Правовое обеспечение информационной безопасности
ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ИЕРАРХИЯ НОРМАТИВНЫХ АКТОВ
Законы РБ
· Конституция Республики Беларусь.
· Уголовный кодекс Республики Беларусь.
· Гражданский кодекс Республики Беларусь.
· Закон РБ «О почтовой связи » от 15 декабря 2003 г. № 258-З.
· Закон РБ «О средствах массовой информации» от17 июля 2008 г. № 427-З
· Закон РБ «Об информации, информатизации и защите информации» от 10 ноября 2008 г. № 455-З.
· Закон РБ «Об электронном документе и электронной цифровой подписи» от 28 декабря 2009 г. № 113-З
· Закон РБ «О государственных секретах» от 19 июля 2010 г. № 170-З
· Закон РБ «О коммерческой тайне» от 5 января 2013 г. № 16-З
Указы президента РБ
· «Вопросы Межведомственной комиссии по защите государственных секретов при Совете Безопасности Республики Беларусь». от 05.02.1999 г. № 81.
· «Перечень сведений, составляющих государственную тайну Республики Беларусь». от 12 апреля 2004 г. № 186.
· «О мерах по совершенствованию использования национального сегмента сети интернет». от 1 февраля 2010 г. N 60.
· «О лицензировании отдельных видов деятельности». от 1 сентября 2010 г. N 450.
· «Концепция национальной безопасности Республики Беларусь». от 09.11.2010 № 575.
· «О некоторых мерах по обеспечению безопасности критически важных объектов информатизации» от 25 октября 2011 г. № 486
Постановления Совета министров РБ
· «О служебной информации ограниченного распространения» от 15.02.1999 г. № 237.
· «О некоторых мерах по реализации Закона Республики Беларусь «Об информации, информатизации и защите информации» и о признании утратившими силу некоторых Постановлений Совета Министров Республики Беларусь» от 26 мая 2009 г. № 673.
· «Положение об организации технической защиты государственных секретов» от 1 февраля 2011 г. № 115.
· «О некоторых вопросах безопасной эксплуатации и надежного функционирования критически важных объектов информатизации» от 30 марта 2012 г. № 293.
Приказы ОАЦ при Президенте РБ
· «Об утверждении перечня поставщиков интернет-услуг, уполномоченных оказывать интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты». от 17 декабря 2010 г. № 92.
· «Об утверждении инструкции о порядке осуществления контроля технической защиты государственных секретов». от 1 марта 2011 г. № 14.
· «Об утверждении положения о порядке применения средств криптографической защиты информации в системах защиты информации». от 4 марта 2011 г. № 18.
· «О некоторых вопросах применения средств криптографической защиты информации в системах защиты информации» от 12 сентября 2011 г. № 68.
· О некоторых вопросах технической и криптографической защиты информации от 30 августа 2013 г. № 62.
Постановления комитета госбезопасности РБ
· «Положение о порядке разработки, производства, реализации и использования средств криптографической защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну» от 28 июня 2001 г. № 7.
· «Инструкция о порядке выдачи разрешений юридическим лицам на осуществление деятельности с использованием сведений, составляющих государственные секреты» от 15 февраля 2008 г. № 8.
Международные стандарты ISO
· ISO/IEC 27000:2009 «Information technology. Security techniques. Information security management systems. Overview and vocabulary».
· ISO/IEC 27001:2005 «Information technology. Security techniques. Information security management systems. Requirements».
· ISO/IEC 27002:2005 «Information technology. Security techniques. Code of practice for information security management».
· ISO/IEC 27003:2010 «Information technology. Security techniques. Information security management system implementation guidance».
· ISO/IEC 27004:2009 «Information technology. Security techniques. Information security management. Measurement».
· ISO/IEC 27005:2011 «Information technology. Security techniques. Information security risk management».
· ISO/IEC 27006:2007 «Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems».
