Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная РУБРИКАТОР Управление коммуникациями и операциями Управление коммуникациями и операциями (BS ISO/IEC 27002:2005 RU, раздел 10)
Protectiva Compliance Manager
Навигация
 

Управление коммуникациями и операциями (BS ISO/IEC 27002:2005 RU, раздел 10)

Операции с документом
Операционные процедуры и ответственность, Управление процессом предоставления сервисов третьей стороной, Планирование и приемка системы, Резервное копирование, Управление сетевой безопасностью, Обращение с носителями информации, Обмен информацией, Сервисы электронной коммерции, Мониторинг

Операционные процедуры и ответственность

Цель:   Гарантировать корректное и надежное функционирование средств обработки информации.

Должна быть установлена ответственность и процедуры управления и эксплуатации всех средств обработки информации. Это включает разработку соответствующих операционных процедур.

В целях снижения риска небрежного использования или умышленного злоупотребления системой, по возможно, должно быть внедрено разделение полномочий.

Документированные операционные процедуры

 

Механизм контроля

Операционные процедуры должны быть документированы, поддерживаться и быть доступными всем пользователям, которым они нужны.

Руководство по внедрению

Должны быть подготовлены документированные процедуры для деятельности, связанной со средствами обработки и передачи информации, такие как процедуры запуска и завершения работы компьютера, процедуры резервного копирования, технического обслуживания оборудования, процедуры управления машинным залом и обработкой почты, а также личной безопасности.

Процедуры должны определять детальные инструкции по выполнению каждой работы, включая:

  • обработку и обращение с информацией;
  • резервное копирование;
  • требования к планированию, включая взаимозависимость с другими системами, самое раннее время начала и самое позднее время завершения работ;
  • инструкции по обработке ошибок или других исключительных ситуаций, которые могут возникнуть во время работы, включая ограничения на использование системных утилит;
  • контакты со службами технической поддержки, на случай неожиданных операционных или технических затруднений;
  • специальные инструкции для работы с исходящей информацией и носителями, такие как использование специальных бумажных бланков или управление конфиденциальной исходящей информацией, включая процедуры безопасного уничтожения выходных данных неудачно завершенных заданий;
  • процедуры перезапуска и восстановления, используемые в случае сбоя системы;
  • управление информацией журналов аудита и системных журналов.

Операционные процедуры, а также документированные процедуры для системных действий, должны рассматриваться в качестве официальных документов и все вносимые в них изменения должны быть санкционированы руководством. Там, где это технически осуществимо, управление информационными системами должно осуществляться единообразно, с использованием одинаковых процедур, инструментов и утилит.

Управление изменениями

 

Механизм контроля

Изменения средств и систем обработки информации должны контролироваться.

Руководство по внедрению

Рабочие системы и прикладное программное обеспечение должны являться предметом строгого контроля изменений.

В частности, следует рассмотреть следующие механизмы контроля:

  • идентификация и регистрация значимых изменений;
  • планирование и тестирование изменений;
  • оценка возможных последствий таких изменений, включая последствия для безопасности;
  • официальная процедура утверждения предлагаемых изменений;
  • предоставление подробной информации об изменениях всем заинтересованным лицам;
  • аварийные процедуры, включая процедуры и ответственность за аварийное завершение и восстановление в случае неудачного внесения изменений и непредвиденных событий.

Для обеспечения достаточного контроля всех изменений оборудования, программного обеспечения или процедур, должны существовать процедуры и формальная ответственность руководства. Когда производятся изменения, следует вести журнал аудита, содержащий полную информацию об изменениях.

Дополнительная информация

Недостаточный контроль изменений, вносимых в средства обработки информации и системы, является общей причиной системных сбоев и нарушений безопасности. Изменения, вносимые в операционную среду, особенно при переводе системы из разработки в рабочую эксплуатацию, могут повлиять на надежность работы приложений.

Изменения должны вноситься в рабочие системы, только в случае обоснованной бизнес необходимости, такой как повышение риска для системы. Обновление систем до последней версии операционной системы или приложения не всегда служит интересам бизнеса, т.к. это может привнести больше уязвимостей и нестабильности, чем текущая версия.  Также может потребоваться дополнительное обучение, затраты на лицензии, поддержку, сопровождение и административные издержки, а также новое аппаратное обеспечение, особенно в ходе миграции.

Разделение обязанностей

 

Механизм контроля

Обязанности и области ответственности должны быть разделены с целью снижения возможностей для случайной или преднамеренной модификации или злоупотребления ресурсами организации.

Руководство по внедрению

Разделение обязанностей является методом снижения риска случайного или преднамеренного злоупотребления системой. Следует позаботиться, чтобы один человек не мог получать доступ, модифицировать или использовать ресурсы без авторизации или  обнаружения. При разработке механизмов контроля должна учитываться возможность сговора.

Для небольших организаций метод разделения обязанностей может быть труднодостижим, но этот принцип должен применяться на практике настолько, насколько это возможно и целесообразно. Когда разделения обязанностей сложно реализовать, должны быть предусмотрены другие механизмы контроля, такие как мониторинг действий, ведение журналов аудита и контроль со стороны руководства. Важно, чтобы аудит безопасности оставался независимым.

Разделение разрабатываемых, тестируемых и действующих систем

 

Механизм контроля

Разрабатываемые, тестируемые и действующие системы должны быть разделены с целью уменьшения риска несанкционированного доступа или изменений действующих систем.

Руководство по внедрению

Должен быть определен уровень разделения между действующими, тестовыми средами и средой разработки, который необходим для предотвращения проблем функционирования, и внедрены соответствующие механизмы контроля.

Необходимо рассмотреть следующие механизмы контроля:

  • должны быть определены и документированы правила перевода программного обеспечения из разработки в рабочую эксплуатацию;
  • разрабатываемое и действующее программное обеспечение, должны работать на различных системах или компьютерных процессорах, а также в различных доменах или директориях;
  • компиляторы, редакторы и другие средства разработки или системные утилиты не должны быть доступны из действующих систем, когда этого не требуется;
  • среда функционирования тестовой системы должна, насколько это возможно, эмулировать среду функционирования действующей системы;
  • пользователи должны использовать различные пользовательские профили для действующих и тестовых систем, а меню должны отображать соответствующие идентификационные сообщения с целью уменьшения риска совершения ошибки;
  • конфиденциальные данные не должны копироваться в среду функционирования тестовой системы.

