Антиплагиат (1197929), страница 8
Текст из файла (страница 8)
8Информация может быть скомпрометирована из-за недостаткаосведомленности сотрудников в отношении политики или процедур поиспользованию средств обмена информацией, например, вследствиеподслушивания при переговорах по мобильному телефону в общественномместе, отправления сообщения электронной почты по неправильному адресу,прослушивания автоответчиков, неавторизованного доступа к системамголосовой почты или случайной отсылки факсимильных сообщенийнеправильному адресату.2.2.6.12 8 Электронная почтаПри оценке 1 рисков безопасности, связанных с электронной почтой, 1необходимо учитывать:– уязвимость сообщений по отношению к возможности неавторизованногодоступа или модификации, а также к отказу в обслуживании;– повышенную чувствительность к ошибкам, например указаниюошибочного или неверного адреса, а также к общей надежности и доступностьданной услуги;– 1 юридические вопросы, такие как возможная необходимость вдоказательстве авторства сообщения, а также фактов ее отправки, доставки иполучения.
1Учреждению необходимо внедрить четкие правила использования 146электронной почты, предусматривающие следующие аспекты:– вероятность атаки на электронную почту;– 1 защиту вложений в сообщения электронной почты;– данные, при передаче которых не следует пользоваться электроннойпочтой;– исключение возможности компрометации 1 Учреждения со сторонысотрудников, например, путем рассылки дискредитирующих и оскорбительныхсообщений, использование корпоративной электронной почты с цельюнеавторизованных покупок;– использование криптографических методов для защитыконфиденциальности и целостности электронных сообщений;– хранение сообщений, которые, в этом случае, могли бы бытьиспользованы в случае судебных разбирательств;– дополнительные меры контроля обмена сообщениями, которые не могутбыть аутентифицированы.2.2.7 1 Разработка и эксплуатация информационных систем2.2.7.1 Требования безопасности системПри разработке информационных систем или усовершенствованиясуществующих необходимо учесть требования информационной безопасности.При этом следует учитывать как возможности встроенных в системуавтоматизированных средств обеспечения 13 безопасности, так и необходимостьприменения организационных мероприятий по управлению информационнойбезопасностью или разработку специальных средств.
1 Руководству следуетобеспечить использование сертифицированных программных продуктов илипродуктов, прошедших независимую оценку.Требования безопасности и соответствующие мероприятия по обеспечениюинформационной безопасности должны учитывать ценность информационных 147активов, потенциальный ущерб, 1 который может стать результатомнеэффективности или отсутствия мер безопасности. Оценка и управлениерисками – основа для анализа требований к безопасности и определениянеобходимых мероприятий по управлению информационной безопасностью.Планирование мероприятий по обеспечению информационной безопасностина стадии проектирования системы позволяет существенно снизить затраты наих внедрение и поддержку по сравнению с разработкой соответствующихмероприятий во время или после внедрения системы.2.2.7.2 1 Подтверждение корректности ввода данныхНеобходимо обращать особое внимание на корректность входных данныхдля прикладных систем.
При вводе 1 постоянных данных следует применятьпроверку корректности ввода для обеспечения уверенности в их соответствииисходным данным. Для этого целесообразно применение 1 таких мероприятий,как проверка ввода с целью обнаружения следующих ошибок: значений, 1которые выходят за допустимый диапазон, недопустимых символов в поляхданных, отсутствующие или неполные данные, превышение верхних и нижнихпределов объема данных. 1Также необходимо периодически пересматривать содержимое ключевыхполей или файлов данных для подтверждения их достоверности и целостности, 4сверять печатные копии вводимых документов с вводимыми данными,проверять их правдоподобие, а также определить обязанности всех сотрудников,вовлеченных в процесс ввода данных.2.2.7.3 Контроль обработки данных в системе 1Данные, которые были введены правильно, могут быть искажены вследствиеошибок обработки или преднамеренных действий.
