ГОСТ Р ИСО МЭК 17799 (1027767), страница 9
Текст из файла (страница 9)
Необходимо наличие процедур с целью обеспечения уверенности в том, что:1) только полностью идентифицированному и авторизованному персоналу предоставлен доступ к системам и данным в среде промышленной эксплуатации (4.2.2 в отношении доступатретьей стороны);2) все действия, предпринятые при чрезвычайных обстоятельствах, подробно документальнооформлены;3) о действиях, предпринятых при чрезвычайных обстоятельствах, сообщено руководствуорганизации, и они проанализированы в установленном порядке;4) целостность бизнес-систем и систем контроля подтверждена в минимальные сроки.8.1.4 Разграничение обязанностейРазграничение обязанностей — это способ минимизации риска нештатного использования системвследствие ошибочных или злонамеренных действий пользователей.
Необходимо рассматривать принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач иобластей ответственности как способ уменьшения неавторизованной модификации или неправильногоиспользования информации или сервисов.Для небольших организаций эти мероприятия труднодостижимы, однако данный принцип долженбыть применен насколько это возможно. В случаях, когда разделение обязанностей осуществитьзатруднительно, следует рассматривать использование других мероприятий по управлению информационной безопасностью, таких как мониторинг деятельности, использование журналов аудита, а такжемер административного контроля.
В то же время важно, чтобы аудит безопасности оставалсянезависимой функцией.Необходимо предпринимать меры предосторожности, чтобы сотрудник не мог совершить злоупотребления в области своей единоличной ответственности не будучи обнаруженным. Инициированиесобытия должно быть отделено от его авторизации.
Необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:- разграничение полномочий в отношении видов деятельности, которые создают возможность сговора для осуществления мошенничества, например, формирование заказов на закупку и подтверждения получения товаров;- при наличии опасности сговора мероприятия должны быть продуманы так, чтобы в осуществлении операции участвовали два или более лица для снижения возможности сохранения тайны сговора.8.1.5 Разграничение сред разработки и промышленной эксплуатацииПри разделении сред разработки, тестирования и промышленной эксплуатации необходимо разделить роли и функции сотрудников.
Правила перевода программного обеспечения из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены.18Деятельность, связанная с разработкой и тестированием, может быть причиной серьезных проблем, например нежелательных изменений файлов или системной среды, а также системных сбоев.При этом следует обеспечивать необходимый уровень разделения между средами промышленной эксплуатации по отношению к средам тестирования, а также для предотвращения операционных сбоев.Аналогичное разделение следует также реализовывать между функциями разработки и тестирования.В этом случае необходимо поддерживать в рабочем состоянии отдельную среду, в которой следуетвыполнятькомплексноетестированиесизвестнойстабильностьюипредотвращатьнесанкционированный доступ со стороны разработчиков.Там, где сотрудники, отвечающие за разработку и тестирование, имеют доступ к системе и даннымсреды промышленной эксплуатации, они имеют возможность установить неавторизованную и непротестированную программу или изменить данные в операционной среде.
Применительно к ряду системэта возможность могла бы быть использована с целью злоупотребления, а именно для совершениямошенничества или установки непротестированной или вредоносной программы. Непротестированноеили вредоносное программное обеспечение может быть причиной серьезных проблем в операционнойсреде. Разработчики и специалисты, проводящие тестирование, могут также быть причиной угроз длябезопасности операционной информации и системы.Кроме того, если разработка и тестирование производятся в одной компьютерной среде, это можетстать причиной непреднамеренных изменений программного обеспечения и информации. Разделениесред разработки, тестирования и эксплуатации является, следовательно, целесообразным для уменьшения риска случайного изменения или неавторизованного доступа к программному обеспечению и бизнес-данным среды промышленной эксплуатации.
Необходимо рассматривать следующие мероприятияпо управлению информационной безопасностью:- программное обеспечение для разработки и эксплуатации, по возможности, должно работать наразличных компьютерных процессорах или в различных доменах или директориях;-действия по разработке и тестированию должны быть разделены, насколько это возможно;- компиляторы, редакторы и другие системные утилиты не должны быть доступны в операционнойсреде без крайней необходимости;- чтобы уменьшить риск ошибок, для операционных и тестовых систем должны использоватьсяразличные процедуры регистрации (входа в систему).
Пользователям следует рекомендовать применение различных паролей для этих систем, а в их экранных меню должны показываться соответствующиеидентификационные сообщения;- разработчики могут иметь доступ к паролям систем операционной среды только в том случае,если внедрены специальные мероприятия по порядку предоставления паролей для поддержки средыпромышленной эксплуатации. Эти меры должны обеспечивать смену паролей после использования.8.1.6 Управление средствами обработки информации сторонними лицами и/или организациямиИспользование сторонних подрядчиков для управления средствами обработки информации является потенциальной угрозой для безопасности, поскольку возникает возможность компрометации,повреждения или потери данных в организации подрядчика.
Такие риски должны быть идентифицированы заранее, а соответствующие мероприятия по управлению информационной безопасностью согласованы с подрядчиком и включены в контракт (4.2.2 и 4.3 в отношении руководств по контрактам с третьейстороной, предусматривающих доступ к средствам обработки информации организации и в отношенииконтрактов по аутсорсингу).В этих условиях требуется решение специальных вопросов:- идентификация важных или критических бизнес-приложений, которые лучше оставить в организации;- получение одобрения владельцев коммерческих бизнес-приложений;- оценка влияния на планы обеспечения непрерывности бизнеса;- определение перечня стандартов безопасности, которые должны быть включены в контракты, ипроцедур проверки выполнения их требований;- распределение конкретных обязанностей и процедур для эффективного мониторинга всех применяемых видов деятельности, связанных с информационной безопасностью;- определение обязанностей и процедур в отношении информирования и управления процессамиликвидации последствий инцидентов нарушения информационной безопасности (8.1.3).8.2 Планирование нагрузки и приемка системЦель: сведение к минимуму риска сбоев в работе систем.19Для обеспечения доступности данных, требуемой производительности и ресурсов систем необходимо провести предварительное планирование и подготовку.Для снижения риска перегрузки систем необходимо проводить анализ предполагаемой ее нагрузки.Требования к эксплуатации новых систем должны быть определены, документально оформлены ипротестированы перед их приемкой и использованием.8.2.1 Планирование производительностиДля обеспечения необходимых мощностей по обработке и хранению информации необходим анализ текущих требований к производительности, а также прогноз будущих.
Эти прогнозы должны учитывать новые функциональные и системные требования, а также текущие планы и перспективные планыразвития информационных технологий в организации.Мэйнфреймы требуют особого внимания вследствие значительных финансовых и временныхзатрат на повышение их производительности. Руководители, отвечающие за предоставлениемэйнфреймовых услуг, должны проводить мониторинг загрузки ключевых системных ресурсов, в томчисле процессоров, оперативной и внешней памяти, принтеров и других устройств вывода, а также систем связи.
Эти руководители должны определять общие потребности и тенденции в использовании компьютерных ресурсов, что особенно важно для поддержки бизнес-приложений или систем управлениядля руководства.Руководителям следует использовать эту информацию с целью идентификации/избежания потенциально узких мест, представляющих угрозу безопасности системы или пользовательским сервисам, атакже с целью планирования соответствующих мероприятий по обеспечению информационнойбезопасности.8.2.2 Приемка системПеред приемкой систем должны быть определены критерии приемки новых информационных систем, новых версий и обновлений, а также должно проводиться необходимое их тестирование.
Требования и критерии для принятия новых систем должны быть четко определены, согласованы,документально оформлены и опробованы. В этих целях необходимо предусматривать следующиемероприятия по управлению информационной безопасностью:- оценка выполнения требований к мощности и производительности компьютера;- определение процедур восстановления после сбоев и повторного запуска, а также формирование планов обеспечения непрерывной работы;- подготовка и тестирование типовых операционных процессов на соответствие определеннымстандартам;- наличие необходимого набора средств контроля информационной безопасности;- разработка эффективных руководств по процедурам;- обеспечение непрерывности бизнеса в соответствии с требованиями 11.1;- обязательная проверка отсутствия неблагоприятного влияния новых систем на существующие,особенно во время максимальных нагрузок, например, в конце месяца;- контроль проведения анализа влияния, оказываемого новой системой на общую информационную безопасность организации;- организация профессиональной подготовки персонала к эксплуатации и использованию новыхсистем.Для консультаций на всех этапах разработки новых систем должны привлекаться службы поддержки (эксплуатации) и пользователи с целью обеспечения эффективной эксплуатации проектируемойсистемы.
При этом должны проводиться соответствующие тесты для подтверждения того, что все критерии приемки удовлетворены полностью.8.3 Защита от вредоносного программного обеспеченияЦель: обеспечение защиты целостности программного обеспечения и массивов информации.Необходимо принимать меры предотвращения и обнаружения внедрения вредоносного программного обеспечения.Программное обеспечение и средства обработки информации уязвимы к внедрению вредоносногопрограммного обеспечения, такого как компьютерные вирусы, сетевые «черви», «троянские кони»(10.5.4) и логические бомбы.
Пользователи должны быть осведомлены об опасности использованиянеавторизованного или вредоносного программного обеспечения, а соответствующие руководителидолжны обеспечить внедрение специальных средств контроля с целью обнаружения и/или предотвращения проникновения подобных программ, В частности, важно принятие мер предосторожности сцелью обнаружения и предотвращения заражения компьютерными вирусами персональныхкомпьютеров.208.3.1 Мероприятия по управлению информационной безопасностью для борьбы с вредоносным программным обеспечениемС целью обнаружения и предотвращения проникновения вредоносного программного обеспечения необходимо планирование и реализация мероприятий по управлению информационной безопасностью, а также формирование процедур, обеспечивающих соответствующую осведомленностьпользователей.
Защита от вредоносного программного обеспечения должна основываться на понимании требований безопасности, соответствующих мерах контроля доступа к системам и надлежащемуправлении изменениями. Необходимо рассматривать следующие мероприятия по управлениюинформационной безопасностью:- документированную политику, требующую соблюдения лицензионных соглашений и устанавливающую запрет на использование неавторизованного программного обеспечения (12.1.2.2);- документированную политику защиты от рисков, связанных с получением файлов и программного обеспечения из внешних сетей, через внешние сети или из любой другой среды.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
