07. Свод правил управления ИБ (ISO/IEC 27002-2013). Часть 3

7. Физическая и экологическая безопасность

Физическую и экологическую безопасность определяют следующие составляющие:
- зоны безопасности;
- безопасность оборудования.

7.1. Зоны безопасности

Цель: Предотвратить несанкционированный физический доступ, повреждение и вмешательство в информацию и средства обработки информации.

Зоны безопасности определяют следующие составляющие:
- периметр физической безопасности;
- управление физическим доступом;
- защита помещений и оборудования;
- защита от окружающей среды;
- работа в зонах безопасности;
- зоны доставки и погрузки/разгрузки.

Периметр физической безопасности

Меры и средства: периметры физической безопасности должны быть определены и использованы для защиты зон, содержащих чувствительную или критичную информацию или средства ее обработки.

Рекомендации по реализации. В отношении периметров физической безопасности необходимо рассматривать и реализовывать следующие рекомендации:

- должны быть определены периметры безопасности, а размещение и надежность каждого из периметров должны зависеть от требований безопасности активов, находящихся в пределах периметра, и результатов оценки риска;

- периметры здания или помещений, где расположены средства обработки информации, должны быть физически прочными (т.е. не должно быть никаких промежутков в периметре или мест, через которые можно было бы легко проникнуть);

- внешние стены помещений должны иметь твердую конструкцию, а все внешние двери должны быть соответствующим образом защищены от несанкционированного доступа контрольными механизмами (например, шлагбаумом, сигнализацией, замками т.п.);

- двери и окна помещений в отсутствие сотрудников должны быть заперты, и внешняя защита должна быть предусмотрена для окон, особенно если они находятся на уровне земли;

- должна существовать зона регистрации посетителей или другие меры для контроля физического доступа в помещения или здания; доступ в помещения и здания должен предоставляться только уполномоченному персоналу;

- должны быть установлены физические барьеры для предотвращения несанкционированного физического доступа и экологического загрязнения;

- все пожарные выходы в периметре безопасности должны оборудоваться аварийной сигнализацией, мониториться и тестироваться вместе со стенами, чтобы создать требуемый уровень устойчивости в соответствии с действующими стандартами;

- должны быть установлены необходимые системы обнаружения вторжения, соответствующие действующим стандартам, и регулярно тестироваться на предмет охвата всех внешних дверей и доступных окон, неохваченные зоны необходимо ставить на круглосуточную сигнализацию; охвачены должны быть также и такие зоны, как компьютерный кабинет или комнаты связи;

- необходимо физически изолировать средства обработки информации, управляемые организацией, от таких же средств, управляемых сторонними организациями.

Физическая безопасность может достигаться созданием одного или нескольких физических барьеров вокруг помещений и средств обработки информации организации. Использование множества барьеров дает дополнительную защиту, поскольку нарушение одного барьера не приводит к немедленной компрометации безопасности.

Зона безопасности может включать оффис или несколько помещений, окруженных общим внутренним физическим барьером безопасности. Внутри периметра безопасности могут потребоваться дополнительные барьеры и периметры контроля физического доступа между зонами с разными требованиями безопасности. Специальное внимание надо уделить безопасности физического доступа в здания, содержащие активы многих организаций.

Управление физическим доступом

Меры и средства: зоны безопасности должны быть защищены средствами контроля, обеспечивающими доступ только уполномоченного персонала.

Рекомендации по реализации:

- дата и время входа и выхода посетителей должны регистрироваться, и всех посетителей необходимо сопровождать, за исключением случаев заблаговременного согласования;

- доступ следует предоставлять только для выполнения определенных задач, а также необходимо инструктировать посетителей на предмет требований безопасности и действий в случае аварийных ситуаций;

- идентификацию посетителей необходимо осуществлять надлежащим образом;

- доступ к зонам, где обрабатывается или хранится конфиденциальная информация, должен ограничиваться только уполномоченными лицами путем применения соответствующих средств контроля, например, механизма двухфакторной аутентификации, такого как карта доступа и секретный персональный идентификационный номер (PIN);

- необходимо вести и мониторить записи регистрации любого доступа в защищенном физическом и электронном контрольном журнале;

- необходимо требовать, чтобы все сотрудники, подрядчики и представители сторонних организаций носили ту или иную форму видимого идентификатора и незамедлительно уведомляли сотрудников службы безопасности о замеченных несопровождаемых посетителях и лицах, не носящих видимого идентификатора;

- доступ в зоны безопасности или к средствам обработки конфиденциальной информации персоналу служб поддержки сторонних организаций следует предоставлять только при необходимости; такой доступ должен быть санкционирован и мониториться;

- права доступа в зоны безопасности следует регулярно пересматривать, обновлять и аннулировать при необходимости.

Защита помещений и оборудования

Меры и средства: физическая безопасность оффисов, помещений и оборудования должна быть спроектирована и внедрена.

Рекомендации по реализации:

- ключевое оборудование должно быть расположено в местах, где ограничен доступ посторонних лиц;

- здания, по возможности, должны давать минимум информации об их предназначении, не должны иметь явных признаков снаружи и внутри, позволяющих установить наличие деятельности по обработке информации;

- оборудование должно иметь такую конфигурацию, чтобы исключить просматривание и прослушивание конфиденциальной информации в выходных данных; электромагнитное поле также надо рассмотреть соответствующим образом;

- справочники и внутренние телефонные книги, указывающие на местоположение средств обработки конфиденциальной информации, не должны быть доступными для посторонних лиц.

