Пояснительная записка (Определение норм и правил менеджмента информационной безопасности в государственном органе власти), страница 4

При необходимости соблюдения окружающих условий (температура или влажность) следует проводить мониторинг, во избежание повреждения технических средств.

1. Поддерживающие услуги

Оборудование организации должно быть защищено от перебоев электропитания и иных видов перебоев.

Всё оборудование должно иметь средства бесперебойного питания, во избежание повреждений в результате нарушений электропитания. При необходимости можно использовать резервные генераторы. Нужно периодически осуществлять проверку работоспособности генераторов и источников бесперебойного питания.

1. Техническое обслуживание средств обработки информации и списание оборудования

Технические средства должны проходить техническое обслуживание только сотрудниками, имеющими на это полномочия. Если техническое обслуживание производится сторонней организацией, то при необходимости перед передачей технического средства нужно извлекать все носители информации и эти носители нужно описать, чтобы избежать возможности установки в несоответствующее техническое средство.

В случаях, когда технические средства отправляются на списание, необходимо произвести уничтожение данных путём удаления или перезаписи, или уничтожение самих носителей.

1. Безопасность силовых линий и каналов связи

Силовые кабели и каналы связи нужно располагать так, чтобы уменьшить вероятность их повреждений и перехвата информации. Для этого нужно:

• силовые кабели должны быть отделены от линий передачи информации для предотвращения помех;

• к линиям передачи информации не должно быть возможности посторонних подключений;

• силовые линии должны располагаться под землей или иметь необходимую защиту;

• все кабели и оборудование должны быть с маркировкой для минимизации ошибок при эксплуатации.

1. Управление доступом

1. Требования организации по управлению доступом

В организации должны существовать правила управления доступом. Правила управления доступом для каждого пользователя или группы пользователей должны быть оформлены документально и пересматриваться.

Управление доступом должно использоваться в организации, для разграничения доступа сотрудников к информационным системам. Технические средства нужно настраивать таким образом, чтобы пользователь не мог получить доступ к информационным ресурсам, которые не связаны с его деятельностью.

Для каждого пользователя должна быть сформирована собственная учётная запись. Ей нужно присвоить необходимый идентификационный номер или имя, и пароль.

Должны быть установлены правила создания идентификаторов и паролей. Должна быть возможность сгенерировать первоначальные параметры учётной записи.

1. Учётные записи

В организации нужно реализовать создание учётных записей пользователей. При создании и уничтожении учётных записей нужно предусмотреть следующее:

• идентификаторы пользователей должны быть уникальны и должны быть привязаны только к одному пользователю;

• удостовериться, что права доступа учётной записи соответствуют должности сотрудника;

• пользователь должен ознакомиться со своими правами доступа и нужно потребовать от пользователя подписать документ об ознакомлении.

Нужно назначить период, после которого необходимо осуществлять пересмотр прав доступа. Если в трудовой деятельности сотрудника произошли изменения (например, переход на новую должность или увольнение), то нужно не дожидаясь срока пересмотра, обновить права доступа учётной записи. Привилегированные учётные записи тоже должны пересматриваться с таким же сроком как у обычных учётных записей, либо меньшим.

Должно быть назначено ответственное лицо, в обязанности которого будет входить создание, выдача и уничтожение учётных записей.

1. Привилегированные учётные записи

Такие учётные записи должны существовать только для тех сотрудников, которым они необходимы и могут быть связанны с установкой, изменением конфигураций технических средств. Количество таких учетных записей должно быть чётко регламентировано и пересмотр привилегированных учетных записей должен осуществляться чаще, чем обычных учетных записей.

При создании привилегированных учетных записей нужно предусмотреть:

• определение привилегий для каждого программного обеспечения (например, системы управления базами данных);

• должны назначаться только те привилегии, которые необходимы для выполнения должностных обязанностей и только в случае необходимости.

