Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников

— обеспечение правильной адресации и транспортировки;

— надежность и доступность сервиса;

— законодательные требования, например, по использованию ЭЦП;

— получение одобрения до использования внешних общедоступных услуг, таких как мгновенный обмен сообщениями, социальные сети или разделение файлов;

— строгие уровни аутентификации доступа со стороны общедоступных сетей.

Существует много типов электронного обмена сообщениями, такими как электронная почта, обмен данными и социальные сети, играющие роль в бизнес-коммуникациях.

Соглашение о неразглашении

Меры и средства

Требования к соглашениям о конфиденциальности или неразглашении, отражающие потребности организации в защите информации, следует определить, регулярно пересматривать и задокументировать.

Рекомендации по реализации

Соглашение о конфиденциальности или неразглашении (англ. Non-Disclosure Agreement, NDA) должно отражать требования защиты конфиденциальной информации с применением существующих правовых понятий. Организации следует заключать NDA как со своими сотрудниками, так и с представителями сторонних организаций. Его содержание должно учитывать тип сторонней организации и возможного доступа к конфиденциальной информации или ее обработки.

Чтобы определить требования NDA, необходимо учесть следующие факторы:

— определение информации, подлежащей защите (например, конфиденциальная информация);

— предполагаемый срок действия NDA, включая случаи, когда конфиденциальность потребуется на неопределенный срок;

— необходимые действия при окончании срока действия NDA;

— обязанности и действия подписавших NDA лиц по предотвращению несанкционированного разглашения информации;

— владение информацией, коммерческой тайной и интеллектуальной собственностью и как это касается защиты конфиденциальной информации;

— разрешенное использование конфиденциальной информации и права подписавших NDA лиц по ее использованию;

— право на аудит и мониторинг деятельности, связанной с конфиденциальной информацией;

— условия возврата или уничтожения информации в случае приостановления действия NDA;

— план действий на случай нарушения NDA.

NDA должно соответствовать действующему законодательству и нормативам.

Требования NDA следует пересматривать периодически и в случае изменений, вляющих на эти требования.

NDA защищает информацию организации и обозначает обязанности подписавших его лиц по защите, использованию и неиспользованию информации с учетом своих полномочий и ответственности.

10. Покупка, разработка и сопровождение ИС

Покупка, разработка и сопровождение ИС определяют следующие составляющие:

— требования безопасности ИС;

— ИБ при разработке ИС;

— тестовые данные.

10.1. Требования безопасности ИС

Цель: Обеспечить, что ИБ является неотъемлемой частью ИС в течение всего жизненного цикла. Это также включает требования к ИС, которые предоставляют сервисы в общедоступных сетях.

Требования безопасности ИС определяют следующие составляющие:

— анализ требований ИБ;

— ИБ сервисов в общедоступных сетях;

— ИБ транзакций прикладных сервисов.

Анализ требований ИБ

Меры и средства

Требования ИБ должны быть включены в требования для новых ИС или по усовершенствованию действующих ИС.

Рекомендации по реализации

Требования ИБ следует определять разными методами, такими как использование соответствующих требований политик и нормативов, моделирование угроз, анализ инцидентов или испоьзование порогов уязвимости. Результаты определения должны документироваться и анализироваться всеми заинтересованными сторонами.

Требования ИБ и меры защиты должны отражать деловую ценность информации и потенциальный ущерб бизнесу вследствие неадекватности ИБ.

Определение и управление требованиями ИБ и связанными с этим процессами следует включать на ранних стадиях в проекты ИС. Раннее рассмотрение требований ИБ, например, на стадии проектирования может привести к более эффективным и экономически выгодным решениям.

Требования ИБ должны также содержать:

— уровень доверия, предъявляемый заявленной личности пользователей, в соответствии с требованиями пользовательской аутентификации;

— процессы подготовки и полномочий доступа, как для бизнес-пользователей, так и для привилегированных или технических пользователей;

— информирование пользователей и операторов об их обязанностях и ответственностях;

— необходимости требуемой защиты активов, в частности, доступности, конфиденциальности, целостности;

— требования, вытекающие из бизнес-процессов, такие как протоколирование и мониторинг транзакций, требования неотказуемости;

— требования, предъявляемые средствами безопасности, такими как интерфейсы протоколирования и мониторинга или систем обнаружения утечки данных.

