Вы не зарегистрированы

Авторизация



Разработка рекомендаций для защиты информации и обеспечения безопасного доступа к информационным ресурсам

Коллеги! Предлагаем Вам ознакомиться с представленным материалом и высказать свои замечания и предложения в комментариях.

 

Разработка рекомендаций для защиты информации и обеспечения безопасного доступа к информационным ресурсам, оснащению рабочих мест тьюторов

 

Разработка рекомендаций для защиты информации и обеспечения безопасного доступа к информационным ресурсам.

 

Настоящие рекомендации разработаны на основе ГОСТ Р ИСО/МЭК 17799-2005. «Информационная технология. Практические правила управления информационной безопасностью». Рекомендации могут быть использованы в т.ч. и для организации безопасных рабочих мест тьюторов.

Информационная безопасность – механизм защиты, обеспечивающий:

  • конфиденциальность: доступ к информации только авторизованных пользователей;
  • целостность: достоверность и полноту информации и методов ее обработки;
  • доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения. Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации.

Организация должна определить свои требования к информационной безопасности с учетом следующих трех факторов.

Во-первых, оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий.

Во-вторых, юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.

В-третьих, специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.

После того как определены требования к информационной безопасности, следует выбрать и внедрить такие мероприятия по управлению информационной безопасностью, которые обеспечат снижение рисков до приемлемого уровня.

Ключевыми мерами контроля, с точки зрения законодательства, являются:

  • обеспечение конфиденциальности персональных данных;
  • защита учетных данных организации;
  • права на интеллектуальную собственность.

Мероприятия по управлению информационной безопасностью, рассматриваемые как общепринятая практика в области информационной безопасности, включают:

  • наличие документа, описывающего политику информационной безопасности;
  • распределение обязанностей по обеспечению информационной безопасности;
  • обучение вопросам информационной безопасности;
  • информирование об инцидентах, связанных с информационной безопасностью.

Для успешного внедрения информационной безопасности в организации решающими являются следующие факторы:

  • соответствие целей, политик и процедур информационной безопасности целям бизнеса;
  • согласованность подхода к внедрению системы безопасности с корпоративной культурой;
  • видимая поддержка и заинтересованность со стороны руководства;
  • четкое понимание требований безопасности, оценка рисков и управление рисками;
  • обеспечение понимания необходимости применения мер информационной безопасности руководством и сотрудниками организации;
  • передача инструкций в отношении политики информационной безопасности и соответствующих стандартов всем сотрудникам и контрагентам;
  • обеспечение необходимого обучения и подготовки;
  • всесторонняя и сбалансированная система измеряемых показателей, используемых для оценки эффективности управления информационной безопасностью и предложений по ее улучшению, поступивших от исполнителей.

Политика информационной безопасности должна быть утверждена и надлежащим образом доведена до сведения всех сотрудников организации. Она должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. Как минимум, политика должна включать следующее:

  1. определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;
  2. изложение целей и принципов информационной безопасности, сформулированных руководством;
  3. краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:
    1. соответствие законодательным требованиям и договорным обязательствам;
    2. требования в отношении обучения вопросам безопасности;
    3. предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;
    4. управление непрерывностью бизнеса;
    5. ответственность за нарушения политики безопасности;
  4. определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;
  5. ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Организационная инфраструктура информационной безопасности

Следует создавать соответствующие управляющие советы с участием высшего руководства для утверждения политики информационной безопасности, назначения ответственных лиц в области информационной безопасности, а также осуществления координации внедрения мероприятий по управлению информационной безопасностью в организации. При необходимости следует предусмотреть наличие специалиста по вопросам информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности для того, чтобы быть в курсе отраслевых тенденций, способов и методов ее оценки, а также с целью адекватного реагирования на инциденты нарушения информационной безопасности. Следует поощрять многопрофильный подход к информационной безопасности, например, путем налаживания сотрудничества между менеджерами, пользователями, администраторами, разработчиками приложений, аудиторами и сотрудниками безопасности, а также специалистами в области страхования и управления рисками.

Включение вопросов информационной безопасности в должностные обязанности

Функции (роли) и ответственность в области информационной безопасности, как установлено в политике информационной безопасности организации, следует документировать. В должностные инструкции следует включать как общие обязанности по внедрению или соблюдению политики безопасности, так и специфические особенности по защите определенных активов или действий, касающихся безопасности.