Дополнительная информация

Деятельность по разработке и тестированию может явиться причиной серьезных проблем, например, нежелательных изменений файлов или системного окружения, или сбоя системы. В этом случае, существует необходимость поддержания известного и стабильного тестового окружения для проведения тестирования и предотвращения неуместного доступа со стороны разработчиков,

Если разработчики и тестировщики обладают доступом к действующим системам и обрабатываемой в них информации, они могут внедрить несанкционированный и непроверенный код или изменить рабочие данные. В некоторых системах такая возможность может быть использована для мошенничества или внесения непроверенного или вредоносного кода, который может явиться причиной серьезных проблем функционирования.

Разработчики и тестировщики также представляют угрозу конфиденциальности операционной информации. Действия по разработке и тестированию могут быть причиной непреднамеренных изменений программного обеспечения или информации, если они совместно используют общее компьютерное окружение. Поэтому разделение разрабатываемых, тестируемых и действующих систем желательно с целью снижения риска случайных изменений или несанкционированного доступа к действующему программному обеспечению и бизнес данным.

Управление процессом предоставления сервисов третьей стороной

Цель:   Обеспечить и поддерживать необходимый уровень информационной безопасности и предоставления сервисов в соответствии с соглашениями о предоставлении сервисов, заключаемыми с третьей стороной.

Организация должна проверять реализацию соглашений, отслеживать соответствие соглашениям и управлять изменениями для того, чтобы гарантировать, что предоставляемые сервисы отвечают всем требованиям, согласованным с третьей стороной.

Предоставление сервиса

 

Механизм контроля

Должна обеспечиваться реализация, эксплуатация и поддержка механизмов безопасности, определений сервиса и уровней сервиса, включенных в соглашение о предоставлении сервиса с третьей стороной.

Руководство по внедрению

Предоставление сервиса третьей стороной должно включать согласованные меры безопасности, определения сервиса и аспекты управления сервисом. В случае соглашений об аутсорсинге, организация должна планировать необходимые периоды перехода (информации, средств ее обработки и чего-либо еще, что должно быть передано), а также должна обеспечить безопасность на протяжении переходного периода.

Организация должна убедиться в том, что третья сторона поддерживает достаточный уровень сервиса, наряду с работающими планами, разработанными с целью предоставления гарантий поддержки согласованных уровней непрерывности сервиса при серьезных сбоях или авариях.

Мониторинг и анализ сервисов, предоставляемых третьей стороной

 

Механизм контроля

Сервисы, отчеты и протоколы, предоставляемые третьей стороной должны регулярно отслеживаться и анализироваться, а также должны регулярно проводиться аудиты.

Руководство по внедрению

Мониторинг и анализ сервисов, предоставляемых третьей стороной, должны гарантировать выполнение требований информационной безопасности, содержащихся в соглашениях, а также должное управление инцидентами и проблемами информационной безопасности. Это должно включать в себя следующие взаимоотношения и процессы между организацией и третьей стороной по управлению сервисом:

  • мониторинг уровней производительности сервиса с целью проверки выполнения условий соглашений;
  • анализ отчетов о предоставлении сервиса, подготовленных третьей стороной и организация регулярных совещаний для контроля продвижения в соответствии с условиями соглашений;
  • предоставление информации об инцидентах информационной безопасности и анализ этой информации третьей стороной и организацией в соответствии с условиями соглашений, а также любыми дополнительными инструкциями и процедурами;
  • анализ журналов аудита и записей о событиях безопасности, проблемах функционирования, сбоях, отслеживание ошибок и разрушений, относящихся к сервису, предоставляемому третьей стороной;
  • решение и управление любыми обнаруженными проблемами.

Ответственность за управление взаимоотношениями с третьей стороной должна быть возложена на конкретное должностное лицо или группу управления сервисом. В дополнение к этому, организация должна убедиться в том, что третья сторона определила ответственность за контроль соответствия и соблюдение требований соглашений. Для мониторинга выполнения требований соглашения необходимы достаточное количество ресурсов и технической компетенции, в частности, должны соблюдаться требования информационной безопасности. В случае обнаружения затруднений с предоставлением сервиса должны предприниматься необходимые действия.

Организация должна поддерживать достаточный уровень общего контроля и видимости всех аспектов безопасности для конфиденциальной или критичной информации или средств обработки информации, доступ, обработка или управление которыми осуществляется третьей стороной. Организация должна убедиться в том, что они сохраняют видимость мероприятий по безопасности, таких как управление изменениями, идентификация уязвимостей, сообщение/реагирование на инциденты информационной безопасности в рамках четко определенного процесса, формата и структуры предоставления отчетности.

Дополнительная информация

В случае аутсорсинга, организации необходимо осознавать, что основная ответственность за информацию, обрабатываемую аутсорсером, остается за организацией.

Управление изменениями сервисов, предоставляемых третьей стороной

 

Механизм контроля

Изменения в предоставлении сервисов, включая поддержание и совершенствование существующих политик, процедур и механизмов контроля информационной безопасности, должны находиться под управлением, принимая во внимание уровень критичности задействованных бизнес систем, процессов и переоценку рисков.

Руководство по внедрению

Процесс управления изменениями сервисов, предоставляемых третьей стороной должен учитывать следующее:

  • изменения, сделанные организацией с целью реализации:
    • усовершенствований предлагаемых сервисов;
    • разработки любых новых приложений или систем;
    • модификаций или обновлений политик и процедур организации;
    • новых механизмов контроля для разрешения инцидентов информационной безопасности и совершенствования безопасности;
  • изменения в сервисах, предоставляемых третьей стороной, с целью реализации:
    • изменений и усовершенствований сети;
    • использования новых технологий;
    • внедрения новых продуктов или новых версий/релизов;
    • новых средств и сред разработки;
    • изменений в физическом расположении средств предоставления сервиса;
    • смены поставщиков.

Планирование и приемка системы

Цель:   Минимизировать риск сбоя систем.

В целях обеспечения доступности необходимых вычислительных ресурсов и других ресурсов требуются предварительное планирование и подготовка.

Для снижения риска перегрузки системы требования к вычислительным ресурсам должны быть спрогнозированы на будущее.

Для новых систем, перед их приемкой и началом использования, должны быть установлены, документированы и протестированы эксплуатационные требования.

Управление вычислительными ресурсами

 

Механизм контроля

Использование ресурсов должно отслеживаться, настраиваться и должны прогнозироваться требования к ресурсам на будущее с целью обеспечения требуемой производительности системы.

Руководство по внедрению

Для каждой новой и продолжающейся деятельности должны быть идентифицированы требования к ресурсам. Настройка и мониторинг систем должны применяться для обеспечения и, если необходимо, совершенствования доступности и эффективности систем. Для своевременного обнаружения проблем должны применяться детектирующие механизмы контроля. Прогнозы будущих требований к ресурсам должны учитывать новые требования бизнеса и системные требования, а также текущие и ожидаемые направления развития средств обработки информации организации.