Международная методическая документация ISACA (Information system audit and control association)
· COBIT 5
· COBIT 5: Enabling Processes
· COBIT 5 Implementation
· COBIT 5 for Information Security
· COBIT 5 for Assurance
· COBIT Assessment Programme
· IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals
Рекомендации Center for Internet Security (CIS) по безопасному конфигурированию систем
· Apple Safari Benchmarks
· CheckPoint Firewall Benchmarks
· Cisco Device Benchmarks
· Microsoft MS SQL Server Benchmarks
· Microsoft Office Benchmarks
· Microsoft SharePoint Server Benchmarks
· Microsoft Windows 7 Benchmarks
· Microsoft Windows 8 Benchmarks
· Microsoft Windows NT Benchmarks
· Microsoft Windows Server 2000 Benchmarks
· etc
ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ НПА
Определения и термины
Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления (Закон «Об информатизации..»)
Защита информации– комплекс правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации (Закон «Об информатизации..»);
Информационная система - совокупность банков данных, информационных технологий и комплекса (комплексов) программно-технических средств (Закон «Об информатизации..»)
Актив -все, что имеет ценность для организации : информация; программное обеспечение; материальные активы; услуги; люди и их квалификация, навыки и опыт; нематериальные активы, такие как репутация и имидж. (СТБ ISO/IEC 27000)
Информационный актив - информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для банка; находящаяся в распоряжении банка и представленная на любом материальном носителе в форме, пригодной для ее обработки, хранения или передачи (СТБ .41)
Информационный ресурс– организованная совокупность документированной информации, включающая базы данных, другие совокупности взаимосвязанной информации в информационных системах (Закон «Об информатизации..»);
Грифы секретности
На документах, делах и изданиях, содержащих сведения, составляющие коммерческую тайну, проставляется гриф «КИ (КТ)», а на документах и изданиях, кроме того, – номера экземпляров. Гриф и номер экземпляра проставляются в правом верхнем углу первой страницы документа, на обложке и титульном листе издания и на первой странице сопроводительного письма к этим материалам. На обратной стороне последнего листа каждого экземпляра документа дается разметка, в которой указываются: количество отпечатанных экземпляров, регистрационный номер, фамилия исполнителя, его телефон, дата, срок действия коммерческой тайны, фамилия исполнителя.
Допуск к работе с делами «КИ (КТ)» сотрудников, имеющих к ним непосредственное отношение, производится в соответствии с утвержденным руководителем структурного подразделения списком.
Документы, содержащие коммерческую тайну, подлежат обязательной регистрации в службе безопасности или в общей канцелярии ее уполномоченным.
Дела и издания с грифом «КИ (КТ)» выдаются исполнителям и принимаются от них под расписку в Карточке учета выдаваемых дел и изданий.
Отсутствие грифа «КИ (КТ)» и предупредительных оговорок в тексте и реквизитах означает свободную рассылку и предполагает, что автор информации и должностное лицо санкционирующее (подписавшее, утверждающее документ) ее распространение, предусмотрели все возможные последствия свободной рассылки и несут за это всю полноту ответственности.
Нарушение прав владельца
Передача третьим лицам сведений, составляющих коммерческую тайну, влечет за собой предусмотренную законодательством ответственность при условии, что сведения содержались владельцем в тайне, что они были в установленном порядке вверены разгласившему их лицу без согласия на разглашение и что разглашением владельцу был причинен ущерб.
Лица, незаконно получившие сведения, составляющие коммерческую тайну, обязаны возместить ущерб, причиненный владельцу.
Лицо, которое использовало сведения, составляющие коммерческую тайну, и не имело достаточных оснований считать использование таких сведений незаконным, в том числе получило доступ к ним в результате случайности или ошибки, не быть привлечено к ответственности. По требованию владельца, такое лицо обязано принять меры по охране конфиденциальности сведений, составляющих коммерческую тайну. При отказе такого лица принять указанные меры владелец, вправе требовать в судебном порядке защиты своих прав.
Сведения, составляющие коммерческую тайну, полученные от владельца на основании договора или ином законном основании считаются полученными законным способом.
Сведения, составляющие коммерческую тайну, владельцем которых является другое лицо, считаются полученными незаконно, если их получение осуществлялось с умышленным преодолением принятых владельцем, мер по охране конфиденциальности этих сведений, а также если получающее эти сведения лицо знало или имело достаточные основания полагать, что эти сведения составляют коммерческую тайну, владельцем которой является другое лицо, и что осуществляющее передачу этих сведений лицо не имеет на такую передачу законного основания.
