ГОСТ Р ИСО МЭК 17799 (1027767), страница 16
Текст из файла (страница 16)
Время срабатывания блокировки должно устанавливаться сучетом рисков безопасности, связанных с местом установки терминала. Следует иметь в виду, что некоторые персональные компьютеры обеспечивают ограниченную возможность блокировки терминала повремени путем очистки экрана и предотвращения неавторизованного доступа, не осуществляя при этомзакрытия сеанса приложений или сетевого сеанса.359.5.8 Ограничения подсоединения по времениОграничения подсоединения по времени должны обеспечивать дополнительную безопасностьдля приложений высокого риска. Ограничение периода времени, в течение которого разрешены подсоединения терминалов к компьютерным сервисам, уменьшает интервал времени, в течение которого возможен неавторизованный доступ.
Эту меру обеспечения информационной безопасности необходимоприменять для наиболее важных компьютерных приложений, особенно тех, которые связаны с терминалами, установленными в местах повышенного риска, например, в общедоступных местах или вне сферыконтроля управления безопасностью организации. Примеры таких ограничений:- использование заранее определенных отрезков времени для пакетной передачи файлов илирегулярных интерактивных сеансов небольшой продолжительности;- ограничение времени подключений часами работы организации, если нет необходимости сверхурочной или более продолжительной работы.9.6 Контроль доступа к приложениямЦель: предотвращение неавторизованного доступа к данным информационных систем.Необходимо применять меры обеспечения информационной безопасности для ограничения доступа к прикладным системам.Логический доступ к программному обеспечению и информации должен быть ограничен толькоавторизованными пользователями, Для этого необходимо обеспечивать:- контроль доступа пользователей к информации и функциям бизнес-приложений в соответствии сопределенной бизнесом политикой контроля доступа;- защиту от неавторизованного доступа любой утилиты и системного программного обеспечения,которые позволяют обходить средства операционной системы или приложений;- исключение компрометации безопасности других систем, с которыми совместно используютсяинформационные ресурсы;- доступ к информации только владельца, который соответствующим образом назначен из числаавторизованных лиц или определенных групп пользователей.9.6.1 Ограничение доступа к информацииПользователям бизнес-приложений, включая персонал поддержки и эксплуатации, следует обеспечивать доступ к информации и функциям этих приложений в соответствии с определенной политикойконтроля доступа, основанной на требованиях к отдельным бизнес-приложениям (9.1).
Необходимо рассматривать применение следующих мероприятий по управлению информационной безопасностью дляобеспечения требований по ограничению доступа:- поддержка меню для управления доступом к прикладным функциям системы;- ограничения в предоставлении пользователям информации о данных и функциях бизнес-приложений, к которым они не авторизованы на доступ, путем соответствующего редактирования пользовательской документации;- контроль прав доступа пользователей, например, чтение/запись/удаление/ выполнение;- обеспечение уверенности в том, что выводимые данные из бизнес-приложений, обрабатывающих важную информацию, содержали только требуемую информацию и пересылались только в адресаавторизованных терминалов и по месту назначения.
Следует проводить периодический анализ процесса вывода для проверки удаления избыточной информации.9.6.2 Изоляция систем, обрабатывающих важную информациюСистемы, обрабатывающие важную информацию, должны быть обеспечены выделенной (изолированной) вычислительной средой. Некоторые прикладные системы имеют очень большое значение сточки зрения безопасности данных и поэтому требуют специальных условий эксплуатации. Важностьобрабатываемой информации может или требовать работы системы на выделенном компьютере, илиосуществлять совместное использование ресурсов только с безопасными бизнес-приложениями, илиработать без каких-либо ограничений.
При этом необходимо учитывать следующее:- владельцу бизнес-приложений необходимо определить и документально оформить степень ихважности (4.1.3);- когда важное бизнес-приложение должно работать в среде совместного использования, необходимо выявить другие приложения, с которыми будет осуществляться совместное использование ресурсов, и согласовать это с владельцем важного бизнес-приложения.9.7 Мониторинг доступа и использования системыЦель: обнаружение неавторизованных действий.36Для обнаружения отклонения от требований политики контроля доступа и регистрации событий иобеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности необходимо проводить мониторинг системы.Мониторинг системы позволяет проверять эффективность применяемых мероприятий по обеспечению информационной безопасности и подтверждать соответствие модели политики доступа требованиям бизнеса (9.1).9.7.1 Регистрация событийДля записи инцидентов нарушения информационной безопасности и других связанных с безопасностью событий следует создавать журналы аудита и хранить их в течение согласованного периода времени с целью содействия в проведении будущих расследований и мониторинге управления доступом.Необходимо, чтобы записи аудита включали:- ID пользователей;- даты и время входа и выхода;- идентификатор терминала или его местоположение, если возможно;- записи успешных и отклоненных попыток доступа к системе;- записи успешных и отклоненных попыток доступа к данным и другим ресурсам.