Работа в зонах безопасности

Меры и средства: процедуры работы в зонах безопасности должны быть разработаны и внедрены.

Рекомендации по реализации:
- о существовании зоны безопасности и проводимых там работах персонал должен быть осведомлен только в случае необходимости;
- необходимо избегать неконтролируемой работы в зонах безопасности из соображений безопасности и предотвращения возможности злонамеренных действий;
- пустующие зоны безопасности необходимо физически запирать и периодически просматривать;
- использование фото-, видео-, аудио- и другого записывающего оборудования, такого как камеры мобильных устройств, должно быть запрещено, если только на это не получено специальное разрешение.

Соглашения о работе в зонах безопасности включает контроль работы сотрудников и представителей сторонних организаций в зоне безопасности, охватывающий все действия в этой зоне.

Защита от окружающей среды

Меры и средства: физическая защита от стихийных бедствий, умышленных атак или общественных беспорядков должна быть спроектирована и внедрена.

Рекомендации по реализации: следует проконсультироваться у специалиста по вопросу предотвращения ущерба от пожара, наводнения, землетрясения, взрыва, общественного беспорядка и других естественных и искусственных бедствий.

Зоны доставки и погрузки/разгрузки

Меры и средства: такие места доступа, как зоны доставки и погрузки/разгрузки и другие, где посторонние лица могут попасть в помещения, должны контролироваться и, при возможности, изолироваться от средств обработки информации во избежание несанкционированного доступа.

Рекомендации по реализации:

- доступ к зоне доставки и погрузки/разгрузки из-вне здания должен быть ограничен только уполномоченным персоналом;

- зона доставки и погрузки/разгрузки не должна предоставлять персоналу поставщика при погрузке и разгрузке доступа к другим частям здания;

- должна быть обеспечена безопасность внешних дверей зоны доставки и погрузки/разгрузки в то время, когда внутренние двери открыты;

- поступающий материал должен быть проверен на наличие взрывчатки, химикатов и других вредных материалов прежде, чем будет вынесен из зоны доставки и погрузки/разгрузки;

- поступающий материал должен регистрироваться при въезде на площадку в соответствии с процедурами управления активами;

- по возможности, ввозимые и вывозимые грузы должны быть физически разделены;

- поступающий материал должен быть проверен на предмет фальсификации на маршруте. О выявлении такого факта необходимо немедленно доложить службе безопасности.

7.2. Безопасность оборудования

Цель: Предупредить потерю, порчу, хищение или компрометацию активов и прерывание деятельности организации.

Безопасность оборудования обеспечивают следующие меры:
- размещение и защита оборудования;<
- вспомогательное оборудование;
- кабельная безопасность;
- обслуживание оборудования;
- перемещение активов;
- безопасность удалённых активов;
- безопасное уничтожение активов;
- безопасность оборудования без присмотра;
- политика чистого рабочего стола и экрана.

Размещение и защита оборудования

Меры и средства: оборудование должно быть расположено и защищено так, чтобы уменьшить риски от внешних угроз и возможности несанкционированного доступа.

Рекомендации по реализации:

- оборудование следует размещать таким образом, чтобы свести к минимуму доступ в рабочие зоны;

- средства обработки информации, содержащей чувствительные данные, следует размещать таким образом, чтобы уменьшить риск просмотра информации посторонними лицами во время их работы;

- средства хранения следует защищать от несанкционированного доступа;

- для снижения общего уровня требуемой защиты необходимо выделить элементы, требующие специальной защиты;

- меры защиты должны быть внедрены таким образом, чтобы свести к минимуму риск физических и экологических угроз, например, хищение, пожар, взрывы, задымление, затопление, запыление, вибрация, химическое воздействие, помехи в линиях электроснабжения и коммуникаций, электромагнитное излучение и вандализм;

- необходимо установить правила приема пищи, питья и курения вблизи средств обработки информации;

- следует проводить мониторинг состояния окружающей среды по выявлению неблагоприятных условий, таких как температура и влажность, для функционирования средств обработки информации;

- на всех зданиях должна быть установлена защита от молнии, а на входе всех линий электроснабжения и коммуникации - фильтры защиты от молнии;

- оборудование, расположенное в промышленной среде, следует защищать специальными средствами, такими как защитные пленки для клавиатуры;

- оборудование, обрабатывающее конфиденциальную информацию, должно быть защищено от утечки информации из-за электромагнитного излучения.

Вспомогательное оборудование

Меры и средства: оборудование должно быть защищено от сбоев электропитания и других нарушений, вызванных отказами в работе вспомогательного оборудования.

Рекомендации по реализации. Вспомогательное оборудование (например, связи, электро-, водо-, газоснабжения, канализации, вентиляции, кондиционирования) должно:

- соответствовать рекомендациям изготовителя оборудования и правовым требованиям;
- регулярно оцениваться на предмет поддержки развития бизнеса и взаимодействия с другим вспомогательным оборудованием;
- регулярно проверяться и тестироваться на предмет уверенности в их должном функционировании;
- при необходимости иметь сигнализацию выявления неисправности;
- при необходимости иметь несколько каналов с разной физической маршрутизацией.

Аварийные выключатели и краны электро-, водо-, газоснабжения и другого оборудования необходимо расположить около запасных выходов и помещений, в которых оно находится. Дополнительное резервирование для сетевых коммуникаций может быть обеспечено по нескольким маршрутам более, чем от одного провайдера.