В случае незаконного ознакомления со сведениями, составляющими коммерческую тайну, или незаконного использования этих сведений, а также разглашения коммерческой тайны физические и юридические лица, государственные органы и их должностные лица обязаны:
прекратить действия, связанные с незаконным ознакомлением, использованием, разглашением сведений, составляющих коммерческую тайну;
возместить убытки (включая упущенную выгоду), причиненные владельцу коммерческой тайны;
Государственные контролирующие и правоохранительные органы имеют право в пределах своей компетенции на основании письменного запроса ознакомиться со сведениями, являющимися коммерческой тайной. Они несут перед владельцем коммерческой тайны ответственность за ее разглашение, незаконное использование. (Иные же органы и организации, в том числе средства массовой информации, правом истребования у владельца сведений, составляющих коммерческую тайну, не обладают.)
Доступ к коммерческой тайне
Доступ работника к сведениям, составляющим коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями. Работник имеет право обжаловать в судебном порядке незаконное отнесение сведений к коммерческой тайне в отношении сведений, к которым он получил доступ в связи с выполнением им трудовых обязанностей.
Пример документа 1
Пример документа 2
Передача коммерческой тайны
1. Права владельца в отношении всех или части сведений, составляющих коммерческую тайну, могут быть переданы иному лицу по договору безвозмездно или за плату, а также переходят по наследству и в порядке правопреемства при реорганизации владельца, являющегося юридическим лицом.
2. Лицо, которому переданы сведения, составляющие коммерческую тайну, может использовать их без права разглашения третьим лицам, если соглашением не предусмотрено иное.
3. При передаче коммерческой тайны лицо, передавшее сведения, составляющие коммерческую тайну, не вправе более их использовать и обязано сохранять конфиденциальность этих сведений до истечения срока правовой охраны коммерческой тайны.
Банковская тайна (ст.121 Банковского кодекса РБ)
Сведения:
· о счетах и вкладах;
· о конкретных сделках и операциях по счетам и вкладам;
· об имуществе, находящемся на хранении в банке.
Законодательством пока не установлено единое понятие банковской тайны, оно носит казуальный характер, предусматривая случаи и основания отнесения определенных сведений к банковской тайне и ограничения в их распространении и получении.
Банки гарантируют соблюдение банковской тайны своих клиентов и банков-корреспондентов
Обязанность сохранения банковской тайны возложеназаконом на всех служащих банков независимо от их должности.
Профессиональная тайна
Профессиональной тайной являются сведения, скрываемые обладателями информации, которые однако стали известны другим лицам в силу должности или профессиональной деятельности (адвокаты, врачи и т.д.)
СТБ 34.101.41-2013 «Наименование информационные технологии и безопасность. Обеспечение ИБ банков РБ. Общие положения»
Стандарт распространяется на банки Республики Беларусь и устанавливает положения, концептуальную схему, модели угроз и нарушителей информационной безопасности. Стандарт предназначен для применения при построении, проверке и оценке систем информационной безопасности и систем менеджмента информационной безопасности банков.
СМИБ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ ISO/IEC 2700х
Основная задача CISO - это оценка и управление технологическими, производственными и информационными рисками компании.
Основные функции CISO:
- Разработка Концепции и Политики информационной безопасности компании, включая разработку регламентов, корпоративных стандартов, руководств и должностных инструкций
- Выработка принципов классификации информационных активов компании и оценки их защищенности
- Оценка и управление информационными рисками
- Обучение сотрудников компании вопросам обеспечения ИБ, проведение инструктажей и контроль знаний и практических навыков выполнения ПБ сотрудниками компании
- Консультирование менеджеров компании по вопросам управления информационными рисками
- Согласование частных политик и регламентов безопасности среди подразделений компании
- Контроль работы служб качества и автоматизации компании с правом проверки и утверждения внутренних отчетов и документов
- Работа совместно со службой физической безопасности в части, касающейся их обоих, например, обеспечение конфиденциальности (НИОКР) или обеспечения контрольно-пропускного режима
- Работа со службой персонала компании для проверки личных данных сотрудников при найме на работу
- В случае возникновения нештатных ситуаций или чрезвычайных происшествий в области защиты информации руководство работами по их устранению
- Информационное обеспечение руководства компании регулярными обзорами и аналитическими справками о текущем состоянии информационной безопасности компании, выдержками о результатах проверки выполнения политики безопасности
- Обеспечение менеджеров компании информационной поддержкой по вопросам ИБ, в частности об изменениях в законодательстве и нормативной базе в области защиты информации, технических новинках и пр.