Может потребоваться, чтобы определенные записи аудита были заархивированы для использования их при анализе ирасследованиях инцидентов нарушения информационной безопасности, а также в интересах другихцелей (раздел 12).9.7.2 Мониторинг использования систем9.7.2.1 Процедуры и области рискаДля обеспечения уверенности в том, что пользователи выполняют только те действия, на которыеони были явно авторизованы, необходимо определить процедуры мониторинга использования средствобработки информации. Уровень мониторинга конкретных средств обработки информации следуетопределять на основе оценки рисков. При мониторинге следует обращать внимание на:а) авторизованный доступ, включая следующие детали:1) пользовательский ID;2) даты и время основных событий;3) типы событий;4) файлы, к которым был осуществлен доступ;5) используемые программы/утилиты;б) все привилегированные действия, такие как:1) использование учетной записи супервизора;2) запуск и останов системы;3) подсоединение/отсоединение устройства ввода/вывода;в) попытки неавторизованного доступа, такие как:1) неудавшиеся попытки;2) нарушения политики доступа и уведомления сетевых шлюзов и межсетевых экранов;3) предупреждения от собственных систем обнаружения вторжения;г) предупреждения или отказы системы, такие как:1) консольные (терминальные) предупреждения или сообщения;2) исключения, записанные в системные журналы регистрации;3) предупредительные сигналы, связанные с управлением сетью.9.7.2.2 Факторы рискаРезультаты мониторинга следует регулярно анализировать.
Периодичность анализов должназависеть от результатов оценки риска. Факторы риска, которые необходимо при этом учитывать, включают:- критичность процессов, которые поддерживаются бизнес-приложениями;- стоимость, важность или критичность информации;- анализ предшествующих случаев проникновения и неправильного использования системы;- степень взаимосвязи информационных систем организации с другими (особенно с общедоступными) сетями.9.7.2.3 Регистрация и анализ событийАнализ (просмотр) журнала аудита подразумевает понимание угроз, которым подвержена система, и причин их возникновения.
Примеры событий, которые могли бы потребовать дальнейшего исследования в случае инцидентов нарушения информационной безопасности, приведены в 9.7.1.Системные журналы аудита часто содержат информацию, значительный объем которой не представляет интереса с точки зрения мониторинга безопасности.
Для облегчения идентификации37существенных событий при мониторинге безопасности целесообразно рассмотреть возможность автоматического копирования соответствующих типов сообщений в отдельный журнал и/или использоватьподходящие системные утилиты или инструментальные средства аудита для подготовки к анализуданных.При распределении ответственности за анализ журнала аудита необходимо учитывать разделение ролей между лицом (лицами), проводящим (и) анализ, и теми, чьи действия подвергаются мониторингу.Особое внимание следует уделять защите собственных средств регистрации, потому что при вмешательстве в их работу может быть получено искаженное представление о событиях безопасности.Мероприятия по управлению информационной безопасностью должны обеспечивать защиту от неавторизованных изменений и эксплуатационных сбоев, включая:- отключение средств регистрации;- изменение типов зарегистрированных сообщений;- редактирование или удаление файлов, содержащихся в журналах аудита;- регистрацию случаев полного заполнения носителей журнальных файлов, а также случаевневозможности записей событий вследствие сбоев либо случаев перезаписи новых данных поверх старых.9.7.3 Синхронизация часовПравильная установка компьютерных часов (таймера) важна для обеспечения точности заполнения журналов аудита, которые могут потребоваться для расследований или как доказательство присудебных или административных разбирательствах.
Некорректные журналы аудита могут затруднятьтакие расследования, а также приводить к сомнению в достоверности собранных доказательств.Там, где компьютер или устройство связи имеют возможность использовать часы в реальном времени, их следует устанавливать по Универсальному Скоординированному Времени (UCT) или местномустандартному времени. Так как некоторые часы, как известно, «уходят вперед» или «отстают», должнасуществовать процедура, которая проверяет и исправляет любое отклонение или его значимоеизменение.9.8 Работа с переносными устройствами и работа в дистанционном режимеЦель: обеспечение информационной безопасности при использовании переносных устройств исредств, обеспечивающих работу в дистанционном режиме.Следует соизмерять требуемую защиту со специфичными рисками работы в удаленном режиме.При использовании переносных устройств следует учитывать риски, связанные с работой в незащищенной среде, и применять соответствующие меры защиты.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