Особое внимание должно быть уделено ресурсам, для приобретения которых требуется много времени или имеющих высокую цену; поэтому руководители должны отслеживать использование ключевых системных ресурсов. Они должны определить тенденции в их использовании, особенно в отношении бизнес приложений или инструментов, используемых для управления информационными системами.

Руководители должны использовать эту информацию для идентификации и избежания потенциальных проблем нехватки ресурсов и зависимости от ключевого персонала, которые могут представлять угрозу для безопасности систем и сервисов, и планировать соответствующие меры.

Приемка системы

 

Механизм контроля

Должны быть установлены критерии приемки новых информационных систем, их модернизаций и новых версий, а также должно проводиться необходимое тестирование систем(ы) во время разработки, предшествующее приемке систем(ы) в эксплуатацию.

Руководство по внедрению

Руководители должны гарантировать наличие четких, согласованных, документированных и протестированных требований и критериев для приемки новых систем. Новые информационные системы, их модернизации и новые версии должны вводиться в эксплуатацию только после их официальной приемки. Прежде, чем система будет официально принята, должны быть рассмотрены следующие вопросы:

  • требования к производительности и вычислительным ресурсам компьютера;
  • процедуры исправления ошибок и перезапуска, а также планы аварийных действий;
  • подготовка и тестирование рабочих процедур на соответствие установленным стандартам;
  • существующий согласованный набор механизмов безопасности;
  • эффективные ручные процедуры;
  • меры обеспечения непрерывности бизнеса;
  • доказательство того, что установка новой системы не окажет неблагоприятного воздействия на существующие системы, особенно в моменты пиковой нагрузки, например в конце месяца;
  • доказательство того, что воздействие новой системы на общий уровень безопасности организации было учтено;
  • обучение вопросам эксплуатации или использования новых систем;
  • простота использования, поскольку она влияет на производительность труда пользователей и позволяет избежать человеческих ошибок.

С целью обеспечения эффективного функционирования предложенного системного проекта для наиболее значительных новых разработок, необходимо консультироваться с пользователями и специалистами службы эксплуатации. Для подтверждения полного соответствия всем критериям приемки следует проводить соответствующее тестирование.

Дополнительная информация

Приемка может включать в себя формальный процесс сертификации и аккредитации для проверки того, что требования безопасности были должным образом учтены.

Резервное копирование

Цель:   Обеспечить целостность и доступность информации и средств ее обработки.

Должны быть установлены повседневные процедуры для выполнения согласованной  политики и стратегии резервного копирования для создания резервных копий данных и отработки их своевременного восстановления.

Резервное копирование информации

 

Механизм контроля

Резервные копии информации и программного обеспечения должны создаваться и тестироваться регулярно в соответствии с согласованной политикой резервного копирования.

Руководство по внедрению

Средства резервного копирования должны быть достаточны для восстановления всей важной бизнес информации и программного обеспечения в случае аварии или повреждения носителей информации.

Должны быть рассмотрены следующие вопросы по резервному копированию информации:

  • должен быть определен необходимый уровень копируемой информации;
  • должны создаваться точные и полные протоколы резервного копирования, а также должны быть разработаны документированные процедуры восстановления;
  • объем (например, полное или дифференцированное резервное копирование) и частота резервного копирования должны отражать бизнес требования организации, требования безопасности, предъявляемые к копируемой информации, а также критичность информации для поддержания непрерывной работы организации;
  • резервные копии должны храниться удаленно, на расстоянии, достаточном для предотвращения любого ущерба, вызванного аварией на основной площадке;
  • для копируемой информации должен быть обеспечен необходимый уровень физической защиты и защиты от влияния окружающей среды в соответствии со стандартами, действующими на основной площадке; механизмы контроля, применяемые к носителям информации на основной площадке, должны распространяться и на резервную площадку;
  • носители резервных копий должны регулярно тестироваться, чтобы гарантировать возможность их использования в аварийной ситуации в случае необходимости;
  • процедуры восстановления подлежат регулярным проверкам и тестированию, для того, чтобы гарантировать их эффективность и возможность завершения за время, отведенное на восстановление в соответствии с действующими процедурами;
  • в случае если важно обеспечить конфиденциальность копируемой информации, резервные копии должны быть защищены средствами шифрования.

Меры резервного копирования для отдельных систем должны регулярно тестироваться с целью получения гарантий их соответствия планам обеспечения непрерывности бизнеса. Для критичных систем резервное копирование должно охватывать всю системную информацию, приложения, а также данные, необходимые для  полного восстановления системы в случае аварии.

Необходимо установить период хранения важной бизнес информации, а также определить требования к постоянно хранящимся архивным копиям.

Дополнительная информация

Мероприятия по резервному копированию могут быть автоматизированы для облегчения процесса резервного копирования и восстановления. Такие автоматизированные решения должны тщательно тестироваться перед их внедрением и через регулярные интервалы времени.

Управление сетевой безопасностью

Цель: Обеспечить защиту информации в сетях, а также защиту поддерживающей инфраструктуры.

Управление безопасностью сетей, которые могут выходить за границы организации, требует особого внимания к информационным потокам, юридическим вопросам, мониторингу и  защите.

Также могут потребоваться дополнительные механизмы контроля, для защиты конфиденциальных данных, передаваемых через общедоступные сети.

Сетевые механизмы контроля

 

Механизм контроля

Сети должны адекватным образом управляться и контролироваться с целью их защиты от угроз и поддержания безопасности систем и приложений, использующих сеть, включая передаваемую информацию.

Руководство по внедрению

Менеджеры сети должны внедрить механизмы контроля для обеспечения безопасности данных в сетях и защиту подключаемых сервисов от несанкционированного доступа. В частности, следует уделить внимание следующим механизмам контроля:

  • там, где это возможно, ответственность за эксплуатацию сетей должна быть отделена от ответственности за эксплуатацию компьютеров;
  • должны быть установлены ответственность и процедуры управления удаленным оборудованием, включая оборудование в зонах работы пользователей;
  • должны быть установлены специальные механизмы контроля, направленные на обеспечение конфиденциальности и целостности данных, проходящих через общедоступные сети или через беспроводные сети, а также защиту подключаемых систем и приложений; специальные механизмы контроля также могут потребоваться для обеспечения доступности сетевых сервисов и подключаемых компьютеров;
  • должны применяться соответствующие журналирование и мониторинг с целью протоколирования действий, влияющих на безопасность;
  • деятельность руководства должна быть тесно скоординирована как для оптимизации сервиса, предоставляемого организации, так и для обеспечения применения механизмов контроля для всей инфраструктуры обработки информации.