ЭТАП ПЛАНИРОВАНИЕ СУИБ
Установите политику, цели, процессы и процедуры, относящиеся к менеджменту рисков и улучшению защиты информации для выдачи результатов в соответствии с общей политикой и целями организации.
a) Определение области применения и границ СУИБ:
Описание вида деятельности и бизнес-целей организации;
Указание местоположения систем, охватываемых СУИБ;
Описание активов организации (виды информационных ресурсов, программно-технические средства, персонал и организационная структура);
Описание бизнес-процессов, использующих защищаемую информацию.
Пример области деятельности
b) Определение политики в отношении СУИБ организации (расширенная версия ПБ).
Содержание политики СУИБ:
· Цели, направления и принципы действия в отношении защиты информации;
· Ссылки на законодательные, нормативные и деловые требования, а также договорные обязательства по защите;
· Описание стратегии управления рисками в организации;
· Критерии значимости риска;
· Позиция руководства.
c) Определение подхода к оценке риска в организации.
Методология оценки риска (в зависимости от СУИБ, установленным деловым требованиям защиты информации, законодательным и нормативным требованиям).
Необходимо подобрать такую методику анализа рисков, которую можно было бы использовать с минимальными изменениями на постоянной основе. Есть два пути: использовать существующие на рынке методики и инструментарий для оценки рисков или же разработать свою собственную методику, которая наилучшим образом будет подходить к специфике компании и охватываемой системой управления информационной безопасности области деятельности.
d) Выявление рисков.
Категорирование
· Категория 1 – максимальная степень защиты
· Категория 2 – высокая степень защиты
· Категория 3 – средняя степень защиты
· Категория 4 – низкая степень защиты
Решение об отнесении ресурса к категориям информации принимает руководство или начальник отдела.
Угроза – возможные воздействия на ИО, приводящие к ущербу
Классификация угроз
· по аспекту информационной безопасности, против которого угрозы направлены в первую очередь (доступность, целостность, конфиденциальность, собственность);
· по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
· по способу осуществления (случайные/преднамеренные, природные/техногенного характера);
· по расположению источника угроз (внутренние/внешние).
Примеры угроз
Угрозы доступности:
· отказ пользователей;
· внутренний отказ информационной системы;
· отказ поддерживающей инфраструктуры.
Угрозы целостности:
· ввод неверных данных;
· изменение данных;
· нарушение атомарности транзакций, переупорядочение, кража, дублирование или внесение дополнительных сообщений
Угрозы конфиденциальности:
· Перехват паролей.
· Размещение и передача конфиденциальных данных в небезопасной среде.
· Доступ к резервным копиям.
· Кражи оборудования.
· Социальный инжиниринг
· Злоупотребления полномочиями.
Одним из способов идентификации угроз является построение модели нарушителя
При составлении перечня угроз и оценке их уровня используются списки классов угроз различных организаций и информация об их рейтингах либо средних значениях вероятности реализации данной угрозы. The Federal Computer Incident Response Center (FedCIRC), Federal Bureau of Investigation’s National Infrastructure Protection Center, SecurityFocus, и др. Существуют системы мониторинга состояния кибер-ИБ в мире (Symantec). В основном относятся к кибер-угрозам.
http://www.bdu.fstec.ru/threat?size=100 - База данных угроз ФСТЭК
Приложения ISO 27005.
Идентификация уязвимостей.
Уязвимости – это слабые места активов, делающие возможной реализацию угрозы. Они связаны с природой активов или окружающими условиями (в т.ч. с используемыми контролями).
