Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович
Безопасность оборудования без присмотра
Меры и средства
Пользователи должны гарантировать, что оставленное без присмотра оборудование защищено надлежащим образом.
Рекомендация по реализации
Пользователи должны быть осведомлены о требованиях безопасности и процедурах защиты оборудования без присмотра, а также своих обязанностях по обеспечению этой защиты.
Пользователям рекомендуется:
– завершать активные сеансы по окончании работы, если отсутствует соответствующий механизм блокировки, например, защищенная паролем экранная заставка;
– выйти из приложений и сетевых сервисов, если они не нужны;
– защитить компьютеры или мобильные устройства от несанкционированного использования с помощью блокировки клавиатуры или эквивалентной меры защиты, например, парольного доступа.
Политика чистого стола и экрана
Меры и средства
Должна быть внедрена политика чистого рабочего стола для документов и съемных носителей информации и политика чистого экрана для средств обработки информации.
Рекомендации по реализации
Политика чистого рабочего стола и экрана должна учитывать классификации информации, правовые и нормативные требования, соответствующие риски и культурные аспекты организации. Необходимо рассмотреть следующие рекомендации:
– носители (бумажные или электронные), содержащие чувствительную или критичную бизнес-информацию, когда они не используются, следует запирать (лучше всего, в сейфе или кабинете), особенно, если в оффисе никого нет;
– компьютеры и терминалы, оставленные без присмотра, следует выключать или защищать механизмом блокировки экрана или клавиатуры, контролируемого паролем, токеном или схожим механизмом аутентификации пользователя;
– необходимо предотвратить несанкционированное использование фотокопировальной и другой воспроизводящей технологии (например, сканеров, цифровых камер);
– документы, содержащие чувствительную или классифицированную информацию, необходимо немедленно изымать из принтеров.
Рекомендуется использовать принтеры с функцией ПИН-кода, когда только инициаторы печатания могут забрать из принтера готовый документ и вставить следующий.
8. Безопасность операций
Безопасность операций определяют следующие составляющие:
– операционные процедуры;
– контроль системного ПО;
– защита от вредоносного ПО;
– мониторинг и логи.
– резервное копирование;
– управление техническими уязвимостями;
– проведение аудита ИС.
8.1. Операционные процедуры
Цель: Обеспечить правильное и безопасное использование средств обработки информации.
Операционные процедуры обеспечивают следующие мероприятия:
– документирование процедур;
– управление изменениями;
– управление мощностью;
– разделение сред разработки, тестирования и эксплуатации.
Документирование процедур
Меры и средства
Операционные процедуры должны быть задокументированы и доступны для всех пользователей, которые в них нуждаются.
Рекомендации по реализации
Задокументированные процедуры должны быть подготовлены для функциональных действий, связанных со средствами обработки и передачи информации, таких как компьютерные процедуры запуска и завершения, резервное копирование, техническое обслуживание, работа с носителями, управление обработкой почты и безопасность.
Операционные процедуры должны определять эксплуатационные инструкции, включающие:
– инсталляцию и конфигурацию систем;
– обработку и управление информацией, как автоматизированное, так и ручное;
– резервное копирование;
– требования в отношении графика работ, включая взаимозависимости с другими системами, время начала первой и время завершения последней процедуры;
– инструкции по обработке ошибок или других чрезвычайных ситуаций, которые могут возникнуть в процессе выполнения задач, включая ограничения на использование системного ПО;
– необходимые контакты поддержки, в том числе внешней, на случай неожиданных эксплуатационных или технических проблем;
– специальные инструкции по управлению выводом данных и работе с носителями информации, например, использование специальных бланков или управление выводом конфиденциальных данных, включая процедуры безопасного уничтожения выходных данных в случае невыполнения задач;
– перезапуск системы и процедуры восстановления на случай системного сбоя;
– управление информацией, содержащейся в контрольных и системных журналах;
– процедуры мониторинга.
Управление изменениями
Меры и средства
Изменения в организации, бизнес-процессах и средствах обработки информации, влияющих на ИБ, должны контролироваться.
Рекомендации по реализации
В частности, необходимо рассмотреть следующие аспекты:
– определение и регистрацию существенных изменений;
– планирование и тестирование изменений;
– оценку возможных влияний таких изменений, включая влияния на ИБ;
– формальную процедуру утверждения предлагаемых изменений;
– проверку соответствия требованиям ИБ;
– подробное информирование об изменениях всех заинтересованных лиц;
– процедуры возврата в исходный режим, включая прерывание и последующее восстановление в случае неудачных изменений и непредвиденных обстоятельств;
– процесс чрезвычайного изменения для активации быстрого и контролируемого внедрения изменений, необходимых для решения инцидента.
Необходимо следовать формальным процедурам и обязанностям управления для достаточного контроля всех изменений. Журнал аудита, содержащий всю соответствующую информацию, должен сохраняться.
Неадекватный контроль изменений в системах и средствах обработки информации является общей причиной нарушений системы и безопасности. Изменения эксплуатационной среды, особенно при переводе системы из стадии разработки в стадию эксплуатации, могут влиять на надежность приложений.
Управление мощностью
Меры и средства
Использование ресурсов должно контролироваться, регулироваться и прогнозироваться в соответствии с будущими требованиями мощности для обеспечения требуемой производительности системы.
Рекомендации по реализации
Требования мощности должны быть определены с учетом бизнес-критичности связанных систем. Следует осуществлять мониторинг и регулирование системы для обеспечения и, при необходимости, повышения ее доступности и эффективности. Должны быть внедрены поисковые системы контроля для выявления проблем с течением времени.
Прогнозирование требований к производительности должно учитывать новые требования бизнеса и новые системные требования, а также современные и будущие тенденции возможностей обработки информации.
Особое внимание необходимо уделять любым ресурсам, требующим длительного времени на закупку или больших расходов, поэтому руководителям следует контролировать использование ключевых системных ресурсов. Они должны определять тенденции в использовании, в частности, бизнес-приложений или инструментов управления ИС.
Руководство должно использовать эту информацию для определения и предотвращения потенциальных узких мест и зависимости от персонала, который может нанести ущерб безопасности системы или сервисов, а также планирования соответствующих действий.
Обеспечение достаточной мощности должно достигаться ее увеличением или снижением ее потребности. Примерами такого снижения могут быть:
– удаление устаревших данных (чистка диска);
– вывод из эксплуатации приложений, систем, баз данных;
– оптимизация групповых процессов и режимов;
– оптимизация логики приложения и запросов базы данных;
– запрет или ограничения трафика для ресурсоемкого сервиса, если он не критичен для бизнеса (например, потоковое видео).