Политика (1197924), страница 3

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 3)

7.7 Мобильные устройства и дистанционная работа

Мобильное устройство – это любое устройство, которое предназначено для обработки информации в электронном виде, и не привязано к определенному месту (ноутбуки, планшеты, видеокамеры, смартфоны и т.п.).

При использовании мобильных устройств необходимо принимать специальные меры для обеспечения уверенности в том, что рабочая информация не скомпрометирована. Политика использования мобильных вычислительных средств должна учитывать риски, связанные с работой с переносными устройствами в незащищенной среде.

Учреждение может разрешать дистанционную работу только при условии, что применяются соответствующие соглашения о безопасности и меры и средства контроля и управления, которые, в свою очередь, согласуются с политикой безопасности Учреждения.

Необходимо обеспечить защиту места дистанционной работы в отношении, например хищения оборудования и информации, несанкционированного раскрытия информации, несанкционированного удаленного доступа к внутренним системам организации или неправильного использования оборудования. Дистанционная работа должна быть санкционирована и контролируема руководством, и должна быть обеспечена уверенность в том, что имеются соответствующие меры для данного способа работы.

Необходимо принимать во внимание следующее:

• предлагаемые условия дистанционной работы;

• требования в отношении безопасности коммуникаций, учитывая потребность в удаленном доступе к внутренним системам организации, чувствительность информации, к которой будет осуществляться доступ и которая будет передаваться по каналам связи, а также чувствительность самих внутренних систем;

• угрозу несанкционированного доступа к информации или ресурсам со стороны других лиц, использующих место дистанционной работы, например членов семьи и друзей;

• политики и процедуры для предотвращения споров, касающихся прав на интеллектуальную собственность, разработанную на оборудовании, находящемся в частной собственности;

• требования в отношении антивирусной защиты и межсетевых экранов.

Рекомендации и необходимые организационные меры включают в себя:

• обеспечение подходящим оборудованием и мебелью для дистанционной работы в тех случаях, когда запрещается использование оборудования, находящегося в частной собственности, если оно не находится под контролем организации;

• определение видов разрешенной работы, времени работы, классификацию информации, которая может поддерживаться внутренними системами и услугами, к которым разрешен доступ сотруднику в дистанционном режиме;

• обеспечение подходящим телекоммуникационным оборудованием, включая методы обеспечения безопасности удаленного доступа;

• физическую безопасность;

• правила и рекомендации в отношении доступа членов семьи и друзей к оборудованию и информации;

• обеспечение технической поддержки и обслуживания аппаратного и программного обеспечения;

• обеспечение страхования;

• процедуры в отношении резервного копирования данных;

• аудит и мониторинг безопасности;

• аннулирование полномочий, отмену прав доступа и возвращение оборудования в случае прекращения работы в дистанционном режиме.

8 Управление передачей данных и операционной деятельностью

Эксплуатационные (операционные) процедуры – это термин, который применяется в отношении действий, которые выполняются одинаково (стандартно).

Руководству Учреждения необходимо установить обязанности и процедуры по управлению и функционированию средств обработки информации для обеспечения уверенности в правильном и безопасном их функционировании.

8.1 Документальное оформление эксплуатационных процедур

Эксплуатационные процедуры содержат детальную инструкцию по выполнению конкретного задания. Процедуры должны рассматриваться как официальные документы, документироваться и строго соблюдаться. Любые изменения должны быть санкционированы и утверждены руководством Учреждения.

Процедуры включают:

• обработку и управление информацией;

• резервирование;

• требования в отношении графика работ, а также взаимосвязь между системами, время начала самой ранней работы и время окончания последней работы;

• инструкции по устранению ошибок или других исключительных ситуаций, которые могут возникнуть в процессе выполнения работы, включая ограничения на использование системных утилит;

• необходимые контакты на случай возникновения неожиданных эксплуатационных или технических проблем;

• специальные мероприятия по управлению выводом данных и обращению с носителями информации, к примеру, использование специальной бумаги для печатающих устройств или управление выводом конфиденциальных данных, включая процедуры по безопасной утилизации выходных данных в случае сбоев в работе;

• перезапуск системы и соответствующие процедуры восстановления на случай системных сбоев;

• управление информацией, содержащейся в контрольных записях и системных журналах.

8.2 Управление изменениями

Все изменения конфигурации в средствах и системах обработки информации должны строго контролироваться.

Необходимо рассматривать следующее:

• определение и регистрацию существенных изменений;

• планирование и тестирование изменений;

• оценку возможных последствий изменений;

• формализованную процедуру утверждения изменений;

• подробное информирование об изменениях всех заинтересованных лиц;

• процедуры возврата, определяющие обязанности по прерыванию и восстановлению работы средств и систем обработки информации в исходный режим, в случае неудачных изменений программного обеспечения.

Информацию обо всех внесенных изменениях необходимо отражать в контрольном журнале.