Соглашения о конфиденциальности

Соглашения о конфиденциальности или соглашения о неразглашении используются для уведомления сотрудников о том, что информация является конфиденциальной. Сотрудники обычно должны подписывать такое соглашение как неотъемлемую часть условий трудового договора.

Условия трудового соглашения

Условия трудового договора должны определять ответственность служащего в отношении информационной безопасности. Там, где необходимо, эта ответственность должна сохраняться и в течение определенного срока после увольнения с работы. Необходимо указать меры дисциплинарного воздействия, которые будут применимы в случае нарушения сотрудником требований безопасности.

Обучение пользователей

Все сотрудники организации и, при необходимости, пользователи третьей стороны должны пройти соответствующее обучение и получать на регулярной основе обновленные варианты политик и процедур информационной безопасности, принятых в организации. Обучение сотрудников должно обеспечить знание ими требований безопасности, ответственности в соответствии с законодательством, мероприятий по управлению информационной безопасностью, а также знание правильного использования средств обработки информации, например процедур регистрации в системах, использования пакетов программ, прежде чем им будет предоставлен доступ к информации или услугам.

 

Безопасность кабельной сети

Силовые и телекоммуникационные кабельные сети, по которым передаются данные или осуществляются другие информационные услуги, необходимо защищать от перехвата информации или повреждения.      Необходимо рассматривать следующие мероприятия:

  1. силовые и телекоммуникационные линии, связывающие средства обработки информации, должны быть, по возможности, подземными или обладать адекватной альтернативной защитой;
  2. сетевой кабель должен быть защищен от неавторизованных подключений или повреждения, например, посредством использования специального кожуха и/или выбора маршрутов прокладки кабеля в обход общедоступных участков;
  3. силовые кабели должны быть отделены от коммуникационных, чтобы исключить помехи;
  4. дополнительные мероприятия по управлению информационной безопасностью для чувствительных или критических систем включают:
  5. использование бронированных кожухов, а также закрытых помещений/ящиков в промежуточных пунктах контроля и конечных точках;
  6. использование дублирующих маршрутов прокладки кабеля или альтернативных способов передачи;
  7. использование оптико-волоконных линий связи;
  8. проверки на подключение неавторизованных устройств к кабельной сети.

Политика «чистого стола» и «чистого экрана»

Организациям следует применять политику «чистого стола» в отношении бумажных документов и сменных носителей данных, а также политику «чистого экрана» в отношении средств обработки информации с тем, чтобы уменьшить риски неавторизованного доступа, потери и повреждения информации как во время рабочего дня, так и при внеурочной работе. При применении этих политик следует учитывать категории информации с точки зрения безопасности и соответствующие риски, а также корпоративную культуру организации.

Носители информации, оставленные на столах, также могут быть повреждены или разрушены при бедствии, например, при пожаре, наводнении или взрыве.

Следует применять следующие мероприятия по управлению информационной безопасностью:

  • чтобы исключить компрометацию информации, целесообразно бумажные и электронные носители информации, когда они не используются, хранить в надлежащих запирающихся шкафах и/или в других защищенных предметах мебели, особенно в нерабочее время;
  • носители с важной или критичной служебной информацией, когда они не требуются, следует убирать и запирать (например, в несгораемом сейфе или шкафу), особенно когда помещение пустует;
  • персональные компьютеры, компьютерные терминалы и принтеры должны быть выключены по окончании работы; следует также применять кодовые замки, пароли или другие мероприятия в отношении устройств, находящихся без присмотра;
  • необходимо обеспечить защиту пунктов отправки/приема корреспонденции, а также факсимильных и телексных аппаратов в случаях нахождения их без присмотра;
  • в нерабочее время фотокопировальные устройства следует запирать на ключ (или защищать от неавторизованного использования другим способом);
  • напечатанные документы с важной или конфиденциальной информацией необходимо изымать из принтеров немедленно.

Документальное оформление операционных процедур

Документированные процедуры должны быть также разработаны в отношении обслуживания систем обработки и обмена информацией, в частности процедуры запуска и безопасного завершения работы компьютера(ов), процедуры резервирования, текущего обслуживания и ремонта оборудования, обеспечения надлежащей безопасности помещений с компьютерным и коммуникационным оборудованием.