Составляется список потенциальных уязвимостей данной ИС и возможные результаты их реализации (источники - сетевые сканеры уязвимостей, каталоги уязвимостей разных организаций, примерные списки уязвимостей ISO 27005 и др.). При оценке уровня уязвимости принимаются во внимание существующие процедуры и методы обеспечения режима информационной безопасности, данные внутреннего аудита и результаты анализа имевших место инцидентов.
Определение ценности активов (возможные последствия от потери конфиденциальности, целостности и доступности активов). Информация о ценности актива может быть получена от его владельца или же от лица, которому владелец делегировал все полномочия по данному активу, включая обеспечение его безопасности.
e) Оценка риска.
Оценка ущерба, который может быть нанесен бизнесу от потери конфиденциальности, целостности и доступности активов.
Оценка вероятности реализации угроз через существующие уязвимости с учетом имеющихся средств управления ИБ и возможного наносимого ущерба;
Определение уровня риска.
Применение критериев принятия риска (приемлемый/требующий обработки).
Оценивание рисков
Аспекты:
· Шкалы и критерии, по которым можно измерять риски.
· Оценку вероятностей событий.
· Технологии измерения рисков.
Под объективной (иногда называемой физической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему их количеству. Объективная вероятность возникает при анализе результатов большого числа наблюдений, имевших место в прошлом, а также как следствия из моделей, описывающих некоторые процессы.
СУБЪЕКТИВНАЯ
Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем. Субъективная вероятность увязывается с системой предпочтений лица, принимающего решения, и в с функцией полезности, отражающей его предпочтения на множестве альтернатив.
Вариант использования качественных величин (наиболее часто встречающаяся ситуация).
Определяется субъективная шкала вероятностей событий
Mo (Moderate) — Происшествие с умеренными ре зультатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию не велико и не затрагивает критически важные задачи.
S (Serious) — Происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач.
Таблица. Определение риска в зависимости от трех факторов
Накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят, может помочь оценить угрозы и уязвимости в других информационных системах.
Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.
ПОЛИТИКА ПО ИБ
Самый важный документ
Без неё СУИБ будет обрывочна, неструктурированна и, вероятнее всего, неэффективна (и не будет соответствовать требованиям ISO 27001:2005)
Требование: Политика должна декларировать ответственность каждого конкретного сотрудника
Содержание Политики
Простая и точная
Отражать суть и предмет бизнеса
Отражать требования по защите информации
Краткая (1-5 страниц)
Доступна для всех
Виды Политик
Маленьким компаниям достаточно одной Политики.
Крупные компании нуждаются в разных Политиках для разных подразделений организации (или даже в разных СУИБ).
Содержание Политики
· ссылка на законодательные и прочие обязательные требования
· создание Комитета по Безопасности на уровне высшего руководства
· определение необходимости в индивидуальном обучении основам ИБ
· подход к оценке рисков
· приверженность соответствию требованиям стандарта ISO 27001
· приверженность к получению и поддержанию регистрации по стандарту ISO 27001
Специфические Политики (под-политики)
Примеры:
· требования к Плану восстановления
· необходимость в резервном копировании
· антивирусная политика
· контроль доступа к системам и данным
· отчётность об инцидентах в области ИБ
· дисциплинарные взыскания в случае злоумышленных действий или нарушений требований к доступу / работе
Управление активами
Типы активов (ресурсов):
· информация: в электронной и бумажной формах (базы данных и файлы данных, договоры и соглашения, руководства пользователя, мероприятия по нейтрализации неисправности, контрольные журналы и архивированная информация);
· программные активы: прикладные программы, системные программы, инструментальные средства разработки и утилиты;
· физические активы: компьютерное оборудование, аппаратура связи, сменные носители информации и другое оборудование;
· услуги: обработка данных и услуги связи, общие коммунальные услуги, например, обогрев, освещение, энергия и кондиционирование воздуха;
· люди, их квалификация, способности и опыт;
· нематериальные активы, такие как репутация и имидж организации.
Реестр активов
Организация должна составить реестр всех активов, активы должны иметь назначенного владельца.
Реестр активов должен включать всю информацию, необходимую для восстановления после инцидента, включая:
· тип актива,
· формат,
· местоположение,
· дублирующую информацию,
· информацию о лицензиях,
· ценность для бизнеса.