8.3 Процедуры в случае нарушения информационной безопасности

Для обеспечения быстрой и эффективной реакции на нарушения информационной безопасности должны быть определены обязанности и процедуры по управлению в отношении инцидентов. При этом необходимо рассмотреть следующие мероприятия:

• необходимо определить процедуры в отношении всех возможных типов инцидентов нарушения информационной безопасности, включающие в себя сбои в информационных системах, отказ в обслуживании, ошибки вследствие неполных или неточных данных, нарушения конфиденциальности;

• в дополнение к ним должны существовать процедуры выполнения таких требований, как анализ и идентификация причины инцидента, планирование и внедрение средств, предотвращающих повторное проявление инцидентов, использование журналов аудита и аналогичных свидетельств, взаимодействие с лицами, на которых инцидент оказал воздействие или лиц, участвующих в устранении последствий, информирование о действиях соответствующих должностных лиц;

• журналы аудита и подобные свидетельства должны быть собраны и защищены с целью внутреннего анализа проблемы, использования как доказательство в отношении возможного нарушения условий контракта, нарушений требований законодательства, или в случае судебных разбирательств, и для ведения переговоров относительно компенсации ущерба с поставщиками программного обеспечения и услуг;

• действия по устранению сбоев и последствий инцидентов нарушения информационной безопасности в системах должны быть под тщательным контролем. Необходимо наличие процедур с целью обеспечения уверенности в том, что: доступ к данным и системам предоставлен только идентифицированному и авторизованному персоналу, целостность систем подтверждена в минимальные сроки ,а также все действия, предпринятые при чрезвычайных обстоятельствах, подробно документально оформлены, проанализированы в установленном порядке и о таких действиях сообщено руководству Учреждения.

8.4 Разделение обязанностей

Разделение обязанностей – это способ сведения к минимуму риска нецелевого использования систем вследствие ошибочных или злонамеренных действий пользователей. Необходимо предпринять меры предосторожности, чтобы ни один сотрудник Учреждения не мог осуществлять доступ, изменять или использовать активы без авторизации, или остаться не обнаруженным. Инициирование события должно быть отделено от его авторизации. При разработке мер и средств контроля и управления следует учитывать опасность сговора – в отношении таких видов деятельности необходимо обеспечить разграничение полномочий среди нескольких лиц.

8.5 Планирование и приемка систем

Требования к производительности должны быть определены для всех новых и уже имеющихся видов деятельности. Следует проводить настройку и контроль систем для обеспечения доступности и эффективности систем, а также применять выявляющие меры и средства контроля и управления, своевременно указывающие на проблемы. При этом необходимо уделять особое внимание ресурсам, требующим длительного времени на закупку или больших расходов.

Эта информация должна использоваться руководством для выявления потенциально узких мест и зависимости от ключевого персонала, который мог бы представлять угрозу безопасности систем или сервисов, и планирования соответствующего действия.

Перед приемкой систем должны быть определены критерии приемки новых информационных систем, новых версий и обновлений, а также должно проводиться их тестирование. До приемки системы необходимо предусматривать следующие мероприятия:

• выполнение требований к мощности и производительности компьютера;

• определение процедур восстановления после сбоев и перезапуска, а также планы действий в чрезвычайных ситуациях;

• подготовка и тестирование типовых операционных процедур на соответствие установленным стандартам;

• наличие необходимого набора средств управления и контроля информационной безопасности;

• разработка эффективных руководств по процедурам;

• обеспечение непрерывности работы;

• обязательная проверка и документальное подтверждение того, что отсутствует неблагоприятное влияние новых систем на уже существующие;

• документальное подтверждение того, что влияние, оказываемое новой системой на общую информационную безопасность организации, было учтено;

• простота использования, так как это влияет на производительность работы пользователя и позволяет избежать ошибок.

На всех этапах разработки новых систем должны привлекаться службы поддержки для консультаций, а также конечные пользователи с целью обеспечения эффективной эксплуатации проектируемой системы. Должны проводиться соответствующие тесты для подтверждения того, что все критерии приемки выполнены в полном объеме.

8.6 Защита от вредоносного программного обеспечения

В целях осуществления защиты информации от несанкционированного копирования, модификации и разрушения данных, используемых в деятельности Учреждения, а также нарушения работы используемого программного обеспечения при воздействии вирусов и других вредоносных программ необходимо разработать комплекс организационно-технических мероприятий по обеспечению информационной безопасности.

Защита от вредоносных программ должна основываться на:

• обнаружении вредоносных программ и восстановлении программного обеспечения;

• на понимании требований безопасности;

• на мерах и средствах контроля и управления соответствующего доступа к системе и управления изменениями.

Мероприятия по обеспечению защиты от вредоносного программного обеспечения:

• создание инструкций, которые устанавливают запрет на использование нелицензионного программного обеспечения;

• создание инструкций защиты от рисков, связанных с получением файлов и программного обеспечения как из внешних сетей, так и из любых других источников, с указанием предпринимаемых мер безопасности;

• проведение регулярного анализа программного обеспечения и данных систем. Также необходимо расследовать причины наличия любых неавторизованных или измененных файлов;

• определение управленческих процедур и обязанностей, связанных с защитой от вирусов, тренинг их использования, а также оповещение и восстановление после вирусных атак;

• подготовка соответствующих планов по обеспечению непрерывности деятельности учреждения в части восстановления после атак вредоносной программы, в которые должны входить работы по резервированию и восстановлению данных и программного обеспечения;

• регулярный мониторинг информации о вредоносном программном обеспечении, например, оформлением подписки на почтовую рассылку или проверяя web-сайты, дающие информацию о новой вредоносной программе;

• реализовать процедуры по контролю информации, касающейся вредоносной программы, и обеспечить точность и информативность предупредительных сообщений. Ознакомить пользователей с проблемой ложных вирусов и действиях при их получении.

• в качестве меры предупреждающего характера осуществить установку и регулярное обновление антивирусного программного обеспечения для сканирования компьютеров и носителей информации. Данное программное обеспечение должно обеспечивать проверку всех файлов на электронных или оптических носителях и файлов, полученных из сетей на наличие вредоносной программы перед их использованием; проверку любых вложений электронной почты до их использования на наличие вредоносной программы (как на серверах электронной почты, так и настольных компьютерах или при входе в сеть организации); проверку web-страниц на наличие вредоносной программы.

Для повышения эффективности защиты от вредоносного программного обеспечения рекомендуется одновременно использовать два и более программных продукта различных разработчиков.

Характеристики

Список файлов ВКР