Кабельная безопасность

Меры и средства: кабели электропитания и телекоммуникаций, поддерживающие обмен данными и информационные сервисы, должны быть защищены от перехвата, помехи или повреждения.

Рекомендации по реализации:
- линии электропитания и телекоммуникаций средств обработки информации должны, по возможности, располагаться под землей или иметь адекватную альтернативную защиту;
- кабели электропитания и телекоммуникаций должны быть разделены, чтобы избежать взаимных помех;
- для чувствительных или критичных систем дальнейшие меры защиты должны включать:
  • использование бронированного кабелепровода и закрытие комнат и боксов на контрольных и конечных точках;
  • использование электромагнитного экранирования для защиты кабелей;
  • проведение технических чисток и физических проверок кабелей на предмет подключения устройств перехвата;
  • контроль доступа к коммутационным панелям и кабельным помещениям.

Обслуживание оборудования

Меры и средства: оборудование должно правильно обслуживаться для обеспечения его непрерывной доступности и целостности.

Рекомендации по реализации:
- оборудование должно обслуживаться в соответствии с рекомендуемой поставщиком периодичностью и техническими регламентами;
- техническое обслуживание и ремонт оборудования должны проводиться только уполномоченным персоналом;
- следует хранить записи обо всех неисправностях и всех видах технического обслуживания;
- при планировании технического обслуживания необходимо учитывать, будет ли оно проводиться персоналом организации или за ее пределами; при необходимости, конфиденциальная информация из оборудования должна быть удалена, или специалисты по техническому обслуживанию должны иметь соответствующий допуск;
- все техническое обслуживание, предусмотренное полисом страховки, должно быть выполнено;
- перед введением оборудования в эксплуатацию после технического обслуживания оно должно быть проверено на наличие несанкционированных изменений и некорректной работы.

Перемещение активов

Меры и средства: оборудование, информация или ПО не должны перемещаться за пределы организации без предварительного разрешения.

Рекомендации по реализации:
- сотрудники и представители сторонних организаций, имеющие право разрешать перемещение активов за пределы организации, должны быть определены;
- сроки отсутствия активов должны быть установлены и проверены на соответствие при их возврате;
- при необходимости факты перемещения активов за пределы организации и их возврата следует регистрировать;
- личность, роль и принадлежность кого-либо, кто обрабатывает или использует активы, должна быть задокументирована, и эта документация возвращена вместе с оборудованием, информацией или ПО.

Выборочные проверки для выявления несанкционированного перемещения активов могут также выявить несанкционированные записывающие устройства, оружие и т.п. и предотвратиь их ввоз или вывоз. Такие проверки должны проводиться в соответствии с действующим законодательством и нормативами. Лица, осуществляющие проверки, должны быть осведомлены о своих полномочиях, которые должны соответствовать правовым и нормативным требованиям.

Безопасность удалённых активов

Меры и средства: безопасность удаленных активов, т.е. находящихся за пределами организации, должна быть обеспечена с учетом разнообразных рисков такой их эксплуатации.

Рекомендации по реализации: использование удаленного оборудования для обработки и хранения информации должно быть санкционировано руководством. Это касается оборудования, являющегося собственностью организации, а также личного оборудования, которое используется от имени организации.

Необходимо учесть следующие рекомендации для защиты удаленных активов:

- оборудование и носители, вынесенные за пределы организации, не следует оставлять без присмотра в общедоступных местах;

- необходимо всегда соблюдать инструкции изготовителей по защите оборудования, например, по защите от воздействия сильных электромагнитных полей;

- следует определить и обеспечить соответствующие меры безопасности для удаленных мест, таких как работа на дому, удаленная работа и временные сайты, исходя из оценки риска, например, запираемые шкафы для хранения документов, политика чистого рабочего стола, защита доступа к компьютерам и защищенная связь с офисом;

- журнал регистрации фактов передачи удаленного оборудования между разными лицами и сторонними организациями должен содержать цепочки поставок оборудования, в том числе ответственных за оборудование лиц и организаций.

Риски, например, повреждения, хищения или подслушивания, могут быть разными для разных мест и должны учитываться при выборе наиболее подходящих мер защиты.

Оборудование для обработки и хранения информации включает в себя все виды персональных компьютеров, органайзеров, мобильных телефонов, смарт-карт, бумаги или другие виды, используемые для работы на дому или выносимые за пределы организации. 

Предотвращению риска может способствовать запрет удаленной работы или использования портативного ИТ оборудования для определенных сотрудников.

Безопасное уничтожение оборудования

Меры и средства: все элементы оборудования, содержащие носители информации, перед уничтожением или повторным использованием должны быть проверены на предмет уничтожения или безопасной перезаписи чувствительных данных и лицензионного ПО.

Рекомендации по реализации: оборудование перед уничтожением или повторным использованием должно быть проверено на наличие носителей информации.

Носители, содержащие конфиденциальную и защищенную авторскими правами информацию, должны быть физически разрушены, или информация должна быть разрушена, удалена или перезаписана с помощью не стандартного удаления или форматирования, а специальных методов, делающих исходную информацию невосстановимой.

Поврежденное оборудование, содержащее чувствительные данные, может потребовать оценку риска того, было ли оно достаточно физически разрушено до того, как было выброшено или попало в ремонт. Информация может быть скомпрометирована при неправильном уничтожении или повторном использовании оборудования.