Владение активами
Владелец актива несет ответственность за :
соответствующую классификацию информации и активов, связанных со средствами обработки информации;
периодический анализограничений и классификаций доступа;
определение правил приемлемого использованияинформации и активов, связанных со средствами обработки информации, например:
правила использования электронной почты и Интернет;
руководящие принципы использования мобильных устройств, особенно для использования за пределами помещений организации;
поддержание в рабочем состоянии подходящих средств управления.
Реализация конкретных средств управления может быть делегирована владельцем, по обстоятельствам, но владелец остается ответственным за должную защиту активов.
Зоны безопасности
· Физический периметр безопасности
· Контроль физического доступа
· Защита зданий, помещений, офисов
· Защита от внешних и инфраструктурных угроз
· Работа на защищаемых территориях
· Внешний доступ, зоны погрузки и разгрузки
Безопасность оборудования
· Расположение и защита оборудования
· Поддержание условий работоспособности (электроэнергия, отопление, водоснабжение,...)
· Защита кабелей
· Обслуживание оборудования
· Защита удаленного оборудования (вне офиса)
· Защита устраняемого оборудования и оборудования «повторного использования»
· Удаление (вынос) оборудования
Менеджмент изменений
Операционные системы и прикладное программное обеспечение должны быть предметом строгого контроля менеджмента изменений.
Разделение обязанностей
Надо позаботиться о том, чтобы ни один человек не мог иметь доступ к активам, модифицировать активы или использовать активы без разрешения или обнаружения. Инициация события должна быть отделена из разрешения на него. При проектировании средств управления должна быть рассмотрена возможность сговора..
Резервное копирование
a) объем и частота резервного копирования должны отражать деловые требования организации и критичность информации для непрерывного функционирования организации
b) должны быть созданы точные и полные записи о резервных копиях и документированные процедуры восстановления со стандартом времени, определен срок хранения;
d) резервные копии должны храниться в достаточном отдалении от оригинала, и защищены должны быть в соответствии с требованиями к оригиналу, возможно с шифрованием;
f) носители резервной копии и процедуры восстановления должны регулярно испытываться
Для критичных систем мероприятия по резервному копированию должны охватывать всю системную информацию, приложения и данные, необходимые для восстановления полной системы в случае бедствия.
Обмен информацией
Необходимо разработать процедуры и средства управления для использования электронных средств связи
a) процедуры обмена информацией (защита от перехвата, копирования, модификации, неправильной маршрутизации и разрушения);
d) политика приемлемого использования электронных средств связи;
f) обязательства служащего, подрядчика и любого другого пользователя не компрометировать организацию, например, посредством дискредитации, персонации, пересылки «писем счастья», несанкционированных приобретений и т.п.;
g) использование криптографических методов, например, для защиты конфиденциальности, целостности и достоверности информации;
i) не оставлять уязвимую или критическую информацию на средствах печати, например, в ксероксах, принтерах и в факсах
k) надлежащие меры предосторожности, чтобы не раскрыть важную информацию при совершении звонков и избежать подслушивания или перехвата информации;
l) не оставлять сообщений, содержащих важную информацию, на автоответчиках;
m) меры предосторожности при использовании факсов (кэш, НСД к памяти, преднамеренное или случайное программирование аппаратов для того, чтобы посылать сообщения на конкретные номера;
n) Осторожно обращаться с личными данными (адрес электронной почты или другая личная информация), в программах, с целью избежать сбора информации для неразрешенного использования;
o) не вести конфиденциальные беседы в общественных местах или открытых офисах и местах для встреч, не имеющих звуконепроницаемых стен.
Должны быть установлены соглашения об обмене информацией и ПО между организацией и внешними сторонами.
Носитель, содержащий информацию, должен быть защищен от НСД, неправильного использования или повреждения в ходе транспортировки.
При электронном обмене сообщениями они должны быть защищены от НСД, модификации или отказа в обслуживании, обеспечена правильная адресация и транспортировка сообщения.
Постоянный контроль
Журналы регистрациидействий пользователей, исключений и событий в системе защиты информации, должны вестись и храниться в течение согласованного периода для того, чтобы помогать в будущих расследованиях и постоянном контроле доступа.