Безопасность электронной почты

Электронная почта используется для обмена служебной информацией, заменяя традиционные формы связи, такие как телекс и почта. Электронная почта отличается от традиционных форм бизнес-коммуникаций скоростью, структурой сообщений, определенной упрощенностью, а также уязвимостью к неавторизованным действиям. Следует внедрить четкие правила использования электронной почты, предусматривающие следующие аспекты:

  • вероятность атаки на электронную почту (вирусы, перехват);
  • защиту вложений в сообщения электронной почты;
  • данные, при передаче которых не следует пользоваться электронной почтой;
  • исключение возможности компрометации организации со стороны сотрудников, например, путем рассылки дискредитирующих и оскорбительных сообщений, использование корпоративной электронной почты с целью неавторизованных покупок;
  • использование криптографических методов для защиты конфиденциальности и целостности электронных сообщений;
  • хранение сообщений, которые, в этом случае, могли бы быть использованы в случае судебных разбирательств;
  • дополнительные меры контроля обмена сообщениями, которые не могут быть аутентифицированы.

Контроль в отношении паролей пользователей

Пароли являются наиболее распространенными средствами подтверждения идентификатора пользователя при доступе к информационной системе или сервису. Предоставление паролей должно контролироваться посредством формализованного процесса управления, который должен предусматривать:

  • подписание пользователями документа о необходимости соблюдения полной конфиденциальности личных паролей, а в отношении групповых паролей – соблюдения конфиденциальности в пределах рабочей группы (это может быть включено в условия трудового договора;
  • в случаях, когда от пользователей требуется управление собственными паролями, необходимо обеспечивать предоставление безопасного первоначального временного пароля, который пользователя принуждают сменить при первой регистрации в системе. Временные пароли используются в тех случаях, когда пользователи забывают свой личный пароль, и должны выдаваться только после идентификации пользователя;
  • обеспечение безопасного способа выдачи временных паролей пользователям.

Следует избегать использования незащищенных (открытый текст) сообщений электронной почты или сообщений по электронной почте от третьей стороны. Пользователям необходимо подтверждать получение паролей.

Пароли никогда не следует хранить в компьютерной системе в незащищенной форме. При необходимости следует рассматривать возможности других технологий для идентификации и аутентификации пользователя, такие как биометрия (проверка отпечатков пальцев), проверка подписи, и использование аппаратных средств идентификации (чип-карт, микросхем).

Пользователи должны соблюдать определенные правила обеспечения безопасности при выборе и использовании паролей.

С помощью паролей обеспечивается подтверждение идентификатора пользователя и, следовательно, получение доступа к средствам обработки информации или сервисам. Все пользователи должны быть осведомлены о необходимости:

  1. сохранения конфиденциальности паролей;
  2. запрещения записи паролей на бумаге, если только не обеспечено безопасное их хранение;
  3. изменения паролей всякий раз, при наличии любого признака возможной компрометации системы или пароля;
  4. выбора качественных паролей с минимальной длиной в шесть знаков, которые:
  5. легко запомнить;
  6. не подвержены легкому угадыванию или вычислению с использованием персональной информации, связанной с владельцем пароля, например, имен, номеров телефонов, дат рождения и т.д.;
  7. не содержат последовательных идентичных символов и не состоят из полностью числовых или полностью буквенных групп;
  8. изменения паролей через равные интервалы времени или после определенного числа доступов и исключения повторного или цикличного использования старых паролей (пароли для привилегированных учетных записей следует менять чаще, чем обычные пароли);
  9. изменения временных паролей при первой регистрации в системе;
  10. запрещения включения паролей в автоматизированный процесс регистрации, например, с использованием хранимых макрокоманд или функциональных клавиш;
  11. исключения коллективного использования индивидуальных паролей.

Если пользователи нуждаются в доступе к многочисленным услугам или бизнес-приложениям и вынуждены использовать многочисленные пароли, можно порекомендовать возможность использования одного качественного пароля для всех сервисов, обеспечивающих разумный уровень защиты хранимого пароля.

Оборудование, оставленное пользователями без присмотра

Пользователи должны обеспечивать соответствующую защиту оборудования, оставленного без присмотра. Оборудование, установленное в рабочих зонах, например рабочие или файловые станции, требует специальной защиты от неавторизованного доступа в случае оставления их без присмотра на длительный период. Всем пользователям и подрядчикам необходимо знать требования безопасности и методы защиты оставленного без присмотра оборудования также, как и свои обязанности по обеспечению такой защиты. Пользователям рекомендуется:

  • завершать активные сеансы по окончании работы, если отсутствует механизм блокировки, например, хранитель экрана, защищенный паролем;
  • отключаться от мэйнфрейма, когда сеанс закончен (то есть не только выключать PC или терминал);
  • защищать PC или терминалы от неавторизованного использования посредством замка или эквивалентного средства контроля, например, защита доступа с помощью пароля, когда оборудование не используется.