Наряду с безопасной чисткой диска риск разглашения конфиденциальной информации при утилизации или перераспределении оборудования снижает шифрование целого диска при выполнении следующих условий:
- процесс шифрования достаточно сильный и охватывает весь диск (включая свободное пространство, файлы подкачки и т.п.);
- длина ключей достаточна для противодействия атакам перебора;
- ключи шифрования содержатся в тайне (например, не хранятся на самом диске).

Методы безопасной перезаписи носителей могут быть разными в зависимости от технологии носителей. Инструменты перезаписи следует проверять на предмет соответствия технологии носителей.

Безопасность оборудования без присмотра

Меры и средства: пользователи должны гарантировать, что оставленное без присмотра оборудование защищено надлежащим образом.

Рекомендация по реализации: пользователи должны быть осведомлены о требованиях безопасности и процедурах защиты оборудования без присмотра, а также своих обязанностях по обеспечению этой защиты.

Пользователям рекомендуется:
- завершать активные сеансы по окончании работы, если отсутствует соответствующий механизм блокировки, например, защищенная паролем экранная заставка;
- выйти из приложений и сетевых сервисов, если они не нужны;
- защитить компьютеры или мобильные устройства от несанкционированного использования с помощью блокировки клавиатуры или эквивалентной меры защиты, например, парольного доступа.

Политика чистого стола и экрана

Меры и средства: должна быть внедрена политика чистого стола для документов и съемных носителей информации и политика чистого экрана для средств обработки информации.

Рекомендации по реализации:

- носители (бумажные или электронные), содержащие чувствительную или критичную бизнес-информацию, когда они не используются, следует запирать (лучше всего, в сейфе или кабинете), особенно, если в оффисе никого нет;

- компьютеры и терминалы, оставленные без присмотра, следует выключать или защищать механизмом блокировки экрана или клавиатуры, контролируемого паролем, токеном или схожим механизмом аутентификации пользователя;

- необходимо предотвратить несанкционированное использование фотокопировальной и другой воспроизводящей технологии (например, сканеров, цифровых камер);

- документы, содержащие чувствительную или классифицированную информацию, необходимо немедленно изымать из принтеров.

Рекомендуется использовать принтеры с функцией ПИН-кода, когда только инициаторы печатания могут забрать из принтера готовый документ и вставить следующий.

8. Безопасность операций

Безопасность операций определяют следующие составляющие:
- операционные процедуры;
- защита от вредоносного ПО;
- резервное копирование;
- протоколирование и мониторинг;
- контроль системного ПО;
- управление техническими уязвимостями;
- проведение аудита ИС.

8.1. Операционные процедуры

Цель: Обеспечить правильное и безопасное использование средств обработки информации.

Операционные процедуры обеспечивают следующие мероприятия:
- документирование процедур;
- управление изменениями;
- управление мощностью;
- разделение сред разработки, тестирования и эксплуатации.

Документирование процедур

Меры и средства: операционные процедуры должны быть задокументированы и доступны для всех пользователей, которые в них нуждаются.

Рекомендации по реализации: задокументированные процедуры должны быть подготовлены для функциональных действий, связанных со средствами обработки и передачи информации, таких как компьютерные процедуры запуска и завершения, резервное копирование, техническое обслуживание, работа с носителями, управление обработкой почты и безопасность.

Операционные процедуры должны определять эксплуатационные инструкции, включающие:
- инсталляцию и конфигурацию систем;
- обработку и управление информацией, как автоматизированное, так и ручное;
- резервное копирование;
- требования в отношении графика работ, включая взаимозависимости с другими системами, время начала первой и время завершения последней процедуры;
- инструкции по обработке ошибок или других чрезвычайных ситуаций, которые могут возникнуть в процессе выполнения задач, включая ограничения на использование системного ПО;
- необходимые контакты поддержки, в том числе внешней, на случай неожиданных эксплуатационных или технических проблем;
- специальные инструкции по управлению выводом данных и работе с носителями информации, например, использование специальных бланков или управление выводом конфиденциальных данных, включая процедуры безопасного уничтожения выходных данных в случае невыполнения задач;
- перезапуск системы и процедуры восстановления на случай системного сбоя;
- управление информацией, содержащейся в контрольных и системных журналах;
- процедуры мониторинга.

Управление изменениями

Меры и средства: изменения в организации, бизнес-процессах и средствах обработки информации, влияющих на ИБ, должны контролироваться.

Рекомендации по реализации. В частности, необходимо рассмотреть следующие аспекты:
- определение и регистрацию существенных изменений;
- планирование и тестирование изменений;
- оценку возможных влияний таких изменений, включая влияния на ИБ;
- формальную процедуру утверждения предлагаемых изменений;
- проверку соответствия требованиям ИБ;
- подробное информирование об изменениях всех заинтересованных лиц;
- процедуры возврата в исходный режим, включая прерывание и последующее восстановление в случае неудачных изменений и непредвиденных обстоятельств;
- процесс чрезвычайного изменения для активации быстрого и контролируемого внедрения изменений, необходимых для решения инцидента.

Необходимо следовать формальным процедурам и обязанностям управления для достаточного контроля всех изменений. Журнал аудита, содержащий всю соответствующую информацию, должен сохраняться.

