Первая часть стандарта, по-русски именуемая «Информационная технология. Практический кодекс по менеджменту информационной безопасности», содержит систематический, весьма полный, универсальный перечень регуляторов безопасности, полезный для организации практически любого размера, структуры и сферы деятельности. Она предназначена для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание внутренней системы информационной безопасности.
Согласно стандарту, цель информационной безопасности - обеспечить бесперебойную работу организации, по возможности предотвратить и/или минимизировать ущерб от нарушений безопасности.
Управление информационной безопасностью позволяет коллективно использовать данные, одновременно обеспечивая их защиту и защиту вычислительных ресурсов.
Подчеркивается, что защитные меры оказываются значительно более дешевыми и эффективными, если они заложены в информационные системы и сервисы на стадиях задания требований и проектирования.
|
|
Следующие факторы выделены в качестве определяющих для успешной реализации системы информационной безопасности в организации:
• цели безопасности и ее обеспечение должны основываться на производственных задачах и требованиях. Функции управления безопасностью должно взять на себя руководство организации;
• необходима явная поддержка и приверженность к соблюдению режима безопасности со стороны высшего руководства;
• требуется хорошее понимание рисков (как угроз, так и уязвимо-стей), которым подвергаются активы организации, и адекватное представление о ценности этих активов;
• необходимо ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации.
Во второй части стандарта BS 7799-2:2002 «Управление информационной безопасностью. Практические правила» предметом рассмотрения, как следует из названия, является система управления информационной безопасностью.
Под системой управления информационной безопасностью (СУИБ) (Information Security Management System, ISMS) понимается часть общей системы управления, базирующаяся на анализе рисков и предназначенная для проектирования, реализации, контроля, сопровождения и совершенствования мер в области информационной безопасности. Эту систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы.
В основу процесса управления положена четырехфазная модель, включающая:
• планирование;
• реализацию;
• оценку;
|
|
• корректировку.
По-русски данную модель можно назвать ПРОК (в оригинале - Plan-Do-Check-Act, PDCA). Детальный анализ каждой из выделенных фаз и составляет основное содержание стандарта BS 7799-2:2002.
3.2.1. Регуляторы безопасности и реализуемые ими цели
3.2.1.1. Регуляторы общего характера
Мы приступаем к рассмотрению десяти групп регуляторов безопасности, выделенных в стандарте BS 7799.
К первой группе отнесено то, что связано с политикой безопасности, а именно:
• документально оформленная политика;
• процесс ревизии политики.
Цель регуляторов этой группы - определить стратегию управления безопасностью и обеспечить ее поддержку.
Вторая группа регуляторов безопасности касается общеорганизационных аспектов. По сравнению с первой она более многочисленна и наделена внутренней структурой. Ее первая подгруппа - инфраструктура
информационной безопасности - преследует цель управления безопасностью в организации и включает следующие регуляторы:
• создание сообщества по управлению информационной безопасностью;
• меры по координации действий в области информационной безопасности;
• распределение обязанностей в области информационной безопасности;
• утверждение руководством (административное и техническое) новых средств обработки информации;
• получение рекомендаций специалистов по информационной безопасности;
• сотрудничество с другими организациями (правоохранительными органами, поставщиками информационных услуг и т.д.);
• проведение независимого анализа информационной безопасности.
Регуляторы второй подгруппы - безопасность доступа сторонних
организаций - предназначены для обеспечения безопасности вычислительных и информационных ресурсов, к которым имеют доступ сторонние организации. Этих регуляторов два:
• идентификация рисков, связанных с подключениями сторонних организаций, и реализация соответствующих защитных мер;
• выработка требований безопасности для включения в контракты со сторонними организациями.
Цель третьей подгруппы - обеспечение информационной безопасности при использовании услуг внешних организаций. Предлагается выработать требования безопасности для включения в контракты с поставщиками информационных услуг.
Очень важна третья группа регуляторов безопасности - классификация активов и управление ими. Необходимым условием обеспечения надлежащей защиты активов является их идентификация и классификация. Должны быть выработаны критерии классификации, в соответствии с которыми активы тем или иным способом получают метки безопасности.