Дополнительная информация

Дополнительная информация по сетевой безопасности содержится в ISO/IEC 18028, Информационные технологии – Методы обеспечения безопасности – Безопасность ИТ сетей.

Безопасность сетевых сервисов

 

Механизм контроля

Должны быть определены и включены во все соглашения о предоставлении сетевых сервисов параметры безопасности, уровни сервиса и требования к управлению для всех сетевых сервисов, независимо от того, предоставляются ли они внутри организации или на условиях аутсорсинга.

Руководство по внедрению

Должна быть определена и отслеживаться на регулярной основе способность провайдера сетевых сервисов управлять согласованными сервисами безопасным образом, а также должно быть согласовано право на проведение аудита.

Должны быть определены меры безопасности, необходимые для конкретных сервисов, такие как параметры безопасности, уровни сервиса и требования к управлению. Организация должна убедиться в том, что провайдеры сетевых сервисов реализовали эти меры.

Дополнительная информация

Сетевые сервисы включают в себя предоставление соединений, сервисы частных сетей, а также сети с добавленной стоимостью и управляемые решения по сетевой безопасности, такие как межсетевые экраны и системы обнаружения вторжений. Эти сервисы могут находиться в диапазоне от простой неуправляемой полосы пропускания до комплексных предложений, создающих добавочную стоимость.

Параметрами безопасности сетевых сервисов могут являться:

  • технологии, применяемые для обеспечения безопасности сетевых сервисов, такие как аутентификация, шифрование и контроль сетевых соединений;
  • технические параметры, требующиеся для установки защищенных соединений с сетевыми сервисами в соответствии с правилами безопасности и с правилами установки сетевых соединений;
  • процедуры использования сетевых сервисов для ограничения доступа к сетевым устройствам или приложениям там, где это необходимо.

Обращение с носителями информации

Цель:   Предотвратить несанкционированное раскрытие, модификацию, удаление или разрушение ресурсов, а также прерывание бизнес деятельности.

Носители информации подлежат контролю и физической защите.

Должны быть установлены соответствующие операционные процедуры для защиты документов, компьютерных носителей информации (например, лент, дисков), входных/выходных данных и системной документации от несанкционированного раскрытия, модификации, удаления или разрушения.

Управление сменными носителями информации

 

Механизм контроля

Должны быть установлены процедуры для управления сменными носителями информации.

Руководство по внедрению

Необходимо рассмотреть следующие механизмы управления сменными носителями информации:

  • если содержимое любых повторно используемых носителей информации, вывозимых из организации, больше не требуется, оно должны быть удалено без возможности восстановления;
  • там, где это необходимо и осуществимо, для выноса из организации любых носителей информации должно требоваться соответствующее разрешение, факты выноса должны регистрироваться в журнале аудита;
  • все носители должны храниться в надежных и безопасных местах, в соответствии со спецификациями производителей;
  • информация, хранимая на носителях, которая должна оставаться доступной после окончания срока жизни носителя (в соответствии со спецификациями производителей), должна также храниться где-нибудь еще с целью предотвращения потери информации по причине износа носителя;
  • следует рассмотреть возможность регистрации для уменьшения вероятности потери данных;
  • сменные накопители должны допускаться только в том случае, если на то существует бизнес обоснование.

Все процедуры и требуемые уровни полномочий должны быть четко документированы.

Дополнительная информация

Сменные носители включают в себя ленты, диски, флэш-диски, сменные жесткие диски, CD, DVD и печатные носители.

Уничтожение носителей информации

 

Механизм контроля

Не используемые более носители информации подлежат безопасному и надежному уничтожению с использованием формальных процедур.

Руководство по внедрению

Формальные процедуры для безопасного уничтожения носителей должны минимизировать риск утечки конфиденциальной информации к посторонним лицам. Процедуры для безопасного уничтожения носителей, содержащих конфиденциальную информацию, должны быть соразмерны с уровнем конфиденциальности этой информации. Следует рассмотреть следующие вопросы:

  • носители, содержащие конфиденциальную информацию, подлежат безопасному и надежному хранению и уничтожению, такому как сжигание или измельчение, или очистка от данных для использования другими приложениями в организации;
  • должны существовать процедуры для определения носителей, которые могут потребовать безопасного уничтожения;
  • может быть проще договориться о сборе и уничтожение всех носителей информации, чем пытаться выделить те, которые содержат конфиденциальные данные;
  • многие организации предлагают сервисы сбора и уничтожения для бумаги, оборудования и носителей информации; следует проявлять осторожность при выборе подходящего подрядчика, обладающего необходимым опытом и адекватными механизмами контроля; 
  • уничтожение носителей конфиденциальной информации должно по возможности регистрироваться в журнале аудита.

При накоплении носителей, подлежащих уничтожению, необходимо учитывать эффект агрегирования, который может привести к тому, что большое количество не конфиденциальной информации вместе будет являться конфиденциальной.

Дополнительная информация

Конфиденциальная информация может быть раскрыта из-за неосторожного уничтожения носителей.

Процедуры обращения с информацией

 

Механизм контроля

Для защиты информации от несанкционированного раскрытия или неправомерного использования, необходимо установить процедуры обработки и хранения информации.

Руководство по внедрению

Должны быть составлены процедуры для обращения, обработки, хранения и обмена информацией, согласующиеся с ее классификацией. Необходимо рассмотреть следующие меры:

  • обращение и маркирование всех носителей информации в соответствии с их уровнем классификации;
  • ограничение доступа для неавторизованных сотрудников;
  • официальная регистрация авторизованных получателей данных;
  • обеспечение полноты входных данных, правильного завершения обработки данных, и проверки достоверности выходных данных;
  • защита буферизованных данных, ожидающих вывода, в зависимости от уровня их конфиденциальности;
  • хранение носителей информации в соответствии со спецификациями производителей;
  • ограничение распространения данных до минимума;
  • четкое маркирование всех копий данных для привлечения внимания уполномоченного получателя;
  • регулярная проверка списков рассылки и списков авторизованных получателей.

Дополнительная информация

Эти процедуры применяются к информации в документах, компьютерных системах, сетях, мобильных вычислениях, мобильных коммуникациях, почте, голосовой почте, голосовой связи в целом, мультимедиа, почтовых сервисах/оборудовании, при использовании факсов и любых других конфиденциальных объектов, например, чистые банковские чеки, счета.

Безопасность системной документации

 

Механизм контроля

Системная документация должна быть защищена от несанкционированного доступа.