Неадекватный контроль изменений в системах и средствах обработки информации является общей причиной нарушений системы и безопасности. Изменения эксплуатационной среды, особенно при переводе системы из стадии разработки в стадию эксплуатации, могут влиять на надежность приложений.

Управление мощностью

Меры и средства: использование ресурсов должно контролироваться, регулироваться и прогнозироваться в соответствии с будущими требованиями мощности для обеспечения требуемой производительности системы.

Рекомендации по реализации: требования мощности должны быть определены с учетом бизнес-критичности связанных систем. Следует осуществлять мониторинг и регулирование системы для обеспечения и, при необходимости, повышения ее доступности и эффективности.

Должны быть внедрены поисковые системы контроля для выявления проблем с течением времени. Прогнозирование требований к производительности должно учитывать новые требования бизнеса и новые системные требования, а также современные и будущие тенденции возможностей обработки информации.

Особое внимание необходимо уделять любым ресурсам, требующим длительного времени на закупку или больших расходов, поэтому руководителям следует контролировать использование ключевых системных ресурсов. Они должны определять тенденции в использовании, в частности, бизнес-приложений или инструментов управления ИС.

Руководство должно использовать эту информацию для определения и предотвращения потенциальных узких мест и зависимости от персонала, который может нанести ущерб безопасности системы или сервисов, а также планирования соответствующих действий.

Обеспечение достаточной мощности должно достигаться ее увеличением или снижением ее потребности. Примерами такого снижения могут быть:
- удаление устаревших данных (чистка диска);
- вывод из эксплуатации приложений, систем, баз данных;
- оптимизация групповых процессов и режимов;
- оптимизация логики приложения и запросов базы данных;
- запрет или ограничения трафика для ресурсоемкого сервиса, если он не критичен для бизнеса (например, потоковое видео).

Для целевых критичных систем следует разработать и задокументировать план управления мощностью.

Разделение сред разработки, тестирования и эксплуатации

Меры и средства: среды разработки, тестирования и эксплуатации должны быть разделены для снижения рисков несанкционированного доступа к эксплуатационной среде или ее изменений.

Рекомендации по реализации: уровень разделения сред разработки, тестирования и эксплуатации должен быть определен и обеспечен для предотвращения эксплуатационных проблем.

Необходимо рассмотреть следующие вопросы:
- правила перевода ПО между состояниями разработки и эксплуатации должны быть определены и задокументированы;
- разработка и эксплуатация ПО должна осуществляться на разных системах или компьютерных процессорах в различных доменах или директориях;
- изменения в эксплуатируемых системах и приложениях должны тестироваться в среде тестирования прежде, чем будут применены в них;
- тестирование не должно проводиться в эксплуатируемых системах, кроме исключительных случаев;
- составители, редакторы и другие инструменты или системные программы разработки не должны быть доступны в эксплуатируемых системах без необходимости;
- пользователи должны применять разные профили пользователя для эксплуатируемых и тестируемых систем, а в экранных меню должны показываться соответствующие идентификационные сообщения, чтобы уменьшить риск или ошибку;
- критичные данные не должны копироваться в среду системы тестирования, пока не будут внедрены эквивалентные меры защиты в систему тестирования.

Разрабатывающий и тестирующий персонал, имеющий доступ к эксплуатируемой системе и ее информации, может внести в нее несанкционированные и непроверенные коды или другие эксплуатационные данные. В некоторых системах это может привести к совершению мошенничества или внесению вируса, который может вызвать серьезные эксплуатационные проблемы.

Разрабатывающий и тестирующий персонал также представляет угрозу для конфиденциальности эксплуатационной информации. Если действия по разработке и тестированию осуществляются в одной компьютерной среде, они могут привести к непредвиденным изменениям ПО или информации. Поэтому разделение сред разработки, тестирования и эксплуатации целесообразно для снижения риска непредвиденного изменения или несанкционированного доступа к эксплуатационному ПО и бизнес-данным.

8.3. Защита от вредоносного ПО

Цель: Обеспечить защиту информации и средств ее обработки от вредоносного ПО.

Меры защиты от вредоносного ПО

Меры и средства: должны быть внедрены меры обнаружения, предотвращения и исправления для защиты от вредоносного ПО совместно с осведомленностью пользователей.

Рекомендации по реализации: защита от вредоносного ПО должна базироваться на ПО его обнаружения и исправления, осведомленности в сфере ИБ и соответствующих средствах управления системным доступом и изменением.

Необходимо рассмотреть следующие рекомендации:

- создание формальной политики запрета на использование неразрешенного ПО;

- внедрение средств обнаружения или предотвращения использования неразрешенного ПО (например, ведения «белого списка»);

- внедрение средств обнаружения или предотвращения использования известных и подозреваемых вредоносных сайтов (например, ведения «черного списка»);

- создание формальной политики защиты от рисков, связанных с получением файлов и ПО с помощью внешних сетей или других носителей, показывающей, какие меры защиты следует принять;

- уменьшение уязвимостей, которые могут использоваться вредоносным ПО, например, с помощью управления техническими уязвимостями;

- проведение регулярных пересмотров ПО и содержания системных данных, поддерживающих критичные бизнес-процессы; необходимо формальное расследование наличия любых неразрешенных файлов или несанкционированных изменений;

- установка и регулярное обновление ПО обнаружения и исправления вредоносного ПО по сканированию компьютеров и носителей информации в качестве меры предосторожности или на регулярной основе;