С целью обнаруженияподобных искажений в функции систем следует включать требования, 148обеспечивающие выполнение контрольных проверок. Необходимо, чтобыдизайн приложений обеспечивал уверенность в том, что внедрены ограничения,направленные на минимизацию риска отказов, ведущих к потере целостностиданных. 1 Требуется обеспечить уверенность в том, что исполнение программыпосле сбоя на предыдущем этапе обработки данных 1 исключено, а такжеиспользуются корректирующие программы для восстановления после сбоев иобеспечения правильной обработки данных.2.2.7.4 Проверки и средства контроляВыбор необходимых средств контроля зависит от характера 1информационной системы. Примеры встроенных средств обеспеченияинформационной безопасности могут быть:– 1 подтверждение корректности данных, генерированных системой;– 1 проверка целостности полученных или переданных данных;– 1 проверка для обеспечения уверенности в том, что прикладные программывыполняются в нужное время;– 4 проверка для обеспечения уверенности в том, что программывыполняются в правильном порядке и 1 завершают работу в случае отказа, и чтодальнейшая обработка приостанавливается до тех пор, пока проблема не будетразрешена.2.2.7.5 4 Криптографические меры защиты информацииВ целях защиты информации необходимо разработать политику вотношении использования криптографических мер и средств контроля иуправления.
Для поддержки использования криптографических методов следуетприменять управление ключами. 4При разработке политики криптографической защиты необходимо учитыватьследующее: 449– позицию руководства в отношении использования средств криптографии в 4Учреждении, включая общие принципы, в соответствии с которыми должнабыть защищена 4 чувствительная информация;– основанный на оценке риска требуемый уровень защиты, который долженбыть определен с учетом типа, стойкости и качества требуемого алгоритмашифрования;– использование шифрования для защиты чувствительной информации,передаваемой с помощью переносных или сменных носителей и устройств илипо линиям связи;– подход к управлению ключами, 4 который включает методы по защитекриптографических ключей и восстановлению зашифрованной информации вслучае потери, компрометации или повреждения ключей;– роли и обязанности 4 персонала Учреждения;– стандарты, которые должны быть приняты для эффективной 4 работы;– влияние использования зашифрованной информации на меры и средстваконтроля и управления, которые базируются на проверке содержимого.
4При внедрении политики обеспечения криптографической защиты следуетучитывать требования законодательства и ограничения, которые могутприменяться в отношении криптографических методов.2.2.7.6 4 Управление ключамиДля поддержки использования 4 Учреждением криптографических методовнеобходимо применять управление ключами.Все криптографические ключи следует защищать от модификации, потери иразрушения.
Кроме того, секретным и персональным ключам необходимазащита от несанкционированного раскрытия. Оборудование, 4 котороеиспользуется для генерации, хранения и архивирования ключей, должно бытьфизически защищено. 4Чтобы уменьшить вероятность компрометации ключей необходимо50определить даты активации и деактивации. Данный период времени зависит отобстоятельств, при которых используются криптографические меры и средстваконтроля и управления, и от осознаваемого риска.В дополнение к вопросу безопасности 4 управления секретных иперсональных ключей необходимо также 4 учесть вопросы аутентичностиоткрытых ключей. Процесс аутентификации может осуществляться прииспользовании сертификатов открытых ключей, которые обычно выдаютсяорганом сертификации, представляющим собой официально признаннуюорганизацию, применяющую соответствующие меры и средства контроля иуправления и процедуры для обеспечения требуемой степени доверия.Необходимо, чтобы соглашение об уровне обслуживания или договоры свнешними поставщиками услуг, связанных с криптографией, например сорганом – держателем справочников сертификатов, включали положенияотносительно ответственности, надежности услуг и времени реагирования назапросы по их предоставлению.2.2.8 4 Инциденты информационной безопасности2.2.8.1 Оповещение о событиях и уязвимостях информационнойбезоп 11 асности 5Каждый сотрудник должен быть осведомлен о необходимостинезамедлительно сообщать о любых событиях информационной безопасности.Помимо этого сотрудники должны четко представлять себе процедуруинформирования.
Процедуры информирования должны включать:– процессы обратной связи. Это значит, что сотрудник, который сообщил особытиях информационной безопасности, после решения данной проблемы,должен быть уведомлен о результатах;– правила поведения сотру дника в 11 случае, если произойдет событиеинформационной безопасности, а именно: 12 ему нео бходимо 11 обращать внимание 1251на все важные детали.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