Руководство по внедрению

Для защиты системной документации от несанкционированного доступа необходимо рассмотреть следующие меры:      

  • системная документация должна храниться в надежном месте;
  • количество записей в списке контроля доступа к системной документации должно быть сведено к минимуму, а сам список должен быть завизирован владельцем приложения;
  • системная документация, хранящаяся в общедоступной сети или доставляемая через общедоступную сеть, должна быть соответствующим образом защищена.

Дополнительная информация

Системная документация может содержать широкий диапазон конфиденциальной информации, например описание прикладных процессов, процедур, структур данных, процессов авторизации.

Обмен информацией

Цель: Поддержание безопасности информации и программного обеспечения при их обмене внутри организации и с любыми внешними сторонами.

Обмен информацией и программным обеспечением между организациями должен базироваться на формальной политике обмена, осуществляться на основе соглашений об обмене и соответствовать требованиям действующего законодательства (см. раздел 15). 

Должны быть установлены процедуры и стандарты для защиты информации и носителей при передаче.

Политики и процедуры обмена информацией

 

Механизм контроля

Для защиты информационных обменов, использующих любые средства коммуникаций, должны применяться формальные политики, процедуры и механизмы контроля обмена информацией.

Руководство по внедрению

Процедуры и механизмы контроля, которым необходимо следовать при использование электронных средств коммуникаций, должны учитывать следующие меры:

  • процедуры, разработанные для защиты передаваемой информации от перехвата, копирования, модификации, перенаправления и разрушения;
  • процедуры, предназначенные для обнаружения и защиты от вредоносного кода, который может передаваться при использовании электронных коммуникаций;
  • процедуры, предназначенные для защиты конфиденциальной информации, передаваемой в электронной форме и представленной в виде вложения;
  • политики и руководства, определяющие правила допустимого использования электронных средств коммуникаций;
  • процедуры для использования беспроводных коммуникаций, принимающие во внимание связанные с этим специфические риски;
  • ответственность сотрудника, подрядчика или любого другого пользователя за компрометацию организации, например путем клеветы, оскорбления, выдачи себя за другое лицо, пересылку цепочки сообщений, неавторизованную покупку и т.п.;
  • использование криптографических методов, например, для защиты конфиденциальности, целостности и аутентичности информации;
  • руководство по сохранению и уничтожению всей деловой корреспонденции, включая сообщения, в соответствии с действующим национальным и местным законодательством и нормативной базой;
  • не оставление конфиденциальной или критичной информации на средствах печати, например, копирах, принтерах или факсимильных аппаратах, т.к. к ней может получить доступ неавторизованный персонал;
  • механизмы контроля и ограничения, связанные с перенаправлением средств связи, например, автоматическое перенаправление электронных писем на внешние почтовые адреса;
  • напоминание персоналу о том, что им следует соблюдать соответствующие предосторожности, например, не раскрывать конфиденциальную информацию во избежание быть подслушанными или перехваченными при совершении телефонного звонка:
    • людьми, находящими в непосредственной близости, особенно при пользовании мобильными телефонами;
    • прослушиванием линий связи и другими формами перехвата информации путем получения физического доступа к телефонной трубке или телефонной линии или путем использования сканирующих приемников;
    • людьми, находящимися на стороне приема;
  • не оставление сообщений содержащих конфиденциальную информацию на автоответчиках, т.к. они могут быть прослушаны неавторизованными лицами, сохранены в системах общего доступа или сохранены некорректно в результате ошибочного набора номера;
  • напоминание персоналу о проблемах, связанных с использованием факсимильных аппаратов, а именно:
    • несанкционированный доступ к встроенным хранилищам сообщений для восстановления сообщений;
    • намеренное или случайное программирование аппаратов для отправки сообщений по определенным адресам;
    • отправка документов или сообщений по неправильному номеру в результате ошибочного набора или использования ошибочно сохраненного номера;
  • напоминание персоналу о том, чтобы не регистрировать демографические данные, такие как email адрес или другая персональная информация, в любом программном обеспечении, чтобы предотвратить сбор этой информации для последующего несанкционированного использования;
  • напоминание персоналу о том, что современные факсимильные аппараты и фотокопиры содержат кэши страниц и запоминают там страницы в случае сбоя в подаче бумаги или передаче данных, которые будут распечатаны, как только сбой будет ликвидирован.

В дополнение к этому, следует напоминать персоналу о том, что они не должны вести конфиденциальных переговоров в общественных местах или открытых офисах, а также в местах переговоров, не имеющих звукоизолированных стен.

Средства обмена информацией должны соответствовать всем требованиям действующего законодательства.

Дополнительная информация

Обмен информацией может происходить путем использования большого количества разнообразных средств коммуникаций, включая электронную почту, голос, факс и видео.

Обмен программным обеспечением может происходить через большое количество различных сред, включая загрузку из Интернет и приобретение у продавцов, продающих готовые продукты.

Должны быть рассмотрены деловые, юридические последствия и последствия для безопасности, связанные с электронным обменом данными, электронной коммерцией и электронными коммуникациями, а также требования к механизмам контроля.

Информация может быть скомпрометирована из-за недостатка осведомленности, политики или процедур использования средств обмена информацией, например, она может быть подслушана при использовании мобильного телефона в общественном месте, ошибочной отправки электронного почтового сообщения, подслушана на автоответчике, в результате несанкционированного доступа к системам голосовой почты или случайной отправки факсимильных сообщений на ошибочное факсимильное оборудование.

Бизнес операции могут быть прерваны и информация может быть скомпрометирована в случае отказа средств связи, их перегрузки или прерывания работы. Информация может быть скомпрометирована, если к ней получат доступ неавторизованные пользователи.

Соглашения об обмене

 

Механизм контроля

Между организацией и внешними сторонами должны быть установлены соглашения об обмене информацией и программным обеспечением.

Руководство по внедрению

Соглашения об обмене должны учитывать следующие условия безопасности:

  • ответственность руководства за осуществление контроля и регистрации передаваемых данных, их отправку и получение;
  • процедуры уведомления отправителя о передаче данных, их отправки и получения;
  • процедуры для обеспечения трассируемости и неотказуемости;
  • минимальные технические стандарты пакетирования и передачи;
  • эскроу соглашения;
  • стандарты идентификации курьера;
  • ответственность и обязательства в случае инцидентов информационной безопасности таких, как потеря данных;
  • использование согласованной системы маркирования для конфиденциальной или критичной информации, гарантирующей незамедлительное понимание значения меток и необходимую защиту информации;
  • владение информацией и программным обеспечением и ответственность за защиту данных, авторских прав, соблюдение лицензионных соглашений на программное обеспечение и подобные соображения;
  • технические стандарты записи и чтения информации и программного обеспечения;
  • любые специальные механизмы контроля, которые могут потребоваться для защиты конфиденциальных данных, таких как криптографические ключи.