Регуляторы четвертой группы - безопасность персонала - охватывают все этапы работы персонала, и первый из них - документирование ролей и обязанностей в области информационной безопасности при определении требований ко всем должностям. В соответствии с этими требованиями должны производиться отбор новых сотрудников, заключаться соглашения о соблюдении конфиденциальности, оговариваться в контрактах другие условия.
Для сознательного поддержания режима информационной безопасности необходимо обучение всех пользователей, регулярное повышение их квалификации.
Наряду с превентивными, стандарт предусматривает и меры реагирования на инциденты в области безопасности, чтобы минимизировать ущерб и извлечь уроки на будущее. Предусмотрены уведомления (доклады) об инцидентах и замеченных уязвимостях, нештатной работе программного обеспечения. Следует разработать механизмы оценки ущерба от инцидентов и сбоев и дисциплинарного наказания провинившихся сотрудников.
Пятая группа регуляторов направлена на обеспечение физической безопасности и безопасности окружающей среды. Она включает три подгруппы:
|
|
• организация защищенных областей;
• защита оборудования;
• меры общего характера.
Для организации защищенных областей требуется определить периметры физической безопасности, контролировать вход в защищенные области и работу в них, защитить производственные помещения (особенно имеющие специальные требования по безопасности) и места погрузо-/разгрузочных работ, которые, по возможности, надо изолировать от производственных помещений.
Чтобы предупредить утерю, повреждение или несанкционированную модификацию оборудования рекомендуется размещать его в защищенных областях, наладить бесперебойное электропитание, защитить кабельную разводку, организовать обслуживание оборудования, перемещать устройства (в том числе за пределы организации) только с разрешения руководства, удалять информацию перед выведением из эксплуатации или изменением характера использования оборудования.
К числу мер общего характера принадлежат политика чистого рабочего стола и чистого экрана, а также уничтожение активов - оборудования, программ и данных - только с разрешения руководства.
3.2.1.2. Регуляторы технического характера
Шестая группа - меры по безопасному администрированию систем и сетей разделены в стандарте BS 7799 на семь подгрупп: • операционные процедуры и обязанности;
• планирование и приемка систем;
• защита от вредоносного программного обеспечения;
• повседневное обслуживание;
• администрирование сетей;
• безопасное управление носителями;
• обмен данными и программами с другими организациями.
1. Документирование операционных процедур и обязанностей преследует цель обеспечения корректного и надежного функционирования средств обработки информации. Требуется обязательно контролировать все изменения этих средств. Доклады о нарушениях безопасности должны быть своевременными и эффективными. Разделение обязанностей должно препятствовать злоупотреблению полномочиями. Средства разработки и тестирования необходимо отделить от производственных ресурсов. Для безопасного управления внешними ресурсами предлагается предварительно оценить риски и включить в контракты со сторонними организациями соответствующие положения.
|
|
2. Планирование и приемка систем призваны минимизировать риск их отказа. Для этого рекомендуется отслеживать и прогнозировать вычислительную нагрузку, требуемые ресурсы хранения и т.д. Следует разработать критерии приемки новых систем и версий, организовать их тестирование до введения в эксплуатацию.
3. Защита от вредоносного программного обеспечения должна включать как превентивные меры, так и меры обнаружения и ликвидации вредоносного ПО.
4. Под повседневным обслуживанием в стандарте имеется в виду резервное копирование, протоколирование действий операторов, регистрация, доведение до сведения руководства и ликвидация сбоев и отказов.
5. Вопросы администрирования сетей в стандарте, по сути, не раскрываются, лишь констатируется необходимость целого спектра регуляторов безопасности и документирования обязанностей и процедур.
6. Безопасное управление носителями подразумевает контроль за съемными носителями, безвредную утилизацию отслуживших свой срок носителей, документирование процедур обработки и хранения информации, защиту системной документации от несанкционированного доступа.
7. Более детально регламентирован обмен данными и программами с другими организациями. Предлагается заключать формальные и неформальные соглашения, защищать носители при транспортировке, обеспечивать безопасность электронной коммерции, электронной почты, офисных систем, систем общего доступа и других средств обмена. В качестве универсальных защитных средств рекомендуются документированная политика безопасности, соответствующие процедуры и регуляторы.
