Политика (1197924), страница 4

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

8.7 Резервирование информации

Для поддержания целостности и доступности важной информации и программного обеспечения необходимо в соответствии с установленной политикой регулярно производить резервное копирование.

Для упрощения процесса резервного копирования и восстановления мероприятия по резервированию могут быть автоматизированы. В таком случае автоматизированные процессы должны проходить регулярное тестирование.

Руководству необходимо обеспечить уверенность в том, что вся важная зарезервированная информация и программное обеспечение будут восстановлены после бедствия или сбоя оборудования.

Необходимо уделить внимание следующим вопросам резервирования:

• необходимо обеспечивать точные и полные записи резервных копий и документально оформленные процедуры восстановления;

• необходимо определить объем и частоту резервирования, требования к безопасности резервируемой информации и ее важность для работы Учреждения;

• резервные копии необходимо хранить таким образом, чтобы избежать возможного повреждения вследствие аварийной ситуации;

• носители резервной информации должны проходить регулярное тестирование для подтверждения того, что в случае чрезвычайных ситуаций эти носители могут быть использованы;

• процедуры восстановления следует регулярно проверять и тестировать для обеспечения уверенности в их эффективности, а также в том, что для выполнения этих процедур потребуется не больше определенного времени;

• в тех случаях, когда конфиденциальность резервируемой информации играет важную роль, резервные копии необходимо защищать шифрованием;

• необходимо определить сроки хранения резервных копий.

8.8 Использование и утилизация носителей информации

К сменным носителям информации относятся ленты, диски, диски флэш-памяти, сменные жесткие диски, CD, DVD и печатные носители информации.

В отношении использования сменных носителей информации следует рассматривать следующее:

• если содержимое носителей, которые должны быть перемещены за пределы Учреждения, больше не потребуется для работы, то содержащуюся на них информацию необходимо сделать неизвлекаемой;

• при необходимости необходимо оформлять разрешение на вынос носителей информации из Учреждения и запись о таком перемещении следует хранить как контрольную запись для аудита;

• все носители информации должны храниться в надежном месте, в зависимости от хранящейся на них информации;

• если информация, хранимая на носителях, востребована дольше, чем жизненный цикл этого носителя, то это информацию необходимо хранить также и в другом месте для предотвращения утраты информации по причине износа носителей;

• для уменьшения риска потери данных необходимо предусмотреть регистрацию сменных носителей информации.

Носители информации, если их больше не планируется использовать, следует надежно и безопасно утилизировать, используя формальные процедуры. Они должны снизить риск утечки информации ограниченного доступа.

При планировании утилизации носителей необходимо рассмотреть следующее:

• носители, которые содержат информацию ограниченного доступа, должны храниться и утилизироваться надежно и безопасно, например путем сжигания или измельчения;

• в случае, если носители планируется использовать в пределах Учреждения в других целях, информация на них должна быть уничтожена;

• необходимо выявлять те носители информации, для которых требуется безопасная утилизация;

• при необходимости, факты утилизации носителей следует фиксировать.

8.9 Обработка информации

Для обеспечения защиты информации ограниченного доступа необходимо разработать процедуры по обработке и передаче информации в соответствии с ее классификацией.

В рамках обеспечения защиты информации следует рассмотреть следующие вопросы:

• необходимо рассмотреть ограничение доступа с целью предотвращения доступа неавторизованных сотрудников;

• необходимо убедиться, что процесс ввода данных и обработки завершаются должным образом;

• следует обеспечить защиту информации, которая находится в буфере данных и ожидает вывода, соответствующую степени чувствительности этой информации;

• хранение носителей информации должно производиться в соответствии со спецификациями изготовителей;

• следует свести распространение данных к минимуму;

• необходимо маркировать всех копии данных;

• необходимо пересматривать списки рассылки и списки авторизованных получателей через регулярные интервалы времени.