Должны быть установлены и поддерживаться политики, процедуры и стандарты для защиты информации и физических носителей при транспортировке, а также на них должны быть ссылки из соглашений об обмене.

Содержание любого соглашения, относящееся к безопасности, должно отражать конфиденциальность задействованной бизнес информации.

Дополнительная информация

Соглашения могут заключаться в электронном виде или в ручную и могут принимать форму официальных договоров или условий найма. Для конфиденциальной информации, специальные механизмы, используемые для обмена такой информацией, должны быть согласованы для всех организаций и типов соглашений.

Физические носители при транспортировке

 

Механизм контроля

Носители, содержащие информацию, должны быть защищены от несанкционированного доступа, неправомерного использования или повреждения во время транспортировки за пределы физических границ организации.

Руководство по внедрению

Для защиты носителей информации, перевозимых между площадками, должны применяться следующие механизмы контроля:

  • необходимо использоваться надежный транспорт или курьеров;
  • список авторизованных курьеров должен быть согласован с руководством;
  • должны быть внедрены процедуры для проверки идентификационных данных курьеров;
  • упаковка должна быть достаточной для защиты содержимого от любого физического повреждения, которое может возникнуть во время перевозки, а также соответствовать спецификациям производителей (например, на программное обеспечение), например, для защиты от влияния любых факторов окружающей среды, которые могут уменьшить эффективность восстановления носителей, такие как воздействие тепла, влажности или электромагнитных полей;
  • для защиты конфиденциальной информации от несанкционированного раскрытия или модификации там, где это необходимо, следует применять специальные механизмы контроля; их примеры включают:
    • использование запираемых контейнеров;
    • ручная доставка;
    • упаковка, позволяющая обнаружить факт вскрытия (указывающая на любые попытки получить доступ);
    • в исключительных случаях, разделение груза на несколько партий и их доставка различными маршрутами.

Дополнительная информация

Информация может быть уязвима к несанкционированному доступу, неправомерному использованию или повреждению во время физической транспортировки, например, при отправке носителей информации по почте или с курьером.

Обмен электронными сообщениями

 

Механизм контроля

Информация, передаваемая в ходе обмена электронными сообщениями, должна быть соответствующим образом защищена.

Руководство по внедрению

Анализ вопросов безопасности, применительно к обмену электронными сообщениями, должен включать в себя следующее:

  • защита сообщений от несанкционированного доступа, модификации или отказа в обслуживании;
  • обеспечение корректной адресации и передачи сообщений;
  • общая надежность и доступность сервиса;
  • юридические соображения, например, требования к электронным подписям;
  • получение разрешения на использование внешних общедоступных сервисов, таких как мгновенные сообщения или совместное использование файлов;
  • более строгие уровни аутентификации при контроле доступа из общедоступных сетей.

Дополнительная информация

Обмен электронными сообщениями, такой как электронная почта, электронный документооборот (ЭДО) и мгновенные сообщения играют все возрастающую роль в деловых коммуникациях. Обмен электронными сообщениями сопряжен с рисками, отличными от тех, которые возникают при бумажных коммуникациях.

Информационные системы, используемые в бизнесе

 

Механизм контроля

Должны быть подготовлены и внедрены политики и руководства для защиты информации, связанной с взаимодействием информационных систем, используемых в бизнесе.

Руководство по внедрению

Следует рассмотреть следующие вопросы, связанные с влиянием объединения таких средств на бизнес и безопасность:

  • известные уязвимости в административных и бухгалтерских системах, когда информация совместно используется различными подразделениями организации;
  • уязвимости информации в системах деловой коммуникации, например, запись телефонных переговоров или селекторных совещаний, конфиденциальность телефонных переговоров, хранение факсов, вскрытие почты, распространение почты;
  • политика и соответствующие механизмы контроля для управления совместным использованием информации;
  • исключение определенных категорий конфиденциальной деловой информации и секретных документов в случае, если система не обеспечивает требуемого уровня защиты;
  • ограничение доступа к информации, относящейся к определенным лицам, например, сотрудникам, работающим над конфиденциальными проектами;
  • категории сотрудников, подрядчиков или деловых партнеров, которым разрешено использование системы, и места, из которых они могут получать доступ к системе;
  • ограничение доступа к оборудованию только определенными категориями пользователей;
  • указание статуса пользователя, например, сотрудник организации или подрядчик, в справочниках для удобства других пользователей;
  • сохранение и резервное копирование информации, хранящейся в системе;
  • требования и соглашения о переходе на аварийный режим работы.

Дополнительная информация

Офисные информационные системы создают возможности для более быстрого распространения и совместного использования деловой информации, путем комбинирования документов, компьютеров, мобильного компьютерного оборудования, мобильных телекоммуникаций, почты, голосовой почты и голосовых коммуникаций в целом, средств мультимедиа, почтовых сервисов/оборудования и факсимильных аппаратов.

Сервисы электронной коммерции

Цель: Обеспечение безопасности сервисов электронной коммерции и их безопасного использования.

Должны быть рассмотрены последствия для безопасности и требования к механизмам контроля, связанные с использованием сервисов электронной коммерции, включая онлайновые транзакции.  Также следует рассмотреть вопросы обеспечения целостности и доступности информации, публикуемой в электронной форме через общедоступные системы.

Электронная коммерция

 

Механизм контроля

Информация, используемая в электронной коммерции и передаваемая через сети общего пользования, должна быть защищена от мошеннических действий, оспаривания договора, а также от несанкционированного раскрытия и модификации.

Руководство по внедрению

Анализ факторов безопасности для электронной коммерции должен включать в себя следующее:

  • уровень доверия, который требуется для подтверждения подлинности каждой из сторон, например, путем аутентификации;
  • процессы авторизации, касающиеся того, кто уполномочен устанавливать цены, выпускать или подписывать ключевые коммерческие документы;
  • предоставление гарантий того, что торговые партнеры полностью информированы о своих авторизациях;
  • определение и выполнение требований к конфиденциальности, целостности, подтверждению отправки и получения ключевых документов, невозможности отказа от договорных обязательств, например, связанных с тендерными или договорными процессами;
  • требуемый уровень доверия к целостности рекламируемых прайс-листов;  
  • конфиденциальность любых чувствительных данных или информации;
  • конфиденциальность и целостность любых транзакций, связанных с заказами, информации об оплате, адреса доставки и подтверждения получения;
  • степень контроля, необходимая для проверки платежной информации, полученной от покупателя;
  • выбор наиболее подходящей для защиты от мошенничества формы платежа;
  • уровень защиты, необходимый для обеспечения конфиденциальности и целостности информации о заказе;
  • избежание потери или дублирования информации в транзакциях;
  • ответственность за любые мошеннические транзакции;
  • требования по страхованию.