Седьмая группа - самая многочисленная - группа регуляторов, относящихся к управлению доступом к системам и сетям. Она состоит из восьми подгрупп:
• производственные требования к управлению доступом;
• управление доступом пользователей;
• обязанности пользователей;
• управление доступом к сетям;
• управление доступом средствами операционных систем;
• управление доступом к приложениям;
• контроль за доступом и использованием систем;
• контроль мобильных пользователей и удаленного доступа.
1. Производственные требования к управлению доступом излагаются в документированной политике безопасности, которую необходимо проводить в жизнь.
2. Управление доступом пользователей должно обеспечить авторизацию, выделение и контроль прав в соответствии с политикой безопасности. Этой цели служат процедуры регистрации пользователей и ликвидации их системных счетов, управление привилегиями в соответствии с принципом их минимизации, управление паролями пользователей, а также дисциплина регулярной ревизии прав доступа.
3. Обязанности пользователей, согласно стандарту, сводятся к правильному выбору и применению паролей, а также к защите оборудования, остающегося без присмотра.
4. Управление доступом к сетям опирается на следующие регуляторы:
• политика использования сетевых услуг (прямой доступ к услугам должен предоставляться только по явному разрешению);
• задание маршрута от пользовательской системы до используемых систем (предоставление выделенных линий, недопущение неограниченного перемещения по сети и т.д.);
• аутентификация удаленных пользователей;
• аутентификация удаленных систем;
• контроль доступа (особенно удаленного) к диагностическим портам;
• сегментация сетей (выделение групп пользователей, информационных сервисов и систем);
• контроль сетевых подключений (например, контроль по предоставляемым услугам и/или времени доступа);
• управление маршрутизацией;
• защита сетевых сервисов (должны быть описаны атрибуты безопасности всех сетевых сервисов, используемых организацией).
5. Управление доступом средствами операционных систем направ
лено на защиту от несанкционированного доступа к компьютерным сис
темам. Для этого предусматриваются:
• автоматическая идентификация терминалов;
• безопасные процедуры входа в систему (следует выдавать как можно меньше информации о системе, ограничить разрешаемое количество неудачных попыток, контролировать минимальную и максимальную продолжительность входа и т.п.);
• идентификация и аутентификация пользователей;
• управление паролями, контроль их качества;
• разграничение доступа к системным средствам;
• уведомление пользователей об опасных ситуациях;
• контроль времени простоя терминалов (с автоматическим отключением по истечении заданного периода);
• ограничение времени подключения к критичным приложениям.
6. Для управления доступом к приложениям предусматривается разграничение доступа к данным и прикладным функциям, а также изоляция критичных систем, помещение их в выделенное окружение.
7. Контроль за доступом и использованием систем преследует цель выявления действий, нарушающих политику безопасности. Для ее достижения следует протоколировать события, относящиеся к безопасности, отслеживать и регулярно анализировать использование средств обработки информации, синхронизировать компьютерные часы.
8. Контроль мобильных пользователей и удаленного доступа должен основываться на документированных положениях политики безопасности.
3.2.1.3. Разработка и сопровождение, управление бесперебойной работой, контроль соответствия
Восьмая группа - регуляторы группы «разработка и сопровождение информационных систем» охватывают весь жизненных цикл систем.
1. Первым шагом является анализ и задание требований безопасности. Основу анализа составляют:
• необходимость обеспечения конфиденциальности, целостности и доступности информационных активов;
• возможность использования различных регуляторов для предотвращения и выявления нарушений безопасности и для восстановления нормальной работы после отказа или нарушения безопасности.
В частности, следует рассмотреть необходимость:
• управления доступом к информации и сервисам, включая требования к разделению обязанностей и ресурсов;
• протоколирования для повседневного контроля или специальных расследований;
• контроля и поддержания целостности данных на всех или избранных стадиях обработки;
• обеспечения конфиденциальности данных, возможно, с использованием криптографических средств;
• выполнения требований действующего законодательства, договорных требований и т.п.;
• резервного копирования производственных данных;
• восстановления систем после отказов (особенно для систем с повышенными требованиями к доступности);
• защиты систем от несанкционированных модификаций;
• безопасного управления системами и их использования сотрудниками, не являющимися специалистами.
