заданной частотой, но не реже, чем раз в год.
Обучение по проблематике ИБ. Необходимо определить должностных лиц, играющих важную роль и имеющих ответственные обязанности по обеспечению информационной безопасности ИС, документировать эти роли и обязанности и обеспечить соответствующее обучение указанных лиц, прежде чем предоставить им доступ к ИС. Подобное обучение должно продолжаться и дальше с заданной частотой.
Документирование обучения по проблематике ИБ. В компании документируется и отслеживается ход обучения каждого сотрудника по проблематике ИБ, включая вводный курс и курсы, специфичные для ИС.
Контакты с группами и ассоциациями информационной безопасности. Целесообразно установить и поддерживать контакты с группами, форумами и ассоциациями, специализирующимися в области информационной безопасности, чтобы быть в курсе современного состояния ИБ, передовых рекомендуемых защитных средств, методов и технологий.
программно-технические регуляторы безопасности для минимального уровня ИБ
идентификация и аутентификация
Идентификация и аутентификация пользователей. Информационная система однозначно идентифицирует и аутентифицирует пользователей (или процессы, действующие от имени пользователей).
Управление идентификаторами. Организация управляет идентификаторами пользователей посредством:
- уникальной идентификации каждого пользователя;
- верификации идентификатора каждого пользователя;
- получения официальной санкции от уполномоченных должностных лиц на выпуск идентификатора пользователя;
- обеспечения выпуска идентификатора для нужного пользователя;
- прекращения действия идентификатора пользователя после заданного периода отсутствия активности;
- архивирования идентификаторов пользователей.
Управление аутентификаторами. Компания управляет аутентификаторами в информационной системе (токенами, сертификатами в инфраструктуре открытых ключей, биометрическими данными, паролями, ключевыми картами и т.п.) посредством:
- определения начального содержимого аутентификаторов;
- регламентацией административных процедур начального распространения аутентификаторов, замещения утерянных, скомпрометированных или поврежденных аутентификаторов, а также отзыва аутентификаторов;
- изменения подразумеваемых аутентификаторов после установки информационной системы.
Отклик аутентификаторов. Информационная система скрывает эхо-отображение аутентификационной информации в процессе аутентификации, чтобы защитить эту информацию от возможного использования неавторизованными лицами.
Аутентификация по отношению к криптографическим модулям. Для аутентификации по отношению к криптографическим модулям информационная система применяет методы, удовлетворяющие требованиям стандартов на подобные модули.
управление доступом
Управление учетными записями. Организация управляет учетными записями в информационной системе, включая их создание, активацию, модификацию, пересмотр (с заданной частотой), отключение и удаление.
Проведение в жизнь. Информационная система проводит в жизнь присвоенные привилегии для управления доступом к системе в соответствии с применимой политикой.
Неудачные попытки входа. Задается ограничение на число последовательных неудачных попыток доступа со стороны пользователя в течение заданного промежутка времени. При превышении пользовательская учетная запись автоматически запирается или задерживается по заданному алгоритму выдача приглашения на вход на заданное время.
Предупреждение об использовании системы. Информационная система отображает официально одобренное предупреждающее сообщение об использовании системы, прежде чем предоставить доступ к ней, информируя потенциальных пользователей:
- об организационной принадлежности системы;
- о возможном мониторинге, протоколировании и аудите использования системы;
- о запрете и возможном наказании за несанкционированное использование системы;
- о согласии пользователя на мониторинг и протоколирование в случае использования системы; предупреждающее сообщение содержит соответствующие положения политики безопасности и остается на экране, пока пользователь не предпримет явных действий для входа в ИС.
Надзор и просмотр. Организация надзирает и проверяет действия пользователей в отношении проведения в жизнь и использования имеющихся в ИС регуляторов доступа.
Действия, разрешенные без идентификации и аутентификации. Определение конкретных действий пользователей, которые могут быть выполнены в информационной системе без идентификации и аутентификации.
Удаленный доступ. Документирование, отслеживание и контроль всех видов удаленного доступа к ИС (например, через модемные входы или через Интернет), включая удаленный доступ для выполнения привилегированных действий; соответствующие должностные лица санкционируют применение каждого вида удаленного доступа и авторизуют для его применения только тех пользователей, которым он необходим.
Ограничения на беспроводной доступ. Организация:
- устанавливает ограничения на использование и руководит реализацией беспроводных технологий;
- документирует, отслеживает и контролирует беспроводной доступ к ИС; соответствующие должностные лица санкционируют применение беспроводных технологий.
Персональные информационные системы. Ограничение применения персональных информационных систем для производственных нужд, включая обработку, хранение и передачу производственной информации.
протоколирование и аудит
Протоколируемые события. Информационная система генерирует регистрационные записи для заданных событий.
Содержимое регистрационных записей. Информационная система сохраняет в регистрационных записях достаточно информации, чтобы установить, какое событие произошло, что послужило источником события, каким оказался исход события.
Ресурсы для хранения регистрационной информации. Необходимо выделять достаточный объем ресурсов для хранения регистрационной информации и конфигурировать протоколирование так, чтобы не допустить исчерпания этих ресурсов.
Обработка регистрационной информации. В случае сбоя протоколирования или исчерпания ресурсов хранения регистрационной информации информационная система предупреждает соответствующих должностных лиц и предпринимает заданные дополнительные действия.
Защита регистрационной информации. Информационная система защищает регистрационную информацию и средства протоколирования/аудита от несанкционированного доступа, модификации и удаления.
Сохранение регистрационной информации. Следует сохранять регистрационную информацию в течение заданного времени, чтобы обеспечить поддержку расследований ранее произошедших нарушений информационной безопасности и выполнение требований действующего законодательства и организационных требований сохранения информации.
защита систем и коммуникаций
Защита от атак на доступность. Информационная система защищает от атак на доступность заданных видов или ограничивает их воздействие. Защита периметра. Информационная система отслеживает и контролирует коммуникации на своих внешних и ключевых внутренних границах ИС. Применение узаконенной криптографии. Если в информационной системе применяются криптографические средства, они должны удовлетворять требованиям действующего законодательства, технических регламентов, стандартов, руководящих и нормативных документов, отраслевых и организационных стандартов.
Защита общедоступных систем. Информационная система обеспечивает целостность данных и приложений для общедоступных систем.
Продолжение следует.
Владимир Галатенко, доктор физико-математических наук
Сетевые решения. Статья была опубликована в номере 08 за 2006 год в рубрике save ass…