Многие из вышеперечисленных задач могут быть решены путем применения криптографических методов, принимая во внимание соблюдение требований законодательства.

Соглашения об электронной коммерции между торговыми партнерами должны быть подкреплены письменным договором, в котором обе стороны соглашаются с условиями торговли, включая детали авторизации. Также могут быть необходимы другие соглашения с провайдерами информационных сервисов и сетевыми провайдерами.

Общедоступные торговые системы должны публиковать условия предоставления услуг для клиентов.

Необходимо уделить внимание обеспечению устойчивости узла, используемого для электронной коммерции, к атакам и влияние на безопасность любых сетевых соединений, требуемых для реализации сервисов электронной коммерции.

Дополнительная информация

Электронная коммерция уязвима к большому числу сетевых угроз, которые могут привести к мошенничеству, разногласиям по контракту, а также к раскрытию или модификации информации.

В электронной коммерции могут применяться безопасные методы аутентификации, например, использование криптографии с открытыми ключами или цифровых подписей для уменьшения рисков. Также там, где такие сервисы нужны, могут использоваться доверенные третьи стороны.

Онлайновые транзакции

 

Механизм контроля

Информация, вовлеченная в онлайновые транзакции, должна быть защищена с целью предотвращения незавершенной передачи, неправильной маршрутизации, несанкционированного изменения передаваемых сообщений, несанкционированного раскрытия содержимого,  дублирования или повторной отправки сообщений.

Руководство по внедрению

Рассматриваемые аспекты безопасности онлайновых транзакций должны включать в себя следующее:

  • использование электронных подписей всеми сторонами, участвующими в транзакции;
  • все аспекты транзакции, например, предоставление гарантий того, что:
    • пользовательские полномочия всех участников проверены и имеют силу;
    • транзакция остается конфиденциальной; и
    • сохраняется конфиденциальность персональных данных участников;
  • канал связи между всеми участниками зашифрован;
  • протоколы, используемые для взаимодействия между всеми участниками, защищены;
  • предоставление гарантий того, что хранение деталей транзакции осуществляется вне какой-либо среды общего доступа, например, на платформе хранения, существующей в Интранет сети организации, и детали транзакции не попадают на носитель данных, к которому имеется прямой доступ из Интернет;
  • там, где используется доверенное лицо (например, для выпуска и поддержания цифровых подписей и/или цифровых сертификатов), безопасность интегрирована и встроена в процесс управления сертификатами/подписями.

Дополнительная информация

Границы применяемых механизмов контроля должны соответствовать уровню риска, связанного с каждой формой онлайн транзакции.

Может потребоваться, чтобы транзакции соответствовали законодательству, правилам и требованиям нормативной базы в той юрисдикции, в которой транзакция генерируется, обрабатывается, завершается и/или хранится.

Существует много форм транзакций, которые могут выполняться в интерактивном режиме, например, договорные, финансовые и т.п.

Общедоступная информация

 

Механизм контроля

Следует позаботиться об обеспечении целостности информации в системах общего доступа, для предотвращения несанкционированной модификации.

Руководство по внедрению

Программное обеспечение, данные и другая информация, для которой требуется обеспечение высокого уровня целостности, размещенная в общедоступных системах, должна быть защищена соответствующими механизмами, например, цифровыми подписями. Общедоступная система должна тестироваться на уязвимости и отказы, прежде чем к информации будет предоставлен доступ.

Должен существовать процесс формальной авторизации, прежде чем информация будет сделана общедоступной. Кроме того, все входные данные, предоставляемые системе извне, должны проверяться и утверждаться.

Системы электронных публикаций, особенно  допускающие обратную связь и прямой ввод информации, должны тщательно контролироваться таким образом, чтобы:

  • информация добывалась в соответствии со всеми законодательными актами о защите данных;
  • информация, вводимая и обрабатываемая в системах электронных публикаций, обрабатывалась своевременно, с необходимой точностью и полнотой;
  • обеспечивалась защита конфиденциальной информации в процессе ее накопления и хранения;
  • доступ к системе электронных публикаций, не допускал непреднамеренного доступа к сетям, к которым она подключена.

Дополнительная информация

Информация в общедоступной системе, например, информация на Web-сервере, доступном по сети Интернет, должна соответствовать законам, правилам и постановлениям в той юрисдикции, в которой находится система, осуществляется коммерческая деятельность или находится собственник(и) системы. Несанкционированная модификация публикуемой информации может повредить репутации организации, которая ее публикует.

Мониторинг

Цель: Обнаружение несанкционированных действий по обработке информации.

Должен осуществляться мониторинг систем и регистрация событий информационной безопасности. Для идентификации проблем в информационной системе должны использоваться журналы работы операторов и журналы сбоев.

Организация должна соответствовать всем требованиям действующего законодательства, применяющимся в отношении действий по мониторингу и протоколированию.

Мониторинг системы должен использоваться для проверки эффективности механизмов контроля и следования модели политики доступа.

Аудит событий

 

Механизм контроля

Должны создаваться и храниться на протяжении согласованного периода времени  журналы аудита, в которых протоколируются действия пользователей, исключительные ситуации и события информационной безопасности, с целью их использования в последующем для расследования инцидентов и мониторинга доступа.

Руководство по внедрению

Когда это применимо, журналы аудита должны включать в себя:

  • идентификаторы пользователей:
  • даты, время и детальную информацию о ключевых событиях, например, вход в систему и выход из системы;
  • если это возможно, идентификатор терминала и его расположение;
  • записи об успешных и неуспешных попытках получения доступа к системе;
  • записи об успешных и неуспешных попытках получения доступа к данным или другим ресурсам;
  • изменения конфигурации системы;
  • использование привилегий;
  • использование системных утилит и приложений;
  • файлы, к которым осуществлялся доступ и вид доступа;
  • сетевой адрес и протоколы;
  • сигналы тревоги от системы контроля доступа;
  • активация и деактивация систем защиты, таких как антивирусные системы и системы обнаружения вторжений.

Дополнительная информация

Журналы аудита могут содержать конфиденциальные персональные данные. Должны приниматься соответствующие меры по защите персональных данных. Там, где это возможно, системные администраторы не должны обладать полномочиями для удаления или деактивации журналов, содержащих данные об их собственных действиях.