2. Подгруппа регуляторов, обеспечивающих безопасность приклад
ных систем, включает:
• проверку входных данных;
• встроенные проверки корректности данных в процессе их обработки;
• аутентификацию сообщений как элемент контроля их целостности;
• проверку выходных данных.
3. Третью подгруппу рассматриваемой группы составляют криптографические регуляторы. Их основой служит документированная политика использования средств криптографии. Стандартом предусматривается применение шифрования, электронных цифровых подписей, средств управления ключами.
4. Четвертая подгруппа - защита системных файлов - предусматривает:
• управление программным обеспечением, находящимся в эксплуатации;
• защиту тестовых данных систем;
• управление доступом к библиотекам исходных текстов.
5. Регуляторы пятой подгруппы направлены на обеспечение безо
пасности процесса разработки и вспомогательных процессов. В нее входят
следующие регуляторы:
• процедуры управления внесением изменений;
• анализ и тестирование систем после внесения изменений;
• ограничение на внесение изменений в программные пакеты;
• проверка наличия скрытых каналов и троянских программ;
• контроль за разработкой ПО, выполняемой внешними организациями.
Девятая группа - группа «управление бесперебойной работой организации» исключительно важна, но устроена существенно проще. Она включает пять регуляторов, направленных на предотвращение перерывов в деятельности предприятия и защиту критически важных бизнес-процессов от последствий крупных аварий и отказов:
• формирование процесса управления бесперебойной работой организации;
• выработка стратегии (на основе анализа рисков) обеспечения бесперебойной работы организации;
• документирование и реализация планов обеспечения бесперебойной работы организации;
• поддержание единого каркаса для планов обеспечения бесперебойной работы организации, чтобы гарантировать их согласованность и определить приоритетные направления тестирования и сопровождения;
• тестирование, сопровождение и регулярный пересмотр планов обеспечения бесперебойной работы организации на предмет их эффективности и соответствия текущему состоянию.
Процесс планирования бесперебойной работы организации должен включать в себя:
• идентификацию критически важных производственных процессов и их ранжирование по приоритетам;
• определение возможного воздействия аварий различных типов на производственную деятельность;
• определение и согласование всех обязанностей и планов действий в нештатных ситуациях;
• документирование согласованных процедур и процессов;
• подготовку персонала к выполнению согласованных процедур и процессов в нештатных ситуациях.
Для обеспечения бесперебойной работы организации необходимы процедуры трех типов:
• процедуры реагирования на нештатные ситуации;
• процедуры перехода на аварийный режим;
• процедуры возобновления нормальной работы.
Примерами изменений, которые могут потребовать обновления планов, являются:
• приобретение нового оборудования или модернизация систем;
• новая технология выявления и контроля проблем, например, обнаружения пожаров;
• кадровые или организационные изменения;
• смена подрядчиков или поставщиков;
• изменения, внесенные в производственные процессы;
• изменения, внесенные в пакеты прикладных программ;
• изменения в эксплуатационных процедурах;
• изменения в законодательстве.
Назначение регуляторов последней, десятой группы - контроль соответствия требованиям. В первую подгруппу входят регуляторы соответствия действующему законодательству:
• идентификация применимых законов, нормативных актов и т.п.;
• обеспечение соблюдения законодательства по защите интеллектуальной собственности;
• защита деловой документации от утери, уничтожения или фальсификации;
• обеспечение защиты персональных данных;
• предотвращение незаконного использование средств обработки информации;
• обеспечение выполнения законов, касающихся криптографических средств;
• обеспечение сбора свидетельств на случай взаимодействия с правоохранительными органами.
Ко второй подгруппе отнесены регуляторы, контролирующие соответствие политике безопасности и техническим требованиям. Руководители всех уровней должны убедиться, что все защитные процедуры, входящие в их зону ответственности, выполняются должным образом и что все такие зоны регулярно анализируются на предмет соответствия политике и стандартам безопасности. Информационные системы нуждаются в регулярной проверке соответствия стандартам реализации защитных функций.
Регуляторы, относящиеся к аудиту информационных систем, объединены в третью подгруппу. Их цель - максимизировать эффективность аудита и минимизировать помехи, создаваемые процессом аудита, равно как и вмешательство в этот процесс. Ход аудита должен тщательно планироваться, а используемый инструментарий - защищаться от несанкционированного доступа.