8.10 Безопасность системной документации

Системная документация – это комплект документов, описывающий требования, возможности, устройство, описание процессов работы и функции системы обработки информации.

Для защиты системной документации от неавторизованного доступа необходимо учесть следующее:

• системную документацию необходимо хранить безопасным образом;

• необходимо свести к минимуму список лиц, которые имеют доступ к системной документации.

8.11 Обмен информацией

Средства обмена информацией должны соответствовать любым действующим требованиям законодательства.

При использовании электронных средств связи для обмена информацией необходимо учитывать:

• процедуры, предназначенные для защиты обмениваемой информации от перехвата, копирования, модификации, ложной маршрутизации и разрушения;

• процедуры обнаружения вредоносной программы, которая может быть передана при использовании электронных средств связи, и процедуры защиты от такой программы;

• политику или рекомендации, которые определяют использование электронных средств связи;

• процедуры использования беспроводной связи, учитывая связанные с ней определенные риски;

• использование криптографических средств для защиты конфиденциальности, целостности и аутентичности информации;

• напоминание сотрудникам о том, что нельзя оставлять чувствительную информацию на печатающих устройствах, так как неавторизованный персонал может осуществлять к ним доступ;

• меры и средства контроля и управления и ограничения, связанные с пересылкой средств связи, например автоматическая пересылка электронной почты на внешние почтовые адреса;

• напоминание сотрудникам о необходимости соблюдения мер предосторожности, например не следует разглашать чувствительную информацию во избежание ее подслушивания или перехвата при телефонных звонках;

• напоминание сотрудникам о том, что современные факсимильные и фотокопирующие устройства оснащены страничной кэш-памятью, и «запоминают» страницы при возникновении проблем с бумагой или передачей, которые будут напечатаны после устранения неисправности.

• следует напоминать сотрудникам о том, что не следует вести конфиденциальные беседы в общественных местах или открытых офисах.

Информация может быть скомпрометирована из-за недостатка осведомленности сотрудников в отношении политики или процедур по использованию средств обмена информацией, например, вследствие подслушивания при переговорах по мобильному телефону в общественном месте, отправления сообщения электронной почты по неправильному адресу, прослушивания автоответчиков, неавторизованного доступа к системам голосовой почты или случайной отсылки факсимильных сообщений неправильному адресату.

8.12 Электронная почта

При оценке рисков безопасности, связанных с электронной почтой, необходимо учитывать:

• уязвимость сообщений по отношению к возможности неавторизованного доступа или модификации, а также к отказу в обслуживании;

• повышенную чувствительность к ошибкам, например указанию ошибочного или неверного адреса, а также к общей надежности и доступность данной услуги;

• юридические вопросы, такие как возможная необходимость в доказательстве авторства сообщения, а также фактов ее отправки, доставки и получения.

Учреждению необходимо внедрить четкие правила использования электронной почты, предусматривающие следующие аспекты:

• вероятность атаки на электронную почту;

• защиту вложений в сообщения электронной почты;

• данные, при передаче которых не следует пользоваться электронной почтой;

• исключение возможности компрометации Учреждения со стороны сотрудников, например, путем рассылки дискредитирующих и оскорбительных сообщений, использование корпоративной электронной почты с целью неавторизованных покупок;

• использование криптографических методов для защиты конфиденциальности и целостности электронных сообщений;

• хранение сообщений, которые, в этом случае, могли бы быть использованы в случае судебных разбирательств;

• дополнительные меры контроля обмена сообщениями, которые не могут быть аутентифицированы.

9 Разработка и эксплуатация информационных систем

9.1 Требования безопасности систем

При разработке информационных систем или усовершенствования существующих необходимо учесть требования информационной безопасности. При этом следует учитывать как возможности встроенных в систему автоматизированных средств обеспечения безопасности, так и необходимость применения организационных мероприятий по управлению информационной безопасностью или разработку специальных средств. Руководству следует обеспечить использование сертифицированных программных продуктов или продуктов, прошедших независимую оценку.