Мониторинг использования системы

 

Механизм контроля

Должны быть установлены процедуры для мониторинга использования средств обработки информации, а результаты мониторинга должны регулярно анализироваться.

Руководство по внедрению

Уровень мониторинга, необходимый для конкретных средств обработки информации, должен определяться на базе оценки рисков. Организация должна обеспечить соответствие всем требованиям действующего законодательства, применимым к их действиям по мониторингу. Области, которые должны быть рассмотрены, включают в себя:

  • авторизованный доступ, включая детали, такие как:
    • идентификатор пользователя;
    • дата и время ключевых событий;
    • типы событий;
    • файлы, к которым осуществляется доступ;
    • используемые программы/утилиты;
  • все привилегированные операции, такие как:
    • использование привилегированных учетных записей, например, супервизора, суперпользователя, администратора;
    • запуск и останов системы;
    • подключение/отключение устройств ввода-вывода;
  • попытки несанкционированного доступа, такие как:
    • действия пользователей, приведшие к ошибке или отказу доступа;
    • ошибочные или отказанные действия в отношении данных или других ресурсов;
    • нарушения политики доступа и оповещения для сетевых шлюзов и межсетевых экранов;
    • сигналы тревоги от собственных систем обнаружения вторжений;
  • системные сигналы тревоги и сбои, такие как:
    • сигналы тревоги и сообщения, выводимые на консоль;
    • исключения в системном журнале;
    • сигналы тревоги от системы управления сетью;
    • сигналы тревоги от системы контроля доступа;
  • изменения или попытки внести изменения в настройки или механизмы безопасности системы.

Частота анализа результатов мониторинга системы должна зависеть от существующих рисков. Факторы риска, которые должны быть рассмотрены, включают в себя:

  • критичность прикладных процессов;
  • ценность, конфиденциальность и критичность задействованной информации;
  • существующий опыт проникновений и ненадлежащего использования системы, а также частота использования уязвимостей;
  • количество точек входа в систему (особенно со стороны сетей общего пользования);
  • случаи деактивации средств протоколирования.

Дополнительная информация

Процедуры мониторинга использования систем необходимы для того, что гарантировать, что пользователи выполняют только те действия, которые были явным образом разрешены.

Анализ журналов предполагает понимание угроз в отношении системы и способов их реализации.

Защита информации журналов аудита

 

Механизм контроля

Средства протоколирования и информация журналов аудита должны быть защищены от фальсификации и несанкционированного доступа.

Руководство по внедрению

Механизмы контроля должны быть нацелены на защиту от несанкционированных изменений и операционных проблем со средствами протоколирования, включая:

  • внесение изменений в типы протоколируемых сообщений;
  • редактирование и удаление файлов журналов;
  • превышение допустимого размера файла журнала на устройстве хранения, приводящее либо к невозможности записи событий, либо к перезаписи зарегистрированных ранее событий.

Может потребоваться архивирование некоторых журналов аудита как составная часть политики хранения записей или по причине наличия требований по сбору и хранению свидетельств.

Дополнительная информация

Системные журналы часто содержат большой объем информации, большая часть которой является избыточной для мониторинга безопасности. Чтобы упростить идентификацию существенных для целей мониторинга безопасности событий, следует рассмотреть возможность автоматического копирования соответствующих типов событий в другой журнал и/или использование соответствующих системных утилит или средств аудита для выполнения анализа и рационализации файла.

Системные журналы должны быть защищены, потому что, если данные в них могут быть модифицированы или удалены, то их существование может привести к возникновению ложного чувства защищенности.

Журналы работы администраторов и операторов

 

Механизм контроля

Действия системного администратора и системного оператора должны протоколироваться.

Руководство по внедрению

Журналы должны включать:

  • время, когда произошло событие (успех или неудача);
  • информация о событии (например, о задействованных файлах) или сбое (например, произошедшей ошибке и предпринятых корректирующих действиях);
  • какая учетная запись и какой администратор или оператор были задействованы;
  • какие процессы были задействованы.

Журналы работы системного администратора и оператора должны анализироваться на регулярной основе.

Дополнительная информация

Для мониторинга действий по системному и сетевому администрированию может использоваться система обнаружения вторжений, управление которой осуществляется из области, находящейся вне контроля системы и сетевых администраторов.

Регистрация сбоев

 

Механизм контроля

Сбои должны регистрироваться, анализироваться, и должны предприниматься соответствующие действия.

Руководство по внедрению

Сбои, связанные с обработкой информации или телекоммуникационными системами, о которых сообщают пользователи или системные программы, должны регистрироваться. Должны быть установлены четкие правила обработки поступившей информации о сбоях, включающие:

  • анализ журналов регистрации сбоев для получения гарантий их успешного устранения;
  • анализ корректирующих мер, для получения гарантий того, что механизмы контроля не были скомпрометированы, а предпринятые действия были соответствующим образом авторизованы.

Следует обеспечить регистрацию ошибок, в случае наличие такой системной функции.

Дополнительная информация

Регистрация ошибок и сбоев может повлиять на производительность системы. Такая регистрация должна быть активизирована компетентным персоналом, а уровень протоколирования, необходимый для конкретных систем, должен определяться на основе оценки рисков, принимая во внимание возможность деградации производительности.

Синхронизация часов

 

Механизм контроля

Часы на всех важных системах обработки информации в организации или в домене безопасности должны быть синхронизированы с согласованным точным источником времени.

Руководство по внедрению

Если в компьютере или устройстве связи имеются возможности для установки часов в режиме реального времени, время должно быть установлено в согласованном стандарте, например, Универсальное Скоординированное Время (UTC) или местное стандартное время. Ввиду того, что с течением времени некоторые часы обычно начинают отставать или спешить, необходимо установить процедуру проверки и корректировки времени в случае существенных расхождений.

Правильная интерпретация формата даты/времени важна для того, чтобы гарантировать, что временная метка отражает реальную дату/время. Должна приниматься во внимание местная специфика (например, сбережение дневного времени).

Дополнительная информация

Точная установка компьютерных часов важна для обеспечения достоверности журналов аудита, которые могут понадобиться для проведения расследований или в качестве доказательств при рассмотрении правовых или дисциплинарных дел. Неточные записи в журналах аудита могут затруднить проведение таких расследований и снизить надежность таких доказательств. В качестве главных часов для систем протоколирования могут использоваться часы, связанные с временем национальных атомных часов, передаваемым по радио. Для синхронизации всех серверов с главными часами может использоваться сетевой протокол синхронизации времени.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2019 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex