Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Другие формы обмена информацией



 

Необходимо предусмотреть наличие процедур и мероприятий по управлению информационной безопасностью с целью защиты процесса обмена информацией посредством речевых, факсимильных и видеосредств коммуникаций. Информация может быть скомпрометирована из-за недостаточной осведомленности сотрудников по использованию средств передачи информации. В частности, информация может быть подслушана при переговорах по мобильному телефону в общественном месте, а также с автоответчиков; информация может также быть скомпрометированной вследствие неавторизованного доступа к системе голосовой почты или случайной отсылки факсимильных сообщений неправильному адресату.

 

Бизнес-операции могут быть нарушены и информация может быть скомпрометирована в случае отказа, перегрузки или прерывания в работе средств взаимодействия (7.2 и раздел 11). Информация может быть скомпрометирована, если к ней имели место доступ неавторизованные пользователи (раздел 9).

 

Следует сформулировать четкие требования по соблюдению процедур, которым должны следовать сотрудники при использовании речевой, факсимильной и видеосвязи. В частности, необходимо предусмотреть следующее:

 

а) напоминание сотрудникам о необходимости принятия соответствующих мер предосторожности, например, для исключения подслушивания или перехвата информации при использовании телефонной связи:

 

1) лицами, находящимися в непосредственной близости, особенно при пользовании мобильными телефонами;

 

2) прослушивания телефонных переговоров путем физического доступа к трубке, телефонной линии или с использованием сканирующих приемников при применении аналоговых мобильных телефонов;

 

3) посторонними лицами со стороны адресата;

 

б) напоминание сотрудникам о том, что не следует вести конфиденциальные беседы в общественных местах, открытых офисах и в переговорных комнатах с тонкими стенами;

 

в) не оставлять сообщений на автоответчиках, переадресация на которые произошла вследствие ошибки соединения, или автоответчиках операторов связи, поскольку эти сообщения могут быть воспроизведены неавторизованными лицами;

 

г) напоминание сотрудникам о возможных рисках, присущих использованию факсимильных аппаратов, а именно:

 

1) неавторизованный доступ к встроенной памяти для поиска сообщений;

 

2) преднамеренное или случайное перепрограммирование аппаратов с целью передачи сообщений по определенным номерам;

 

3) отсылка документов и сообщений по неправильному номеру вследствие неправильного набора либо из-за использования неправильно сохраненного номера.

 

Контроль доступа

Требование бизнеса по обеспечению контроля в отношении логического доступа

 

Цель: контроль доступа к информации.

 

Доступ к информации и бизнес-процессам должен быть контролируемым с учетом требований бизнеса и безопасности.

 

Требования к контролю доступа должны быть отражены в политиках в отношении распространения и авторизации информации.

 

Политика в отношении логического доступа

 

9.1.1.1 Политика и требования бизнеса

 

Необходимо определять и документально оформлять требования бизнеса по обеспечению контроля в отношении логического доступа. Правила контроля доступа и права каждого пользователя или группы пользователей должны однозначно определяться политикой безопасности по отношению к логическому доступу. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения требований в отношении логического доступа.

 

Необходимо, чтобы в политике было учтено следующее:

 

- требования безопасности конкретных бизнес-приложений;

 

- идентификация всей информации, связанной с функционированием бизнес-приложений;

 

- условия распространения информации и авторизации доступа, например, применение принципа " need to know" (пользователь получает доступ только к данным, безусловно необходимым ему для выполнения конкретной функции), а также в отношении категорированной информации и требуемых уровней ее защиты;

 

- согласованность между политиками по контролю доступа и классификации информации применительно к различным системам и сетям;

 

- применяемое законодательство и любые договорные обязательства относительно защиты доступа к данным или сервисам (раздел 12);

 

- стандартные профили доступа пользователей для типовых обязанностей и функций;

 

- управление правами доступа в распределенной сети с учетом всех типов доступных соединений.

 

9.1.1.2 Правила контроля доступа

 

При определении правил контроля доступа следует принимать во внимание следующее:

 

- дифференциацию между правилами, обязательными для исполнения, и правилами, которые являются общими или применяемыми при определенных условиях;

 

- установление правил, основанных на предпосылке " все должно быть в общем случае запрещено, пока явно не разрешено", а не на более слабом принципе " все в общем случае разрешено, пока явно не запрещено";

 

- изменения в признаках маркировки информации (см. 5.2) как генерируемых автоматически средствами обработки информации, так и инициируемых по усмотрению пользователей;

 

- изменения в правах пользователя как устанавливаемых автоматически информационной системой, так и определенных администратором;

 

- правила, которые требуют одобрения администратора или другого лица перед применением, а также те, которые не требуют специального одобрения.

 

Контроль в отношении доступа пользователей

 

Цель: предотвращение неавторизованного доступа к информационным системам.

 

Для контроля за предоставление права доступа к информационным системам и сервисам необходимо наличие формализованных процедур.

 

Необходимо, чтобы процедуры охватывали все стадии жизненного цикла пользовательского доступа от начальной регистрации новых пользователей до конечного снятия с регистрации пользователей, которым больше не требуется доступ к информационным системам и сервисам. Особое внимание следует уделять мероприятиям в отношении предоставления прав привилегированного доступа, с помощью которых пользователи могут обходить системные средства контроля.

 

Регистрация пользователей

 

Необходимо существование формализованной процедуры регистрации и снятия с регистрации пользователей в отношении предоставления доступа ко всем многопользовательским информационным системам и сервисам.

 

Доступ к многопользовательским информационным сервисам должен быть контролируемым посредством формализованного процесса регистрации пользователей, который должен включать:

 

- использование уникальных ID (идентификаторов или имен) пользователей таким образом, чтобы действия в системе можно было бы соотнести с пользователями и установить ответственных. Использование групповых ID следует разрешать только в тех случаях, где это необходимо, с учетом особенностей выполняемой работы;

 

- проверку того, что пользователь имеет авторизацию от владельца системы на пользование информационной системой или сервисов. Кроме того, может быть целесообразным наличие дополнительного разрешения на предоставление прав от руководства;

 

- проверку того, что уровень предоставленного доступа соответствует производственной необходимости (9.1), а также учитывает требования политики безопасности организации, например, не нарушает принципа разделения обязанностей (8.1.4);

 

- предоставление пользователям письменного документа, в котором указаны их права доступа;

 

- требование того, чтобы пользователи подписывали документ о том, что они понимают условия предоставления доступа;

 

- обеспечение уверенности в том, что поставщики услуг не предоставляют доступ, пока процедуры авторизации не завершены;

 

- ведение формализованного учета в отношении всех лиц, зарегистрированных для использования сервисов;

 

- немедленную отмену прав доступа пользователей, у которых изменились должностные обязанности или уволившихся из организации;

 

- периодическую проверку и удаление избыточных пользовательских ID и учетных записей;

 

- обеспечение того, чтобы избыточные пользовательские ID не были переданы другим пользователям.

 

Необходимо рассматривать возможность включения положений о применении соответствующих санкций в случае попыток неавторизованного доступа в трудовые договора сотрудников и контракты с поставщиками услуг (6.1.4 и 6.3.5).

 

Управление привилегиями

 

Предоставление и использование привилегий при применении средств многопользовательской информационной системы, которые позволяют пользователю обходить средства контроля системы или бизнес-приложения, необходимо ограничивать и держать под контролем. Неадекватное использование привилегий часто бывает главной причиной сбоев систем.

 

Необходимо, чтобы в многопользовательских системах, которые требуют защиты от неавторизованного доступа, предоставление привилегий контролировалось посредством формализованного процесса авторизации. При этом целесообразно применять следующие меры:

 

- идентифицировать привилегии в отношении каждого системного продукта, например, операционной системы, системы управления базами данных и каждого бизнес-приложения, а также категории сотрудников, которым эти привилегии должны быть предоставлены;

 

- привилегии должны предоставляться только тем сотрудникам, которым это необходимо для работы и только на время ее выполнения, например, предоставляя минимальные возможности по работе с системой для выполнения требуемых функций, только когда в этом возникает потребность;

 

- необходимо обеспечивать процесс авторизации и регистрации всех предоставленных привилегий. Привилегии не должны предоставляться до завершения процесса авторизации;

 

- следует проводить политику разработки и использования стандартных системных утилит (скриптов) для исключения необходимости в предоставлении дополнительных привилегий пользователям;

 

- следует использовать различные идентификаторы пользователей при работе в обычном режиме и с использованием привилегий.

 


Поделиться:



Популярное:

Последнее изменение этой страницы: 2016-04-09; Просмотров: 824; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.024 с.)
Главная | Случайная страница | Обратная связь