Контрольные журналы могут содержать важные и конфиденциальные личные данные. Должны быть предприняты надлежащие меры защиты. Там, где это возможно, системные администраторы не должны иметь разрешение стирать или дезактивировать протоколы своей собственной деятельности (разделение обязанностей).
Часы всех значимых систем обработки информации в организации должны быть синхронизированы с согласованным источником точного времени.
Контролируемая деятельность:
a) разрешенный доступ (идентификатор пользователя; дата и время ключевых событий; типы событий; файлы, к которым осуществлялся доступ; используемые программа/утилиты);
b) все привилегированные операции (использование привилегированных учетных записей, например, запуск и остановка системы; присоединение/отсоединение устройства ввода/вывода);
c) попытки НСД (давшие сбой или отклоненные действия пользователя; нарушения политики в области доступа и уведомления для сетевых шлюзов и брандмауэров; предупреждения от специализированных систем обнаружения вторжения;
d) системные предупреждения и сбои;
e) изменения или попытки изменения настроек и средств управления
Управление доступом
Правила управления доступом и права доступа для каждого пользователя или группы пользователей должны быть четко сформулированы в политике управления доступом.
Средства управления доступом бывают как логические, так и физические, и они должны рассматриваться вместе.
Пользователям и поставщикам услуг должна быть предъявлена четкая формулировка деловых требований, которые нужно выполнить средствам управления доступом.
Должна быть принята официальная процедура регистрации и отмены регистрации пользователя для предоставления и отмены доступа ко всем информационным системам и услугам.
Личный идентификатор, проверка разрешения доступа и установленных прав доступа, ознакомление с правилами доступа пользователя, немедленное удаление или блокировка прав доступа пользователей, которые изменили роли или должности, или ушли из организации;
Распределение и использование привилегий должно быть ограничено и управляемо.
Управление правами доступа
Анализ прав доступа должен учитывать следующее :
· права доступа пользователей должны анализироваться регулярно, например, через каждые 6 месяцев, и после любых изменений, например, повышение в должности, понижение в должности или прекращение работы по найму
· разрешения на особые привилегированные права доступа, должны анализироваться более часто, например, каждые 3 месяца;
· распределение привилегий должно проверяться регулярно для того, чтобы обеспечить, что не были получены неразрешенные привилегии;
· изменения в привилегированных учетных записях должны быть зарегистрированы для целей периодического анализа.
Использование паролей
a) сохранять пароли в тайне;
b) избегать вести запись (например, на бумаге, в программном файле или в карманном устройстве) паролей, за исключением тех случаев, когда запись может храниться безопасно, а метод хранения был утвержден;
c) менять пароли всякий раз, когда есть любое указание на возможное раскрытие системы или пароля;
d) выбирать качественные пароли с достаточной минимальной длиной, которые:
e) менять пароли регулярно или на основе количества доступов (пароли для привилегированных учетных записей должны меняться чаще, чем обычные пароли) и избегать повторного использования или циклического повторения старых паролей;
f) менять временные пароли при первом входе в систему;
g) не включать пароли в какой-либо автоматизированный процесс входа в систему, например, сохраненный в макросе или в функциональном ключе;
h) не использовать совместно личные пароли пользователя;
i) не использовать один и тот же пароль для деловых и неделовых целей.
Управление доступом в сеть
Доступ как к внутренним, так и к внешним сетевым услугам должен управляться:
соответствующие интерфейсы между сетью организации и другими сетями;
применение соответствующих механизмов аутентификации пользователей и оборудования;
управление доступом пользователей к информационным услугам.
Разделение в сетях
Большие сети лучше разделять на отдельные логические домены, например, домены внутренней сети организации и домены внешней сети, каждый из которых защищен определенным периметром безопасности.
Специальные средства управления могут использоваться для разграничения во внутренней сети систем общего доступа, внутренних сетей и критических активов.
Средства для разделения
· Шлюз между 2мя доменами, настроенный на фильтрацию трафика между доменами и блокировку неразрешенного доступа в соответствии с политикой управления доступом (брандмауэр).
· VPN для групп пользователей
· Орга