- следует проводить сканирование на наличие вредоносного ПО перед использованием:
  • любых файлов, полученных с помощью сетей или других носителей;
  • электронных почтовых прикрепленных файлов и загрузок;
  • веб-сайтов;

- определение процедур и обязанностей по защите от вредоносного ПО в системах, обучение их использованию, оповещение и восстановление после вредоносных атак;

- подготовка соответствующиих планов по обеспечению непрерывности бизнеса в части восстановления после вредоносных атак, включая все необходимые меры по резервному копированию и восстановлению данных и ПО;

- внедрение процедур регулярного сбора информации, таких как подписка на почтовые рассылки или проверка веб-сайтов, предоставляющих информацию о новом вредоносном ПО;

- внедрение процедур проверки информации, касающейся вредоносного ПО, и обеспечение точности и информативности предупредительных бюллетней;

- руководство должно быть уверено, что для разделения фальшивого и реального ПО используются квалифицированные источники, например, авторитетные журналы, Интернет-сайты или поставщики, создающие ПО по защите от вредоносного ПО;

- все пользователи должны быть осведомлены о фальшивках и действиях при их получении;

- изоляция от окружающей среды реального катастрофического влияния.

8.3. Резервировное копирование

Цель: Обеспечить защиту от потери данных.

Резервируемая информация

Меры и средства: резервные копии информации, ПО и образов систем должны создаваться и регулярно тестироваться в соответствии с утвержденной политикой резервного копирования.

Рекомендация по реализации: политика резервного копирования должна быть установлена для определения требований организации по резервному копированию информации, ПО и систем. Политика должна определить требования по хранению и защите.

Адекватные средства резервного копирования должны обеспечить восстановление всей важной информации и ПО после разрушения или повреждения носителей.

При составлении плана резервного копирования необходимо рассмотреть следующие вопросы:

- обеспечение точных и полных записей резервных копий и документирование процедур восстановления;

- объем (полное или выборочное) и частота резервного копирования должны отражать требования бизнеса организации, безопасности связанной информации и критичность информации для непрерывности бизнеса;

- хранение резервных копий в удаленном месте, на надежном расстоянии, достаточном, чтобы избежать любого повреждения из-за разрушения в основном месте;

- обеспечение соответствующего уровня физической и экологической защиты резервируемой информации в соответствии со стандартами, применяемыми в основном месте;

- регулярное тестирование носителей резервируемой информации для обеспечения, при необходимости, их аварийного использования, которое надо объединять с тестом процедур восстановления и проверкой в отношении требуемого времени восстановления;

тестирование способности восстановления данных должно осуществляться на выделенных для этой цели носителях, не перезаписывая исходных носителей на случай нарушения процесса резервного копирования или восстановления и причинения непоправимого повреждения или потери данных;

- в ситуациях, когда конфиденциальность играет важную роль, резервные копии необходимо защищать шифрованием.

Операционные процедуры должны контролировать уничтожение резервных копий и выполнение планового резервного копирования для обеспечения его полноты в соответствии с политикой резервного копирования.

Меры резервного копирования индивидуальных систем и сервисов должны регулярно тестироваться на предмет соответствия требованиям планов непрерывности бизнеса. Для критичных систем и сервисов меры резервного копирования должны охватытвать всю системную информацию, приложения и данные, необходимые для полного восстановления системы на случай разрушения.

8.4. Протоколирование и мониторинг

Цель: Записывать события и получать фактические данные.

Протоколирование и мониторинг обеспечивают следующие мероприятия:
- протоколирование событий;
- защита логов;
- ведение логов пользователей;
- синхронизация часов.

Протоколирование событий

Меры и средства: журналы (логи) событий, в которые записываются действия пользователей, ошибки и события ИБ, должны вестить, сохраняться и регулярно пересматриваться.

Рекомендации по реализации. Логи должны включать, при необходимости:
- идентификаторы пользователей;
- системные действия;
- даты, время и детали ключевых событий, например начало и завершение сеанса;
- идентичность и местоположение устройства, по возможности, и идентификатор системы;
- регистрацию успешных и отклоненных попыток доступа к системе;
- регистрацию успешных и отклоненных попыток доступа к данным или другим ресурсам;
- изменения конфигурации системы;
- использование привилегий;
- использование системного и прикладного ПО;
- файлы, к которым был получен доступ, и вид доступа;
- сетевые адреса и протоколы;
- сигналы тревоги системы управления доступом;
- активация и деактивация систем защиты, таких как антивирусы и системы обнаружения вторжения;
- запись операций, сделанных пользователем в приложениях.

Протоколирование событий является фундаментом для автоматических систем мониторинга, создающих объединенные отчеты и сигналы безопасности системы. Логи событий могут содержать критичную информацию и персональные данные, поэтому должны быть надлежащим образом защищены. По возможности, системные администраторы не должны иметь полномочий стирать или деактивировать логи своих действий.

Защита логов

Меры и средства: средства протоколирования и информация в логах должны быть защищены от фальсификации и несанкционированного доступа.

Рекомендации по реализации. Меры защиты направлены на предотвращение несанкционированных изменений в логах и эксплуатационных проблем со средствами протоколирования, включающих:
- изменения типов записываемых сообщений;
- редактирование или удаление файлов логов;
- недостаточность объема памяти носителя файл лога, что может привести к отказу записи события или перезаписи последних событий.