Контроль сетевого доступа

Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым. Это необходимо для уверенности в том, что пользователи, которые имеют доступ к сетям и сетевым сервисам, не компрометируют их безопасность, обеспечивая:

  • соответствующие интерфейсы между сетью организации и сетями, принадлежащими другим организациям, или общедоступными сетями;
  • соответствующие механизмы аутентификации в отношении пользователей и оборудования;
  • контроль доступа пользователей к информационным сервисам.

Работа с переносными устройствами и работа в дистанционном режиме

         Следует соизмерять требуемую защиту со специфичными рисками работы в удаленном режиме. При использовании переносных устройств следует учитывать риски, связанные с работой в незащищенной среде, и применять соответствующие меры защиты. В случаях работы в дистанционном режиме организация должна предусматривать защиту как места работы, так и соответствующие меры по обеспечению информационной безопасности.

         При использовании переносных устройств, например ноутбуков, карманных компьютеров, переносных компьютеров и мобильных телефонов, необходимо принимать специальные меры противодействия компрометации служебной информации. Необходимо принять формализованную политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде. Такая политика должна включать требования по физической защите, контролю доступа, использованию средств и методов криптографии, резервированию и защите от вирусов. Необходимо, чтобы эта политика включала правила и рекомендации по подсоединению мобильных средств к сетям, а также разработку руководств по использованию этих средств в общедоступных местах.

         Следует проявлять осторожность при использовании мобильных средств вычислительной техники и других сервисных средств в общедоступных местах, переговорных комнатах и незащищенных помещениях вне организации. Чтобы исключить неавторизованный доступ или раскрытие информации, хранимой и обрабатываемой этими средствами, необходимо использование средств и методов криптографии.

         При использовании мобильных средств в общедоступных местах важно проявлять осторожность, чтобы уменьшить риск «подсмотра» паролей доступа неавторизованными лицами. Необходимо внедрять и поддерживать в актуализированном состоянии средства и способы защиты от вредоносного программного обеспечения. Следует также обеспечивать доступность оборудования для быстрого и удобного резервирования информации. Необходимо также обеспечивать адекватную защиту резервных копий от кражи или потери информации.

Работа в дистанционном режиме

         При работе в дистанционном режиме, а также для обеспечения работы сотрудников вне своей организации, в конкретном удаленном месте применяются коммуникационные технологии. При этом следует обеспечивать защиту мест дистанционной работы как от краж оборудования и информации, так и от неавторизованного раскрытия информации, неавторизованного удаленного доступа к внутренним системам организации или неправильного использования оборудования. Важно, чтобы при работе в дистанционном режиме были выполнены требования как по авторизации, так и по контролю со стороны руководства, а также был обеспечен соответствующий уровень информационной безопасности этого способа работы.

         Организациям необходимо предусматривать разработку политики, процедуры и способы контроля за действиями, связанными с работой в дистанционном режиме. Организациям следует авторизовывать возможность работы в дистанционном режиме только в случае уверенности, что применяются соответствующие меры информационной безопасности, которые согласуются с политикой безопасности организации. Необходимо принимать во внимание:

  • существующую физическую безопасность места работы в дистанционном режиме, сточки зрения безопасности здания и окружающей среды;
  • предлагаемое оборудование мест дистанционной работы;
  • требования к безопасности коммуникаций, исходя из потребности в удаленном доступе к внутренним системам организации, важности информации, к которой будет осуществляться доступ и которая будет передаваться по каналам связи, а также важность самих внутренних систем организации;
  • угрозу неавторизованного доступа к информации или ресурсам со стороны других лиц, имеющих доступ к месту дистанционной работы, например, членов семьи и друзей.

Защита данных и конфиденциальность персональной информации

         Соответствие законодательству по защите данных требует соответствующей структуры управления информационной безопасностью. Лучше всего это достигается при назначении должностного лица, отвечающего за защиту данных путем соответствующего разъяснения менеджерам, пользователям и поставщикам услуг об их индивидуальной ответственности, а также обязательности выполнения соответствующих мероприятий по обеспечению информационной безопасности. Владельцы данных обязаны информировать это должностное лицо о любых предложениях о способах хранения персональной информации в структуре файла данных, а также знать применяемые нормы законодательства в отношении защиты личных данных.


»  Tags for document:

Навигация по подшивке