Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников

хранения информации должно быть санкционировано руководством. Это касается оборудования, являющегося собственностью организации, а также личного оборудования, которое используется от имени организации.

Необходимо учесть следующие рекомендации для защиты удаленных активов:

— оборудование и носители, вынесенные за пределы организации, не следует оставлять без присмотра в общедоступных местах;

— необходимо всегда соблюдать инструкции изготовителей по защите оборудования, например, по защите от воздействия сильных электромагнитных полей;

— следует определить и обеспечить соответствующие меры безопасности для удаленных мест, таких как работа на дому, удаленная работа и временные сайты, исходя из оценки риска, например, запираемые шкафы для хранения документов, политика чистого рабочего стола, защита доступа к компьютерам и защищенная связь с офисом;

— журнал регистрации фактов передачи удаленного оборудования между разными лицами и сторонними организациями должен содержать цепочки поставок оборудования, в том числе ответственных за оборудование лиц и организаций.

Риски, например, повреждения, хищения или подслушивания, могут быть разными для разных мест и должны учитываться при выборе наиболее подходящих мер защиты.

Оборудование для обработки и хранения информации включает в себя все виды персональных компьютеров, органайзеров, мобильных телефонов, смарт-карт, бумаги или другие виды, используемые для работы на дому или выносимые за пределы организации.

Предотвращению риска может способствовать запрет удаленной работы или использования портативного ИТ оборудования для определенных сотрудников.

Безопасное уничтожение оборудования

Меры и средства

Все элементы оборудования, содержащие носители информации, перед уничтожением или повторным использованием должны быть проверены на предмет уничтожения или безопасной перезаписи чувствительных данных и лицензионного ПО.

Рекомендации по реализации

Оборудование перед уничтожением или повторным использованием должно быть проверено на наличие носителей информации.

Носители, содержащие конфиденциальную и защищенную авторскими правами информацию, должны быть физически разрушены, или информация должна быть разрушена, удалена или перезаписана с помощью не стандартного удаления или форматирования, а специальных методов, делающих исходную информацию невосстановимой.

Поврежденное оборудование, содержащее чувствительные данные, может потребовать оценку риска того, было ли оно достаточно физически разрушено до того, как было выброшено или попало в ремонт. Информация может быть скомпрометирована при неправильном уничтожении или повторном использовании оборудования.

Наряду с безопасной чисткой диска риск разглашения конфиденциальной информации при утилизации или перераспределении оборудования снижает шифрование целого диска при выполнении следующих условий:

— процесс шифрования достаточно сильный и охватывает весь диск (включая свободное пространство, файлы подкачки и т. п.);

— длина ключей достаточна для противодействия атакам перебора;

— ключи шифрования содержатся в тайне (например, не хранятся на самом диске).

Методы безопасной перезаписи носителей могут быть разными в зависимости от технологии носителей. Инструменты перезаписи следует проверять на предмет соответствия технологии носителей.

Безопасность оборудования без присмотра

Меры и средства

Пользователи должны гарантировать, что оставленное без присмотра оборудование защищено надлежащим образом.

Рекомендация по реализации

Пользователи должны быть осведомлены о требованиях безопасности и процедурах защиты оборудования без присмотра, а также своих обязанностях по обеспечению этой защиты.

Пользователям рекомендуется:

— завершать активные сеансы по окончании работы, если отсутствует соответствующий механизм блокировки, например, защищенная паролем экранная заставка;

— выйти из приложений и сетевых сервисов, если они не нужны;

— защитить компьютеры или мобильные устройства от несанкционированного использования с помощью блокировки клавиатуры или эквивалентной меры защиты, например, парольного доступа.

Политика чистого стола и экрана

Меры и средства

Должна быть внедрена политика чистого рабочего стола для документов и съемных носителей информации и политика чистого экрана для средств обработки информации.