Требования безопасности и соответствующие мероприятия по обеспечению информационной безопасности должны учитывать ценность информационных активов, потенциальный ущерб, который может стать результатом неэффективности или отсутствия мер безопасности. Оценка и управление рисками – основа для анализа требований к безопасности и определения необходимых мероприятий по управлению информационной безопасностью.

Планирование мероприятий по обеспечению информационной безопасности на стадии проектирования системы позволяет существенно снизить затраты на их внедрение и поддержку по сравнению с разработкой соответствующих мероприятий во время или после внедрения системы.

9.2 Подтверждение корректности ввода данных

Необходимо обращать особое внимание на корректность входных данных для прикладных систем. При вводе постоянных данных следует применять проверку корректности ввода для обеспечения уверенности в их соответствии исходным данным. Для этого целесообразно применение таких мероприятий, как проверка ввода с целью обнаружения следующих ошибок: значений, которые выходят за допустимый диапазон, недопустимых символов в полях данных, отсутствующие или неполные данные, превышение верхних и нижних пределов объема данных.

Также необходимо периодически пересматривать содержимое ключевых полей или файлов данных для подтверждения их достоверности и целостности, сверять печатные копии вводимых документов с вводимыми данными, проверять их правдоподобие, а также определить обязанности всех сотрудников, вовлеченных в процесс ввода данных.

9.3 Контроль обработки данных в системе

Данные, которые были введены правильно, могут быть искажены вследствие ошибок обработки или преднамеренных действий. С целью обнаружения подобных искажений в функции систем следует включать требования, обеспечивающие выполнение контрольных проверок. Необходимо, чтобы дизайн приложений обеспечивал уверенность в том, что внедрены ограничения, направленные на минимизацию риска отказов, ведущих к потере целостности данных. Требуется обеспечить уверенность в том, что исполнение программы после сбоя на предыдущем этапе обработки данных исключено, а также используются корректирующие программы для восстановления после сбоев и обеспечения правильной обработки данных.

9.4 Проверки и средства контроля

Выбор необходимых средств контроля зависит от характера информационной системы. Примеры встроенных средств обеспечения информационной безопасности могут быть:

• подтверждение корректности данных, генерированных системой;

• проверка целостности полученных или переданных данных;

• проверка для обеспечения уверенности в том, что прикладные программы выполняются в нужное время;

• проверка для обеспечения уверенности в том, что программы выполняются в правильном порядке и завершают работу в случае отказа, и что дальнейшая обработка приостанавливается до тех пор, пока проблема не будет разрешена.

9.5 Криптографические меры защиты информации

В целях защиты информации необходимо разработать политику в отношении использования криптографических мер и средств контроля и управления. Для поддержки использования криптографических методов следует применять управление ключами.

При разработке политики криптографической защиты необходимо учитывать следующее:

• позицию руководства в отношении использования средств криптографии в Учреждении, включая общие принципы, в соответствии с которыми должна быть защищена чувствительная информация;

• основанный на оценке риска требуемый уровень защиты, который должен быть определен с учетом типа, стойкости и качества требуемого алгоритма шифрования;

• использование шифрования для защиты чувствительной информации, передаваемой с помощью переносных или сменных носителей и устройств или по линиям связи;

• подход к управлению ключами, который включает методы по защите криптографических ключей и восстановлению зашифрованной информации в случае потери, компрометации или повреждения ключей;

• роли и обязанности персонала Учреждения;

• стандарты, которые должны быть приняты для эффективной работы;

• влияние использования зашифрованной информации на меры и средства контроля и управления, которые базируются на проверке содержимого.

При внедрении политики обеспечения криптографической защиты следует учитывать требования законодательства и ограничения, которые могут применяться в отношении криптографических методов.

Характеристики

Список файлов ВКР