1. Управление паролями пользователей

Пароли в организации должно выдавать уполномоченное лицо. Нужно рассмотреть следующие требования к паролям:

• пароль должен состоять определённого количества символов и содержать цифры, заглавные и строчные латинские символы, и спецсимволы;

• алфавит для пароля должен содержать определённое количество символов;

• каждый пароль должен существовать некоторое время, после которого нужно производить его смену, таким образом, нужно установить минимальный и максимальный срок действия пароля, а также предусмотреть запрет использования предыдущих паролей;

• после обозначенного количества попыток ввода пароля учётная запись должна быть заблокирована на пятнадцать минут;

• нужно определить максимальный срок действия пароля, после которого необходима его смена;

• временные пароли необходимо выдавать пользователю без использования незащищенных каналов связи;

• временные пароли должны создаваться также, как и обычные пароли пользователей и не должны быть легко угадываемыми;

• стандартные пароли программного, технического обеспечения при вводе в эксплуатацию необходимо изменять.

1. Обязанности пользователей

Пользователи должны быть осведомлены о своих обязанностях в отношении паролей и безопасности оборудования, с которым они работают. Пользователи не должны:

• записывать пароли на бумажные носители;

• разглашать пароли;

• использовать пароли, выданные в организации в частных целях.

Пользователь должен знать о требования безопасности по отношению к оставленному без присмотра оборудованию. В случае скомпрометированного или забытого пароля сотрудник должен обращаться к уполномоченному лицу, который ответственен за выдачу паролей.

Если оборудование будет находиться без присмотра длительное время, то необходимо применять средства защиты от несанкционированного доступа или использовать блокировку с клавиатуры. Например, можно использовать экранную заставку, которая будет активизирована после определенного времени простоя.

В организации должна существовать политика «чистого стола» и «чистого экрана».

1. Управление доступом в информационных сетях

1. Использование сетевых услуг

В сетях организации могут существовать сетевые ресурсы, доступ к которым должен быть разделен в зависимости от должностей сотрудников. Поэтому нужно создать контролируемый доступ, как во внутреннюю сеть, так и в сети общего пользования.

Для этого необходимо описать:

• существующие сети и сетевые ресурсы, к которым разрешен доступ;

• способы авторизации в сети для предоставления доступа к необходимым ресурсам;

• средства, осуществляющие организацию доступа к сети и сетевым ресурсам.

Если в организации существуют пользователи, которым нужно подключаться к сети удалённо, то нужно применять средства криптографической защиты, такие как криптошлюзы или использовать защищенные каналы связи, например, используя виртуальные частные сети.

1. Аутентификация пользователей с внешних соединений и идентификация оборудования в вычислительных сетях

При необходимости удаленного доступа сотрудника нужно использовать соответствующие методы аутентификации. Нужно использовать протоколы удаленной аутентификации, протоколы типа «вызов-ответ» или виртуальные частные сети.

В дополнении к методам аутентификации пользователя, можно использовать идентификатор оборудования, который будет прикреплен к техническому средству. Такие идентификаторы будут определять к какой сети имеет доступ техническое средство, если их несколько.

1. Защита портов диагностики

На персональных компьютерах и сетевых средствах могут существовать порты для удалённой диагностики. Через такие порты может осуществляться несанкционированный доступ. Доступ к таким портам должен быть контролируемым. Если на данный момент времени эти порты не используются, то необходимо произвести их блокировку.

Также существуют физические порты диагностики технических средств. Такие порты должны быть заблокированы и е ним должен иметь доступ только определенных круг технических специалистов организации.

1. Разделения в локальных сетях

При наличии в организации крупных сетей, нужно использовать разделение этих сетей на домены. Особенно стоит использовать разделение, если используются беспроводные сети от внутренних сетей.

Сети можно разделить на несколько доменов, которые разделяется периметром безопасности. Между доменами в качестве шлюза безопасности используется межсетевой экран, который настраивается для фильтрации трафика между доменами. Также можно использовать виртуальные частные сети внутри организации.

1. Управление сетевыми соединениями

Пользователи могут иметь возможность использовать программное обеспечение, которое использует выход во внешние сети. Необходимо осуществлять контроль над внешними соединениями и ограничивать использование программ, которые не используются для работы организации.

Такие ограничения создаются при помощи сетевых шлюзов или средств, фильтрующих трафик и контролирующих доступ на основании определённых правил или списков. Нужно ограничить возможности использования таких программ как:

• программное обеспечение, работающее с электронной почтой;

• программное обеспечение, имеющее возможность передавать и принимать файлы;

• программное обеспечение, которое может иметь удаленный доступ.

1. Управление сетевой маршрутизацией

В сетях необходимо использовать средства контроля маршрутизации, в целях мониторинга того, что подключенные компьютеры и информация, циркулирующая между ними не нарушают правила управления доступом.

1. Управления доступом к используемым системам

1. Процедуры начала сеанса

Настраивать средства защиты информации и операционные системы следует таким образом, чтобы минимизировать возможности несанкционированного доступа. Настройка операционной системы должна исключить отображение какой-либо информации до входа пользователя в систему и должен быть определен перечень действий пользователя, разрешенных до прохождения им процедур идентификации и аутентификации. Настройка должна включать:

• только поля для ввода идентификатора и пароля учетной записи, не должно быть никаких посторонних надписей, например, версии операционной системы;

• при неверно введенных данных, в сообщении об ошибке не должно отображаться, что именно введено неверно;

• после определенного числа неудавшихся попыток входа, учетная запись должна блокироваться на определенный срок;

• скрытие символов пароля или замены на специальные символы;

• попытки входа должны записываться в журнал.

1. Идентификация и аутентификация пользователей

Все создаваемые идентификаторы должны быть уникальны для всех типов пользователей (обычные пользователи, администраторы сетей или баз данных, программистов и так далее). Использование групповых идентификаторов должно быть запрещено, однако если нет возможности использовать разные идентификаторы пользователей, допускается использование групповых идентификаторов. В таких случаях должно быть получено официальное разрешение руководства.

Также для идентификации и аутентификации могут использоваться криптографические протоколы или «токены».

1. Управление паролями

В организации нужно использовать средства, которые позволяют осуществлять управление паролями. Такие системы должны иметь возможности:

• вести учет предыдущих паролей и предотвращать их повторное использование;

• хранить пароли и передавать их в зашифрованном виде;

• проверять создаваемые пароли на сложность (количество символов, спецсимволы и так далее).

1. Системные утилиты

В операционных системах существуют системные утилиты, которые могут обходить используемые настройки безопасности, поэтому в отношении системных утилит нужно рассмотреть следующее:

• ограничивать возможности использования системных утилит учетными записями, не имеющих привилегированных прав;

• для использования утилит нужно быть авторизованным в системе;

• удаление или блокирование ненужных системных утилит и системного программного обеспечения;

• вести мониторинг используемых утилит.

1. Ограничение времени сеанса связи

При длительном бездействии сеанса связи, такие сеансы должны быть закрыты. При наличии возможностей использовать различные методы ограничения времени сеанса нужно их применять. Такими методами могут быть отключение сетевых сеансов при долгом периоде неактивности, завершение работы программного обеспечения или применение простой блокировки экрана.

1. Ограничение времени соединения

При необходимости в организации можно использовать фиксированное время для сетевых соединений. Например, можно ограничить время часами работы организации или производить повторную аутентификацию через запланированные промежутки времени.

1. Управление доступом к информации и программному обеспечению

   1. Ограничение доступа к информации

Доступ к информации организации должен ограничиваться в соответствии с правилами разграничения доступа. Например, нужно настраивать права доступа пользователей (чтение, запись, выполнение и так далее) или настраивать разрешения программному обеспечению.

1. Изоляция чувствительных систем

При наличии необходимости обрабатывать чувствительную информацию в организации, нужно использовать разные системы. Например, можно выделить отдельную информационную систему или использовать отдельное автоматизированное рабочее место. Также можно использовать логический метод разделения (применение межсетевых экранов и так далее).

1. Мобильная вычислительная техника и удаленная работа

При использовании мобильной вычислительной техники для удаленной работы, нужно понимать то, что для передачи информации могут использоваться незащищенные каналы связи. Сотрудники, работающие таким образом, должны знать какие риски возникают при передаче данных через незащищенные каналы связи. В правилах по удаленному доступу нужно описать следующую информацию:

• физическая защита устройств удаленного доступа;

• использование криптографических средств защиты информации;

• использование антивирусных средств защиты;

• рекомендации по подключению к беспроводным сетям и использованию вычислительной техники в общедоступных сетях.

1. Управление эксплуатацией технических средств

1. Документальное оформление эксплуатационных процедур

Нужно устанавливать процедуры, связанные с эксплуатацией средств обработки информацией. Процедуры должны содержать инструкцию по выполнению конкретной задачи:

• резервирования;

• связанные со средствами обработки информации;

• контакты на случай возникших технических проблем;

• инструкции при работе с конфиденциальной информацией, к примеру, утилизация конфиденциальной информации;

• инструкции по обращению с носителями информации;

• контакты, в случае возникновения технических проблем.

Такие документы должны строго соблюдаться и быть утверждены руководством.

1. Управление изменениями средств обработки информации

Любые изменения в средствах обработки информации должны контролироваться, поскольку неправильные и ненужные изменения могут приводить к инцидентам информационной безопасности и сбоям в работе технических средств. Любые изменения в эксплуатируемые средства и системы нужно вносить только при наличии обоснованных причин. Таким образом, необходимо ввести определённые мероприятия для контроля изменений:

• при внесении любых изменений в состав средств обработки информации, нужно это отмечать в журнале изменений;

• если изменение касается технических средств, используемых пользователем, то он должен быть проинформирован о внесении изменений;

• тестирование изменений;

• нужно предусмотреть возможность возврата в предыдущий режим работы, либо предыдущих версий программного обеспечения в случае некорректной работы.

1. Разделение сред разработки, тестирования и эксплуатации

Среды тестирования и разработки нужно разделять, поскольку программное обеспечение может привести к изменению файлов, изменениям другого программного обеспечения, или изменениям информации. Помимо сбоев, такие ситуации можно использовать для установки вредоносных программ. Аналогично нужно отделить среду эксплуатации от остальных, поскольку не до конца протестированное программное обеспечение или обновления могут вызывать сбои в работе технических средств, что может нарушить деятельность в организации. Поэтому нужно использовать следующие мероприятия:

• программное обеспечение для разработки, тестирования и эксплуатации должно находиться на разных автоматизированных рабочих местах, которые находятся в различных сетях или доменах;

• разработка и тестирование также должны быть разделены;

• среда системы тестирования должна максимально повторять среду эксплуатации;

• если в среде тестирования участвуют обычные пользователи, то они должны быть уведомлены о том, что программное обеспечении проходит тестирование.

1. Контроль выполнения услуг третьей стороны

1. Предоставление услуг

При предоставлении услуг третьей стороной нужно заключить договор с третьей стороной, в котором будут описаны согласованные меры по обеспечению безопасности и описаны услуги, которые выполняет третья сторона.

1. Мониторинг и анализ выполнения услуг третьей стороны

При оказании услуг третьей стороной, нужно осуществлять их мониторинг и анализ, для обеспечения уверенности в том, что все оговоренные меры по обеспечению безопасности осуществляются в полном объеме.

1. Изменение услуг третьей стороны

При оказании услуг третьей стороной нужно учитывать, что в организации могут происходить изменения, например, в области информационной безопасности или изменение требований к услугам.

1. Планирование и приёмка систем

1. Планирование систем

При разработке информационных систем необходимо учитывать будущую производительность и ресурсы и в соответствии с этим провести нужную подготовку. В целях устранения возможности перезагрузки информационных систем, нужно провести анализ предполагаемой нагрузки в процессе эксплуатации. Нужно уделять внимание дорогостоящим ресурсам информационной системы.

1. Приемка систем

Перед приемкой информационных систем нужно определить критерии приемки, которые должны включать:

• установку и настройку средств защиты информации;

• разработку организационно-распорядительной документации;

• внедрение организационных мер защиты;

• тестирование информационных систем;

• опытную эксплуатацию;

• анализ уязвимостей и принятие мер по их устранению;

• приемочные испытания.

Организационно-распорядительная документация должна включать:

• управление конфигурацией информационной системы;

• обеспечение непрерывности деятельности;

• процедуры выявления инцидентов, которые могут привести к возникновению угроз безопасности и реагирование на них.

Тестирование информационных систем должно проводиться в соответствии со всеми стандартами Российской Федерации. Опытная эксплуатация должна также осуществляться в соответствии с национальными стандартами и включать проверку работоспособности системы защиты информации.