Рекомендации по реализации

Политика чистого рабочего стола и экрана должна учитывать классификации информации, правовые и нормативные требования, соответствующие риски и культурные аспекты организации. Необходимо рассмотреть следующие рекомендации:

— носители (бумажные или электронные), содержащие чувствительную или критичную бизнес-информацию, когда они не используются, следует запирать (лучше всего, в сейфе или кабинете), особенно, если в оффисе никого нет;

— компьютеры и терминалы, оставленные без присмотра, следует выключать или защищать механизмом блокировки экрана или клавиатуры, контролируемого паролем, токеном или схожим механизмом аутентификации пользователя;

— необходимо предотвратить несанкционированное использование фотокопировальной и другой воспроизводящей технологии (например, сканеров, цифровых камер);

— документы, содержащие чувствительную или классифицированную информацию, необходимо немедленно изымать из принтеров.

Рекомендуется использовать принтеры с функцией ПИН-кода, когда только инициаторы печатания могут забрать из принтера готовый документ и вставить следующий.

8. Безопасность операций

Безопасность операций определяют следующие составляющие:

— операционные процедуры;

— контроль системного ПО;

— защита от вредоносного ПО;

— мониторинг и логи.

— резервное копирование;

— управление техническими уязвимостями;

— проведение аудита ИС.

8.1. Операционные процедуры

Цель: Обеспечить правильное и безопасное использование средств обработки информации.

Операционные процедуры обеспечивают следующие мероприятия:

— документирование процедур;

— управление изменениями;

— управление мощностью;

— разделение сред разработки, тестирования и эксплуатации.

Документирование процедур

Меры и средства

Операционные процедуры должны быть задокументированы и доступны для всех пользователей, которые в них нуждаются.

Рекомендации по реализации

Задокументированные процедуры должны быть подготовлены для функциональных действий, связанных со средствами обработки и передачи информации, таких как компьютерные процедуры запуска и завершения, резервное копирование, техническое обслуживание, работа с носителями, управление обработкой почты и безопасность.

Операционные процедуры должны определять эксплуатационные инструкции, включающие:

— инсталляцию и конфигурацию систем;

— обработку и управление информацией, как автоматизированное, так и ручное;

— резервное копирование;

— требования в отношении графика работ, включая взаимозависимости с другими системами, время начала первой и время завершения последней процедуры;

— инструкции по обработке ошибок или других чрезвычайных ситуаций, которые могут возникнуть в процессе выполнения задач, включая ограничения на использование системного ПО;

— необходимые контакты поддержки, в том числе внешней, на случай неожиданных эксплуатационных или технических проблем;

— специальные инструкции по управлению выводом данных и работе с носителями информации, например, использование специальных бланков или управление выводом конфиденциальных данных, включая процедуры безопасного уничтожения выходных данных в случае невыполнения задач;

— перезапуск системы и процедуры восстановления на случай системного сбоя;

— управление информацией, содержащейся в контрольных и системных журналах;

— процедуры мониторинга.

Управление изменениями

Меры и средства

Изменения в организации, бизнес-процессах и средствах обработки информации, влияющих на ИБ, должны контролироваться.

Рекомендации по реализации

В частности, необходимо рассмотреть следующие аспекты:

— определение и регистрацию существенных изменений;

— планирование и тестирование изменений;

— оценку возможных влияний таких изменений, включая влияния на ИБ;

— формальную процедуру утверждения предлагаемых изменений;

— проверку соответствия требованиям ИБ;

— подробное информирование об изменениях всех заинтересованных лиц;

— процедуры возврата в исходный режим, включая прерывание и последующее восстановление в случае неудачных изменений и непредвиденных обстоятельств;

— процесс чрезвычайного изменения для активации быстрого и контролируемого внедрения изменений, необходимых для решения инцидента.

Необходимо следовать формальным процедурам и обязанностям управления для достаточного контроля всех изменений. Журнал аудита, содержащий всю соответствующую информацию, должен сохраняться.

Неадекватный контроль изменений в системах и средствах обработки информации является общей причиной нарушений системы и безопасности. Изменения эксплуатационной среды, особенно при переводе системы из стадии разработки в стадию