Системные логи часто содержат большой объем информации, большинство из которой не нужно для мониторинга ИБ. Поэтому следует определить значительные события для целей мониторинга ИБ, автоматическое копирование соответствующих типов сообщения во второй лог или использование приемлемого системного ПО или инструментов аудита для выполнения опроса и рационализации файла.

Некоторые журналы аудита необходимо архивировать как часть политики хранения записей или в связи с требованиями сбора и хранения правовых доказательств. Системные логи нуждаются в защите, поскольку если данные в них будут модифицированы или уничтожены, они могут создать фальшивые данные по безопасности.

Логи пользователя

Меры и средства: действия пользователей (администраторов) системы должны протоколироваться, и логи сохраняться и регулярно пересматриваться.

Рекомендации по реализации: учетные записи привилегированного пользователя дают возможность для управления логами средств обработки информации, поэтому важно защищать и пересматривать логи для поддержания ответственности привилегированного пользователя.

Система обнаружения вторжения, не управляемая администраторами системы и сети, может использоваться для мониторинга действий по администрированию системы и сети.

Синхронизация часов

Меры и средства: часы всех систем обработки информации внутри организации или домена безопасности должны быть синхронизированы с единым эталонным источником времени.

Рекомендации по реализации: внешние и внутренние требования по представлению, синхронизации и точности времени должны быть задокументированы.

Эти требования могут быть правовыми, нормативными, договорными требованиями, соответствием стандарту или требованиями для внутреннего мониторинга. В организации должно быть определено стандартное эталонное время. Подход организации к получению эталонного времени из внешнего источника и достоверной синхронизации внутренних часов должен быть задокументирован и внедрен.

Корректная установка компьютерных часов важна для обеспечения точности логов аудита, которые могут потребоваться для расследований или как доказательство в случае судебного или дисциплинарного разбирательства. Неточные логи аудита могут затруднить такие расследования и навредить достоверности такого доказательства.

Часы, корректируемые по радиовещанию с помощью национальных атомных часов, могут использоваться как главные часы для систем протоколирования. Сетевой протокол времени может использовать все серверы для синхронизации главных часов.

8.5. Контроль системного ПО

Цель: Обеспечить целостность операционных систем (ОС).

Установка системного ПО

Меры и средства: должны быть внедрены процедуры контроля установки системного ПО

Рекомендация по реализации. Для контроля изменений системного ПО необходимо рассмотреть следующие рекомендации:
- обновление ПО, приложений и программных библиотек ОС должны выполнять обученные администраторы, имеющие соответствующие полномочия от руководства;
- ОС должны содержать утвержденный исполняемый код и компиляторы;
- приложения и системное ПО следует внедрять только после всестороннего и успешного тестирования; тесты должны охватывать пригодность, безопасность, влияние на другие системы, удобство использования и проводиться на отдельных системах; все соответствующие библиотеки программных исходных кодов должны быть обновлены;
- должна использоваться система контроля конфигурации для контроля всего внедренного ПО и системной документации;
- следует внедрить стратегию отката перед осуществлением изменений;
- должен вестись журнал аудита всех обновлений используемых программных библиотек;
- предыдущие версии ПО следует хранить на случай непредвиденных обстоятельств;
- старые версии ПО дожны архивироваться вместе со всей требуемой информацией о параметрах, процедурах, деталях конфигурации и поддерживающем ПО до окончания срока архивного хранения.

Поставляемое разработчиком системное ПО должно содержаться на том уровне, который поддерживает поставщик. Со временем разработчик ПО перестает поддерживать его старейшие версии. Организации следует рассмотреть риски использования неподдерживаемого ПО.

Любое решение о переходе на новую версию ПО надо принимать с учетом бизнес-требований для изменения и безопасности версии, например, появление в связи с этим новой функциональности ИБ или каких-то серьезных проблем ИБ. Исправления ПО надо применять тогда, когда они могут устранить или уменьшить недостатки ИБ.

8.6. Управление техническими уязвимостями

Цель: Предотвратить использование технических уязвимостей.

Управление техническими уязвимостями обеспечивают следующие мероприятия:
- обработка технических уязвимостей;
- ограничение на установку ПО.

Обработка технических уязвимостей

Меры и средства: информация о технических уязвимостях используемых ИС должна быть получена своевременно, незащищенность организации от уязвимостей оценена и приняты соответствующие меры для обработки связанных с ними рисков.

Рекомендации по реализации: актуальная и полная инвентаризация активов является необходимым условием эффективного управления техническими уязвимостями.

Информация, необходимая для поддержки управления техническими уязвимостями, включает в себя разработчика ПО, номера версии, текущее состояние развертывания (например, какое ПО на какую систему устанавливается) и сотрудников организации, ответственных за ПО. Идентификация потенциальных технических уязвимостей должна вызвать соответствующее и своевременное действие.

