ГОСТ Р ИСО МЭК 17799 (1027767), страница 17
Текст из файла (страница 17)
В случаях работы в дистанционном режимеорганизация должна предусматривать защиту как места работы, так и соответствующие меры по обеспечению информационной безопасности.9.8.1 Работа с переносными устройствамиПри использовании переносных устройств, например ноутбуков, карманных компьютеров, переносных компьютеров и мобильных телефонов, необходимо принимать специальные меры противодействия компрометации служебной информации. Необходимо принять формализованную политику,учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде.
Такая политика должна включать требования по физической защите, контролю доступа,использованию средств и методов криптографии, резервированию и защите от вирусов. Необходимо,чтобы эта политика включала правила и рекомендации по подсоединению мобильных средств к сетям, атакже разработку руководств по использованию этих средств в общедоступных местах.Следует проявлять осторожность при использовании мобильных средств вычислительной техники и других сервисных средств в общедоступных местах, переговорных комнатах и незащищенных помещениях вне организации.
Чтобы исключить неавторизованный доступ или раскрытие информации,хранимой и обрабатываемой этими средствами, необходимо использование средств и методовкриптографии (10.3).При использовании мобильных средств в общедоступных местах важно проявлять осторожность,чтобы уменьшить риск «подсмотра» паролей доступа неавторизованными лицами, Необходимо внедрять и поддерживать в актуализированном состоянии средства и способы защиты от вредоносного программного обеспечения (8.3). Следует также обеспечивать доступность оборудования для быстрого иудобного резервирования информации.
Необходимо также обеспечивать адекватную защитурезервных копий от кражи или потери информации.Соответствующую защиту необходимо обеспечивать мобильным средствам, подсоединенным кобщедоступным сетям. Удаленный доступ к служебной информации через общедоступную сеть с38использованием мобильных средств вычислительной техники следует осуществлять только послеуспешной идентификации и аутентификации, а также при наличии соответствующих механизмов управления доступом (9.4).Оборудование, на котором хранится важная и/или критическая коммерческая информация, не следует оставлять без присмотра и по возможности необходимо физически изолировать его в надежноеместо или использовать специальные защитные устройства на самом оборудовании, чтобы исключитьего неавторизованное использование.
Переносные устройства необходимо также физически защищатьот краж, особенно когда их оставляют без присмотра, забывают в автомобилях или других видах транспорта, гостиничных номерах, конференц-залах и других местах встреч (7.2.5).Необходимо информировать сотрудников, использующих переносные устройства, о дополнительных рисках и необходимых мероприятиях обеспечения информационной безопасности, связанных сэтим способом работы.9.8.2 Работа в дистанционном режимеПри работе в дистанционном режиме, а также для обеспечения работы сотрудников вне своейорганизации, в конкретном удаленном месте применяются коммуникационные технологии. При этомследует обеспечивать защиту мест дистанционной работы как от краж оборудования и информации, таки от неавторизованного раскрытия информации, неавторизованного удаленного доступа к внутреннимсистемам организации или неправильного использования оборудования.
Важно, чтобы при работе вдистанционном режиме были выполнены требования как по авторизации, так и по контролю со стороныруководства, а также был обеспечен соответствующий уровень информационной безопасности этогоспособа работы.Организациям необходимо предусматривать разработку политики, процедуры и способы контроляза действиями, связанными с работой в дистанционном режиме. Организациям следует авторизовывать возможность работы в дистанционном режиме только в случае уверенности, что применяются соответствующие меры информационной безопасности, которые согласуются с политикой безопасностиорганизации.
Необходимо принимать во внимание:- существующую физическую безопасность места работы в дистанционном режиме, сточки зрениябезопасности здания и окружающей среды;- предлагаемое оборудование мест дистанционной работы;- требования к безопасности коммуникаций, исходя из потребности в удаленном доступе к внутренним системам организации, важности информации, к которой будет осуществляться доступ и котораябудет передаваться по каналам связи, а также важность самих внутренних систем организации;- угрозу неавторизованного доступа к информации или ресурсам со стороны других лиц, имеющихдоступ к месту дистанционной работы, например, членов семьи и друзей.Мероприятия по обеспечению информационной безопасности в этих условиях должны включать:- обеспечение подходящим оборудованием и мебелью места дистанционной работы;- определение видов разрешенной работы, времени работы, классификацию информации, которая может храниться, а также определение внутренних систем и услуг, доступ к которым авторизованлицу, работающему в дистанционном режиме;-обеспечение подходящим телекоммуникационным оборудованием, в том числе средствамиобеспечения безопасности удаленного доступа;- физическую безопасность;- правила и руководства в отношении доступа членов семьи и друзей к оборудованию и информации;- обеспечение поддержки и обслуживания оборудования и программного обеспечения;- процедуры в отношении резервирования данных и обеспечения непрерывности деятельности;- аудит и мониторинг безопасности;- аннулирование полномочий, отмену прав доступа и возвращение оборудования в случае прекращения работы в дистанционном режиме.10 Разработка и обслуживание систем10.1 Требования к безопасности системЦель: обеспечение учета требований безопасности при разработке информационных систем.Эти требования касаются инфраструктуры, бизнес-приложений, а также приложений, разработанных пользователями.
Процессы проектирования и внедрения бизнес-приложения или сервиса могут39быть критичными сточки зрения безопасности. Требования к безопасности следует идентифицироватьи согласовывать до разработки информационных систем,Все требования безопасности, включая необходимые мероприятия по переходу на аварийныйрежим, следует идентифицировать на стадии определения задач проекта, а также обосновывать, согласовывать и документировать в рамках общего проекта по внедрению информационной системы.10.1.1 Анализ и спецификация требований безопасностиНеобходимо, чтобы в формулировках требований бизнеса в отношении новых систем или усовершенствования существующих систем были учтены требования информационной безопасности. Приэтом следует учитывать как возможности встроенных в систему автоматизированных средств обеспечения информационной безопасности, так и необходимость применения организационных мероприятийпо управлению информационной безопасностью или разработку специальных средств.
Аналогично следует подходить к оценке пакетов прикладных программ. Как правило, руководство должно обеспечиватьиспользование сертифицированных программных продуктов или продуктов, прошедших независимуюоценку.Требования безопасности и соответствующие мероприятия по обеспечению информационнойбезопасности должны учитывать ценность информационных активов, потенциальный ущерб бизнесу,который может стать результатом неэффективности или отсутствия мер безопасности, Оценка и управление рисками — основа для анализа требований к безопасности и определения необходимых мероприятий по управлению информационной безопасностью.Планирование мероприятий по обеспечению информационной безопасности на стадии проектирования системы позволяет существенно снизить затраты на их внедрение и поддержку по сравнению сразработкой соответствующих мероприятий во время или после внедрения системы.10.2 Безопасность в прикладных системахЦель: предотвращение потерь, модификации или неправильного использования пользовательских данных в прикладных системах.Соответствующие мероприятия по обеспечению информационной безопасности, включая функции аудита или протоколирование действий пользователя, необходимо предусматривать в прикладныхсистемах, включая приложения, написанные самими пользователями.
Эти меры должны включать всебя обеспечение функциональности подтверждения корректности ввода, обработки и вывода данных.Дополнительные мероприятия по обеспечению информационной безопасности могут потребоваться для систем, которые обрабатывают или оказывают воздействие на важные, ценные или критические активы организации, и их необходимо определять на основе требований безопасности и оценкирисков.10.2.1 Подтверждение корректности ввода данныхНеобходимо обращать особое внимание на корректность входных данных для прикладных систем.При вводе бизнес-транзакций, постоянных данных (имена и адреса, кредитные лимиты, идентификационные номера клиентов) и таблиц параметров (цены продаж, курсы валют, ставки налогов) следует применять проверку корректности ввода для обеспечения уверенности в их соответствии исходнымданным. Для этого целесообразно применение следующих мероприятий по обеспечению информационной безопасности:а) проверки исключения двойного ввода или другие проверки ввода с целью обнаруженияследующих ошибок:1) значений, выходящих за допустимый диапазон;2) недопустимых символов в полях данных;3) отсутствующие или неполные данные;4) превышение верхних и нижних пределов объема данных;5) неавторизованные или противоречивые контрольные данные;б) периодический анализ (просмотр) содержимого ключевых полей или файлов данных дляподтверждения их достоверности и целостности;в) сверка твердых (печатных) копий вводимых документов с вводимыми данными на предмет выявления любых неавторизованных изменений этих данных (необходимо, чтобы все изменения вовводимых документах были авторизованы);г) процедуры реагирования на ошибки, связанные с подтверждением данных;д) процедуры проверки правдоподобия вводимых данных;е) определение обязанностей всех сотрудников, вовлеченных в процесс ввода данных.4010.2.2 Контроль обработки данных в системе10.2.2.1 Области рискаДанные, которые были введены правильно, могут быть искажены вследствие ошибок обработкиили преднамеренных действий.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