Для приложений, обеспечивающих сервисы в общедоступных сетях и транзакции, должны быть рассмотрены специальные средства защиты.

В случае приобретения готовых продуктов необходимо соблюдение формальной процедуры покупки и тестирования. В договорах с поставщиками также должны учитываться требования ИБ.

Если защитная функциональность в предлагаемой продукции не удовлетворяет специальному требованию, то необходимо пересмотреть порождаемый этим риск и связанные с этим меры защиты прежде, чем ее покупать. Следует оценить и внедрить доступное руководство по конфигурации безопасности продукции, объединяющее окончальное множество ПО/сервисов системы.

Следует определить критерий принятия продукции, например, по ее функциональности, гарантирующей выполнение определенных требований безопасности. Продукция перед покупкой должна быть оценена по этому критерию. Дополнительная функциональность должна быть изучена для гарантии того, что она не принесет неприемлемых дополнительных рисков.

ИБ сервисов в общедоступных сетях

Меры и средства

Информация прикладных сервисов, проходящая через общедоступные сети, должна быть защищена от мошенничества, договорного спора и несанкционированного раскрытия и модификации.

Рекомендации по реализации

Необходимо, чтобы ИБ прикладных сервисов в общедоступных сетях содержала следующее:

— уровень доверия каждого участника требует от каждого другого участника удостоверения личности, например, с помощью аутентификации;

— процессы авторизации, связанные с тем, кто должен утверждать содержание ключевых документов сделок;

— обеспечение полного информирования взаимодействующих партнеров о своих полномочиях для подготовки и использования сервиса;

— определение и выполнение требований конфиденциальности, целостности, доказательств отправки и получения ключевых документов, неотказуемости от договоров, например, связанных с тендерами и договорными процессами;

— уровень доверия к целостности ключевых документов;

— требования защиты любой конфиденциальной информации;

— конфиденциальность и целостность любых заказных сделок, платежной информации, детали адреса доставки и подтверждения получений;

— степень проверки платежной информации, предоставленной заказчиком;

— выбор наиболее подходящей расчетной формы платежа для защиты от мошенников;

— уровень защиты конфиденциальности и целостности сведений о заказе;

— предотвращение потери или дублирования сведений о сделке;

— ответственность, связанная с любыми фиктивными сделками;

— страховые требования.

Многие их этих рекомендаций можно выполнить с помощью средств криптографии в соответствии с действующим законодательством.

Договоренности партнеров о применении сервиса следует задокументировать в соглашении, в котором зафиксировать согласованные условия сервиса, включая детали авторизации.

Следует рассмотреть требования сопротивляемости атакам, которые могут содержать требования по защите включенных прикладных серверов или доступности сетевых подключений для предоставления сервиса.

Приложения, функционирующие в общедоступных сетях, попадают в зону сетевых угроз, таких как мошенничество, договорные споры и публичная огласка информации. Поэтому детальная оценка рисков и надлежащий выбор мер защиты является обязательным.

Требуемые меры защиты часто включают в себя методы криптографии для аутентификации и безопасной передачи данных. Прикладные сервисы для снижения рисков могут использовать безопасные методы аутентификации, например, криптографию открытых ключей и цифровые подписи.

ИБ транзакций сервисов

Меры и средства

Информация транзакций прикладных сервисов должна быть защищена, чтобы предотвратить неполную передачу, неправильную маршрутизацию, несанкционированное изменение, раскрытие, дублирование или воспроизведение сообщения.

Рекомендации по реализации

Необходимо, чтобы ИБ транзакций прикладных сервисов содержала следующее:

— использование электронных подписей каждым участником сделки;

— все аспекты сделки, т. е. обеспечение уверенности в том, что:

• пароли всех пользователей проверены и действительны;

• сделка остается конфиденциальной;

• приватность всех участников сохраняется;

— каналы связи между всеми участниками зашифрованы;

— протоколы, используемые для связи между всеми участниками, защищены;

— детали сделки