Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Менеджмент коммуникаций и работ. Мониторинг информационной безопасности.



Необходимо создать формальные процессы оповещения о вторжениях, неправильном срабатывании систем и других инцидентах безопасности, а также о результатах расследования инцидентов безопасности. Результаты документирования менеджмента инцидентов должны использоваться в процессе анализа с целью оказания влияния на разработку защитных мер, а также инициирования переоценки и изменения с течением времени мер управления, используемых для обеспечения защиты активов.

Управление доступом. Права доступа, порядок пересмотра. Ролевой доступ.

Доступ к внутренним и внешним сетевым услугам должен быть контролируемым.
 
Это необходимо для получения уверенности в том, что пользователи, которые имеют доступ к сетям и сетевым услугам, не нарушают их безопасность, путем: a) обеспечения соответствующих интерфейсов между сетью организации и сетями, принадлежащими другим организациям, и общедоступными сетями; b) внедрения соответствующих механизмов аутентификации в отношении пользователей и оборудования; с) предписанного управления доступом пользователей к информационным услугам.

Роли и обязанности
Мера и средство контроля и управления

Роли и обязанности в области безопасности сотрудников, подрядчиков и представителей третьей стороны необходимо определять и оформлять документально в соответствии с политикой информационной безопасности организации.
Рекомендация по реализации
Роли и обязанности в области безопасности должны включать в себя требования в отношении:
a) реализации и действия в соответствии с политиками информационной безопасности организации (см. 5.1);
b) защиты активов от несанкционированного доступа, разглашения сведений, модификации, разрушений или вмешательства;
c) выполнения определенных процессов или деятельности, связанных с безопасностью;
d) обеспечения уверенности в том, что на индивидуума возлагается ответственность за предпринимаемые действия;
e) информирования о событиях или потенциальных событиях, связанных с безопасностью, или других рисках безопасности для организации.
Роли и обязанности в области безопасности должны быть определены и доведены до претендентов на работу до их трудоустройства.
Дополнительная информация
Для документального оформления ролей и обязанностей в области безопасности могут использоваться должностные инструкции. Роли и обязанности в области безопасности лиц, поступивших на работу не через процесс трудоустройства, принятый в организации, а, например с помощью сторонней организации, должны быть также четко определены и доведены до сведения.

 

Управление доступом. Парольная политика.

Использование паролей
Мера и средство контроля и управления
Пользователи должны придерживаться общепринятой практики в области безопасности при выборе и использовании паролей.
Рекомендация по реализации
Всем пользователям следует рекомендовать:
a) сохранять конфиденциальность паролей;
b) избегать записи паролей (например на бумаге, в файле программного обеспечения или карманных устройствах), если не может быть обеспечено безопасное хранение и способ хранения не утвержден;
c) изменять пароли всякий раз, когда появляется любой признак возможной компрометации системы или пароля;
d) выбирать качественные пароли с достаточно минимальной длиной, которые:
1) легко запомнить;
2) не подвержены угадыванию или вычислению с использованием персональной информации, связанной с владельцем пароля, например имен, номеров телефонов, дат рождения и т.д.;
3) не могут быть восстановлены по словарям (т.е., не содержат слов, содержащихся в словарях);
4) не содержат последовательных идентичных символов, и не состоят из полностью числовых или полностью буквенных групп;
e) изменять пароли через разные интервалы времени или после определенного числа обращений к системе (пароли для привилегированных учетных записей следует менять чаще, чем обычные пароли) и избегать повторного или циклического использования старых паролей;
f) изменять временные пароли при первом начале сеанса;
g) не включать пароли ни в какой автоматизированный процесс начала сеанса, например с использованием хранимых макрокоманд или функциональных клавиш;
h) не использовать коллективно индивидуальные пользовательские пароли;
i) не использовать один и тот же пароль для бизнеса и некоммерческих целей.
Если пользователи нуждаются в доступе к многочисленным услугам, системам или платформам и вынуждены использовать несколько разных паролей, они должны знать, что могут использовать единый качественный пароль (см. перечисление d) 11.3.1) для всех услуг при уверенности, что разумный уровень защиты для хранения пароля был создан в рамках каждой услуги, системы или платформы.
Дополнительная информация
Особую осторожность следует соблюдать при менеджменте системы " справочного стола", имеющей дело с утерянными или забытыми паролями, поскольку это может быть средством атаки на систему паролей.

 

Приобретение, разработка и эксплуатация информационных систем. Требования безопасности информационных систем.

Цель: Обеспечить уверенность в том, что безопасность является неотъемлемой частью информационных систем.
Информационные системы включают эксплуатируемые системы, инфраструктуру, прикладные программы бизнеса, готовые продукты, услуги и прикладные программы, разработанные пользователями. Проектирование и внедрение информационной системы, поддерживающей процесс бизнеса, может быть критичным с точки зрения безопасности. Требования безопасности следует выявлять и согласовывать до разработки и (или) внедрения информационных систем.
Все требования безопасности следует выявлять на стадии определения задач проекта, а также обосновывать, согласовывать и документально оформлять в рамках общего проекта по внедрению информационной системы.

Анализ требований безопасности и спецификация
Мера и средство контроля и управления
Необходимо, чтобы в формулировках требований бизнеса для новых информационных систем или при модернизации существующих информационных систем были определены требования к мерам и средствам контроля и управления безопасности.
Рекомендация по реализации
В спецификациях требований к мерам и средствам контроля и управления следует учитывать как встроенные в информационную систему автоматизированные меры и средства контроля и управления, так и необходимость поддержки ручного управления. Аналогично следует подходить к оценке пакетов прикладных программ, разработанных или приобретенных для прикладных программ бизнеса.
Необходимо, чтобы требования безопасности и соответствующие меры и средства контроля и управления отражали ценность информационных активов (см. 7.2) и потенциальный ущерб бизнесу, который мог бы явиться результатом недостаточности мер безопасности или их отсутствия.
Системные требования в отношении информационной безопасности и процессов реализации безопасности необходимо включать на ранних стадиях проектов, касающихся информационных систем. Определение мер и средств контроля и управления на стадии проектирования системы позволяет существенно снизить затраты на их внедрение и поддержку по сравнению с разработкой мер и средств контроля и управления во время или после внедрения системы.
В случае приобретения готовых продуктов необходимо соблюдение формального процесса приобретения и тестирования. В договорах с поставщиками должны учитываться определенные требования безопасности. Если функциональность безопасности в предлагаемом готовом продукте не удовлетворяет установленному организацией требованию, то тогда необходимо повторно рассмотреть порождаемый этим фактом риск и связанные с ним меры и средства контроля и управления прежде, чем продукт будет приобретен. Если обеспечивается дополнительная функциональность, и это создает риск безопасности, то ее следует блокировать, или пересмотреть предлагаемую структуру управления, чтобы определить возможность использования преимуществ имеющейся дополнительной функциональности.
Дополнительная информация
Если признано целесообразным, например из соображений затрат, руководство может пожелать воспользоваться независимой оценкой и сертификацией продуктов. Дополнительную информацию о критериях оценки безопасности продуктов ИТ можно найти в ИСО/МЭК 15408 или других стандартах по сертификации или оценке.
ИСО/МЭК ТО 13335-3 содержит рекомендации по использованию процессов менеджмента риска для определения требований к мерам и средствам контроля и управления безопасностью.

 


Поделиться:



Популярное:

Последнее изменение этой страницы: 2016-05-29; Просмотров: 1079; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.013 с.)
Главная | Случайная страница | Обратная связь