Менеджмент коммуникаций и работ.Защита от вредоносной и мобильной программы.
Для предотвращения выполнения мобильной программой неразрешенных действий необходимо принимать следующие меры:
a) обеспечивать выполнение мобильной программы в логически изолированной среде;
b) блокировать любое несанкционированное использование мобильной программы;
c) блокировать прием мобильной программы;
d) активизировать технические меры, доступные в отношении определенной системы, чтобы обеспечить уверенность в управляемости мобильной программы;
e) контролировать ресурсы, доступные мобильной программе;
f) применять криптографические меры и средства контроля и управления для однозначной аутентификации мобильной программы.
Дополнительная информация
Мобильная программа представляет собой программный код, который переходит с одного компьютера на другой, а затем исполняется автоматически, и выполняет определенную функцию без какого-либо взаимодействия с пользователем или при минимальном взаимодействии с ним. Мобильная программа связана с рядом услуг вспомогательного программного обеспечения.
В дополнение к обеспечению уверенности в том, что мобильная программа не содержит вредоносного кода, важно контролировать мобильную программу с целью предотвращения неавторизованного использования или разрушения системных, сетевых или прикладных ресурсов и других нарушений информационной безопасности.
38. Менеджмент коммуникаций и работ.Резервирование.
Мера и средство контроля и управления
Резервное копирование информации и программного обеспечения должно выполняться и тестироваться на регулярной основе в соответствии с установленной политикой резервирования.
Рекомендация по реализации
Следует обеспечить адекватные средства резервирования для обеспечения уверенности в том, что вся важная информация и программное обеспечение могут быть восстановлены после бедствия или сбоя оборудования.
В отношении резервирования информации необходимо рассматривать следующие вопросы:
a) необходимо определить надлежащий уровень резервной информации;
b) необходимо обеспечивать точные и полные записи резервных копий и документально оформленные процедуры восстановления;
c) объем (т.е. полное или выборочное резервирование) и частота резервирования должны отражать требования бизнеса организации, требования к безопасности затрагиваемой информации и критичность информации для непрерывной работы организации;
d) резервные копии должны храниться в удаленном месте, на надежном расстоянии, достаточном, чтобы избежать любого повреждения вследствие аварийной ситуации в основном здании;
e) в отношении резервной информации должен быть обеспечен соответствующий уровень физической защиты и защиты от воздействий окружающей среды (см. 9), в соответствии со стандартами, применяемыми в основном здании; меры и средства контроля и управления, применяемые к носителям информации в основном здании, должны также применяться и на резервной площадке;
f) носители резервной информации должны регулярно тестироваться для обеспечения уверенности в том, что в случае чрезвычайных ситуаций они могут быть использованы;
g) процедуры восстановления следует регулярно проверять и тестировать для обеспечения уверенности в их эффективности, а также в том, что для выполнения этих процедур потребуется не больше времени, чем это определено;
h) в ситуациях, когда конфиденциальность играет важную роль, резервные копии необходимо защищать посредством шифрования.
Мероприятия по резервированию, применяемые в отношении отдельных систем, должны регулярно тестироваться для обеспечения уверенности в том, что они удовлетворяют требованиям, содержащимся в планах непрерывности бизнеса (см. 14). Применительно к критическим системам, мероприятия по резервированию должны охватывать информацию, прикладные программы и данные всех систем, необходимые для восстановления целой системы в случае бедствия.
Следует определить сроки хранения важной информации бизнеса, а также любое требование к архивным копиям, подлежащим длительному хранению (см. 15.1.3).
Дополнительная информация
Для упрощения процесса резервирования и восстановления мероприятия по резервированию могут быть автоматизированы. Такие решения по автоматизации должны в достаточной мере и регулярно тестироваться, прежде чем они будут реализованы.
Менеджмент коммуникаций и работ. Менеджмент безопасности сети.
Меры и средства контроля и управления сетями
Мера и средство контроля и управления
Сети должны адекватно управляться и контролироваться, чтобы быть защищенными от угроз и обеспечить безопасность систем и прикладных программ, использующих сеть, включая информацию во время ее передачи.
Рекомендация по реализации
Руководители, отвечающие за поддержку сетевых ресурсов, должны внедрять меры и средства контроля и управления для обеспечения уверенности в безопасности информации в сетях и защиты подключенных сервисов от неавторизованного доступа. В частности, необходимо рассмотреть следующие вопросы:
a) следует разделить, где это необходимо, ответственность за поддержку сетевых ресурсов и за поддержку компьютерных операций (см. 10.1.3);
b) следует определить обязанности и процедуры для управления удаленным оборудованием, включая оборудование, установленное у конечных пользователей;
c) специальные меры и средства контроля и управления следует внедрить для обеспечения конфиденциальности и целостности данных, передаваемых по общедоступным сетям, или по беспроводным сетям, а также для защиты подключенных систем и прикладных программ (см. 11.4 и 12.3); специальные меры и средства контроля и управления могут потребоваться для поддержки доступности сетевых сервисов и рабочих станций;
d) соответствующая регистрация и мониторинг должны применяться с целью обеспечения возможности регистрации действий, имеющих значение для безопасности;
e) действия руководства должны быть тщательно согласованы как для оптимизации получаемых организацией услуг, так и для обеспечения уверенности в том, что меры и средства контроля и управления единообразно применимы ко всей инфраструктуре обработки информации.
Дополнительная информация
Дополнительную информацию о сетевой безопасности можно найти в ИСО/МЭК 18028-4
Менеджмент коммуникаций и работ. Обращение с носителями информации.
Мера и средство контроля и управления
Должны существовать процедуры в отношении менеджмента сменных носителей информации.
Рекомендация по реализации
Необходимо рассмотреть следующие рекомендации в отношении менеджмента сменных носителей информации:
a) если не предполагается повторно использовать содержание носителей информации, которые должны быть перемещены за пределы организации, то информацию необходимо сделать неизвлекаемой;
b) где необходимо и практично, должно требоваться разрешение на вынос носителей информации из организации и запись о таком перемещении следует хранить как контрольную запись для аудита;
c) все носители информации должны храниться в надежной, безопасной среде, в соответствии со спецификациями изготовителей;
d) информацию, хранимую на носителях, востребованную дольше, чем жизненный цикл носителя (в соответствии со спецификациями изготовителей), следует хранить также и в другом месте, во избежание потери информации вследствие износа носителей;
e) для уменьшения возможности потери данных должна быть предусмотрена регистрация сменных носителей информации;
f) сменные дисковые накопители разрешается использовать только в случае, обусловленном потребностями бизнеса.
Все процедуры и уровни авторизации должны быть четко зафиксированы документально.
Дополнительная информация
К сменным носителям информации относятся ленты, диски, диски флэш-памяти, сменные жесткие диски, CD, DVD и печатные носители информации.
Популярное:
