ГОСТ Р ИСО МЭК 17799 (1027767), страница 12
Текст из файла (страница 12)
Могут потребоваться такжедополнительные соглашения с поставщиками сетевых и информационных услуг.Магазины (сети) электронной торговли, ориентированные на массового потребителя, должныобнародовать условия заключения сделок.25Необходимо обеспечивать устойчивость к вирусным атакам в процессе проведения электроннойторговли, а также предусматривать последствия для безопасности всех сетевых взаимосвязей при ееосуществлении (9.4.7).8.7.4 Безопасность электронной почты8.7.4.1 Риски безопасностиЭлектронная почта используется для обмена служебной информацией, заменяя традиционныеформы связи, такие как телекс и почта. Электронная почта отличается от традиционных форм бизнес-коммуникаций скоростью, структурой сообщений, определенной упрощенностью, а также уязвимостью к неавторизованным действиям.
При этом необходимо учитывать потребность в средствахконтроля для уменьшения рисков безопасности, связанных с электронной почтой. При оценке рисковбезопасности необходимо учитывать, в частности:- уязвимость сообщений по отношению к возможности неавторизованного доступа или модификации, а также к отказу в обслуживании;- повышенную чувствительность к ошибкам, например указанию ошибочного или неверного адреса, а также к общей надежности и доступность данной услуги;- влияние изменения средств передачи информации на бизнес-процессы, например эффект отувеличенной скорости доставки сообщений, а также эффект, связанный с обменом официальнымисообщениями между людьми, а не между организациями;- юридические вопросы, такие как возможная необходимость в доказательстве авторства сообщения, а также фактов ее отправки, доставки и получения;-последствия, связанные с приданием гласности списка сотрудников, имеющих электроннуюпочту;- вопросы, связанные с управлением удаленным доступом к электронной почте.8.7.4.2 Политика в отношении электронной почтыОрганизациям следует внедрить четкие правила использования электронной почты, предусматривающие следующие аспекты:- вероятность атаки на электронную почту (вирусы, перехват);- защиту вложений в сообщения электронной почты;- данные, при передаче которых не следует пользоваться электронной почтой;- исключение возможности компрометации организации со стороны сотрудников, например, путемрассылки дискредитирующих и оскорбительных сообщений, использование корпоративной электронной почты с целью неавторизованных покупок;- использование криптографических методов для защиты конфиденциальности и целостностиэлектронных сообщений (10,3);- хранение сообщений, которые, в этом случае, могли бы быть использованы в случае судебныхразбирательств;- дополнительные меры контроля обмена сообщениями, которые не могут быть аутентифицированы.8.7.5 Безопасность электронных офисных системНеобходимо разработать и внедрить политики безопасности и руководства с целью управлениярисками бизнеса и информационной безопасностью, связанные с электронными офисными системами.Эти системы обеспечивают возможности для быстрого распространения и совместного использованияслужебной информации путем использования сочетания возможностей документов, компьютеров,переносных компьютеров, мобильных средств связи, почты, электронной почты, речевой связи вообще,мультимедийных систем, сервисов доставки почтовых отправлений и факсов.Необходимо учитывать последствия для информационной безопасности и бизнес-процессов отвзаимодействия вышеуказанных средств, в частности:- уязвимость информации в офисных системах, связана, например, с записью телефонных разговоров или переговоров по конференц-связи, конфиденциальностью звонков, хранением факсов, вскрытием и рассылкой почты;- уязвимость информации, предназначенной для совместного использования, например, прииспользовании корпоративных электронных досок объявления (9,1);- исключение использования офисных систем в отношении категорий важной служебной информации, если эти системы не обеспечивают соответствующий уровень защиты (5.2);- уязвимость доступа к данным личных ежедневников отдельных сотрудников, например, работающих на важных проектах;- возможность или невозможность офисных систем поддерживать бизнес-приложения, например,в части передачи заказов или авторизации;26- категории сотрудников, подрядчиков или деловых партнеров, которым разрешено использоватьсистему и рабочие места, с которых может осуществляться к ней доступ (4.2);-ограничение определенных возможностей системы для определенных категорий пользователей;- идентификацию статуса пользователей, например служащих организации или подрядчиков, вотдельных директориях, для удобства других пользователей;- сохранение и резервирование информации, содержащейся в системе (12.1.3, 8.4.1);- требования по переходу на аварийный режим работы и перечень соответствующих мероприятий(11.1).8.7.6 Системы публичного доступаСледует уделять внимание защите целостности информации, опубликованной электронным способом, чтобы предотвратить неавторизованную модификацию, которая могла бы навредить репутацииорганизации, поместившей эту информацию.
Информацию системы публичного доступа, напримеринформацию на Web-сайте, доступную через Интернет, возможно, потребуется привести в соответствие с законодательством и регулирующими нормами страны, под юрисдикцией которых находитсясистема или осуществляется торговля. Необходим соответствующий формализованный процессавторизации прежде, чем информация будет сделана общедоступной.Программное обеспечение, данные и другую информацию, требующую высокого уровня целостности, доступ к которой осуществляется через системы публичного доступа, необходимо защищатьадекватными способами, например, посредством цифровой подписи (10.3.3).
Системы, предоставляющие возможность электронной публикации информации, обратной связи и непосредственного вводаинформации, должны находиться под надлежащим контролем с тем, чтобы:- полученная информация соответствовала всем законам по защите данных (12.1.4);- информация, введенная в систему электронной публикации, обрабатывалась своевременно,полностью и точно;- важная информация была защищена в процессе ее сбора и хранения;- доступ к системе электронной публикации исключал бы возможность непреднамеренного доступа к сетям, с которыми она связана.8.7.7 Другие формы обмена информациейНеобходимо предусмотреть наличие процедур и мероприятий по управлению информационнойбезопасностью с целью защиты процесса обмена информацией посредством речевых, факсимильных ивидеосредств коммуникаций. Информация может быть скомпрометирована из-за недостаточной осведомленности сотрудников по использованию средств передачи информации.
В частности, информацияможет быть подслушана при переговорах по мобильному телефону в общественном месте, а также савтоответчиков; информация может также быть скомпрометированной вследствие неавторизованногодоступа к системе голосовой почты или случайной отсылки факсимильных сообщений неправильномуадресату.Бизнес-операции могут быть нарушены и информация может быть скомпрометирована в случаеотказа, перегрузки или прерывания в работе средств взаимодействия (7.2 и раздел 11).
Информацияможет быть скомпрометирована, если к ней имели место доступ неавторизованные пользователи (раздел 9).Следует сформулировать четкие требования по соблюдению процедур, которым должны следовать сотрудники при использовании речевой, факсимильной и видеосвязи. В частности, необходимопредусмотреть следующее:а) напоминание сотрудникам о необходимости принятия соответствующих мер предосторожности, например, для исключения подслушивания или перехвата информации при использовании телефонной связи:1) лицами, находящимися в непосредственной близости, особенно при пользовании мобильными телефонами;2) прослушивания телефонных переговоров путем физического доступа к трубке, телефоннойлинии или с использованием сканирующих приемников при применении аналоговых мобильныхтелефонов;3) посторонними лицами со стороны адресата;б) напоминание сотрудникам о том, что не следует вести конфиденциальные беседы вобщественных местах, открытых офисах и в переговорных комнатах с тонкими стенами;в) не оставлять сообщений на автоответчиках, переадресация на которые произошла вследствие ошибки соединения, или автоответчиках операторов связи, поскольку эти сообщения могут бытьвоспроизведены неавторизованными лицами;27г) напоминание сотрудникам о возможных рисках, присущих использованию факсимильныхаппаратов, а именно:1) неавторизованный доступ к встроенной памяти для поиска сообщений;2) преднамеренное или случайное перепрограммирование аппаратов с целью передачи сообщений по определенным номерам;3) отсылка документов и сообщений по неправильному номеру вследствие неправильногонабора либо из-за использования неправильно сохраненного номера.9 Контроль доступа9.1 Требование бизнеса по обеспечению контроля в отношении логического доступаЦель: контроль доступа к информации.Доступ к информации и бизнес-процессам должен быть контролируемым с учетом требований бизнеса и безопасности.Требования к контролю доступа должны быть отражены в политиках в отношении распространенияи авторизации информации.9.1.1 Политика в отношении логического доступа9.1.1.1 Политика и требования бизнесаНеобходимо определять и документально оформлять требования бизнеса по обеспечению контроля в отношении логического доступа.
Правила контроля доступа и права каждого пользователя илигруппы пользователей должны однозначно определяться политикой безопасности по отношению к логическому доступу. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения требований в отношении логического доступа.Необходимо, чтобы в политике было учтено следующее:- требования безопасности конкретных бизнес-приложений;- идентификация всей информации, связанной с функционированием бизнес-приложений;- условия распространения информации и авторизации доступа, например, применение принципа«need to know» (пользователь получает доступ только к данным, безусловно необходимым ему длявыполнения конкретной функции), а также в отношении категорированной информации и требуемыхуровней ее защиты;- согласованность между политиками по контролю доступа и классификации информации применительно к различным системам и сетям;- применяемое законодательство и любые договорные обязательства относительно защиты доступа к данным или сервисам (раздел 12);- стандартные профили доступа пользователей для типовых обязанностей и функций;- управление правами доступа в распределенной сети с учетом всех типов доступных соединений.9.1.1.2 Правила контроля доступаПри определении правил контроля доступа следует принимать во внимание следующее:-дифференциацию между правилами, обязательными для исполнения, и правилами, которыеявляются общими или применяемыми при определенных условиях;- установление правил, основанных на предпосылке «все должно быть в общем случае запрещено,пока явно не разрешено», а не на более слабом принципе «все в общем случае разрешено, пока явно незапрещено»;- изменения в признаках маркировки информации (см.
5.2) как генерируемых автоматически средствами обработки информации, так и инициируемых по усмотрению пользователей;- изменения в правах пользователя как устанавливаемых автоматически информационной системой, так и определенных администратором;- правила, которые требуют одобрения администратора или другого лица перед применением, атакже те, которые не требуют специального одобрения.9.2 Контроль в отношении доступа пользователейЦель: предотвращение неавторизованного доступа к информационным системам.Для контроля за предоставление права доступа к информационным системам и сервисам необходимо наличие формализованных процедур.Необходимо, чтобы процедуры охватывали все стадии жизненного цикла пользовательского доступа от начальной регистрации новых пользователей до конечного снятия с регистрации пользователей,которым больше не требуется доступ к информационным системам и сервисам.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