Для обеспечения процесса эффективного управления техническими уязвимостями необходимо выполнить следующие рекомендации:

- в организации необходимо определить и установить роли и обязанности, связанные с управлением техническими уязвимостями, включая мониторинг и оценку риска уязвимостей, исправление ПО (патчинг), слежение за активами и любые требуемые координирующие функции;

- следует определять для ПО и другой технологии информационные ресурсы, которые будут использоваться для выявления значимых технических уязвимостей и обеспечения осведомленности о них; эти ресурсы должны обновляться с учетом изменений в инвентарной описи или нахождения новых или применимых ресурсов;

- необходимо определить временные параметры реагирования на уведомления о потенциально значимых технических уязвимостях;

- после выявления потенциальной технической уязвимости организация должна определить связанные с ней риски и действия, которые необходимо предпринять; эти действия должны включать исправление уязвимых систем или другие меры защиты;

- в зависимости от того, насколько срочно необходимо рассмотреть техническую уязвимость, предпринимаемое действие следует осуществлять в соответствии с мерами по управлению изменениями или процедурами реагирования на инцидент ИБ;

- при наличии возможности установки легального патча следует оценить риски, связанные с его установкой (риски от уязвимости сравнить с риском установки патча);

- перед установкой патчи следует тестировать и оценивать на предмет их эффективности и отсутствия недопустимых побочных эффектов; если нет патчей, следует рассмотреть другие меры защиты, такие как:
  • отключение сервисов или возможностей, связанных с уязвимостью;
  • адаптирование или добавление средств контроля доступа, например, сетевые экраны или границы;
  • расширенный мониторинг для выявления актуальных атак;
  • повышение осведомленности об уязвимости;

- следует вести журнал аудита для всех предпринятых процедур;

- следует регулярно проводить мониторинг и оценку процесса управления техническими уязвимостями на предмет его эффективности и действенности;

- в первую очередь надо обращать внимание на системы с высоким уровнем риска;

- процесс управления техническими уязвимостями должен быть совмещен с действиями по управлению инцидентом ИБ, чтобы данные по уязвимостям передавались группе реагирования на инцидент и обеспечивались технические процедуры в случае появления инцидента;

- следует определить процедуру для случая, когда для выявленой уязвимости невозможно найти контрмеру. В этом случае организация должна оценить риски, связанные с этой уязвимостью и предпринять соответствующие поисковые и корректирующие действия.

Управление техническими уязвимостями может быть частью управления изменениями и таким образом взять на себя часть процедур и процессов управления изменениями. Как правило, разработчики ПО вынуждены реализовывать патчи как можно быстрее.

Поэтому иногда патчи могут неадекватно решать проблему и создавать побочные негативные эффекты. Также в некоторых случаях после установки патча бывает сложно ее отменить. При невозможности адекватного тестирования патчей перед их установкой следует осуществить оценку связанных с этим рисков с учетом опыта, накопленного другими пользователями.

Ограничение на установку ПО

Меры и средства: правила установки ПО пользователями должны быть разработаны и внедрены.

Рекомендации по реализации: организация должна определить и внедрить строгую политику того, какие типы ПО могут устанавливать пользователи.

Следуе применить принцип наименьшей привилегии. При наличии определенных привилегий пользователи могут устанавливать ПО. Организация должна определить, какие типы установки ПО разрешены (например, обновления и безопасные патчи для существующего ПО) и какие запрещены (например, ПО для персонального использования и ПО, происхождение которого неизвестно или подозрительно). Такие привилегии должны предоставляться на основании ролей связанных с этим пользователей.

Неконтролируемая установка ПО на компьютерные устройства может привести к появлению уязвимостей и последующей утечке информации, потере целостности или другим инцидентам ИБ или нарушению прав интеллектуальной собственности.

8.7. Проведение аудита ИС

Цель: Минимизировать влияние аудиторских действий на действующие системы.

Контроль аудита систем

Меры и средства: аудиторские требования и действия по проверке действующих систем должны быть тщательно спланированы и согласованы, чтобы минимизировать сбои в бизнес-процессах.

Рекомендации по реализации:
- аудиторские требования в отношении доступа к системам и данным следует согласовать с соответствующим руководством;
- контекст технических аудиторских тестов следует согласовать и контролировать;
- аудиторские тесты должны иметь ограничение доступа к ПО и данным в виде «только для чтения»;
- другие виды доступа, кроме «только для чтения», должны быть разрешены только для изолированных копий системных файлов, которые следует стереть после завершения аудита или обеспечить соответствующей защитой в случае обязательства их хранения согласно требований аудиторской документации;
- требования специальной или дополнительной обработки следует определить и согласовать;
- аудиторские тесты, которые могут повлиять на возможности системы, нужно проводить в нерабочее время;
- все факты доступа нужно контролировать и протоколировать, чтобы остался документальный след.

Дополнительная информация (в стандарте отсутствует)

В 1969 году была основана Ассоциация аудита и контроля ИС «ISACA» (Information System Audit and Control Association), которая в настоящее время объединяет около 20 тысяч членов из более чем 100 стран, в том числе и Украины. Ассоциация координирует деятельность более чем 12 тысяч аудиторов ИС. Сайт «ISACA» находится тут.

Основная декларируемая цель ассоциации - это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами ИС.

В помощь профессиональным аудиторам, администраторам и заинтересованным пользователям ассоциацией и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт «CoBiT».

«CoBiT» (Control оbjectives for information and related technologies - Контрольные объекты информационных и смежных технологий) - это открытый стандарт, первое издание которого в 1996 году было продано в 98 странах по всему миру и облегчило работу профессиональных аудиторов в сфере информационных технологий. 

Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно, на современном уровне получить представление и управлять целями и задачами, решаемыми ИС. Стандарт учитывает все особенности информационных систем любого масштаба и сложности.

Основополагающее правило, положенное в основу «CoBiT»: ресурсы ИС должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией. На сайте «ISACA» есть версия 4.1 стандарта и на украинском языке.

Свод правил управления ИБ (ISO/IEC 27002-2013). Часть 4 (продолжение)

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика