Лабораторна робота №14, Організація захисту та створення безпечного зовнішнього середовища за стандартом ISOIEC 17799

« Назад

Мета: Ознайомитись із основними положеннями стандарту ISO/IEC 17799 «Управління інформаційною безпекою. Практичні правила». Навчитись організовувати безпечне зовнішнє середовище організації

Теоретичні відомості

1. Організація захисту та створення безпечного зовнішнього середовища

Організація захисту та створення безпечного зовнішнього середовища інформаційної системи має на меті досягнення таких цілей.

1. Забезпечити управління інформаційною безпекою в організації.

2. Забезпечити безпеку інформаційних ресурсів організації, до яких мають доступ сторонні організації.

3. Забезпечити належний захист інформаційних ресурсів організації на основі класифікації інформації.

4. Зменшити ризик помилок персоналу, крадіжок, шахрайства або незаконного використання ресурсів.

5. Переконатися в тому, що користувачі обізнані про загрози порушення режиму інформаційної безпеки і розуміють значення захисту, а також мають необхідні навики для виконання процедур, необхідних для нормального функціонування системи безпеки організації.

6. Звести до мінімуму збиток від інцидентів в системі безпеки і її збоїв, а також відстежувати такі події і отримувати з них відповідні уроки.

7. Запобігти несанкціонованому доступу до інформаційних сервісів, їх пошкодження і створення перешкод в їх роботі.

8. Запобігти втраті, пошкодженню і компрометації ресурсів, а також перебоям в роботі організації.

2. Інфраструктура інформаційної безпеки

Для управління процесом забезпечення інформаційної безпеки, необхідно створити в організації відповідну структуру управління.

У організації повинні проводитися регулярні наради керівництва для розробки і затвердження політики безпеки, розподіли обов'язків по забезпеченню захисту і координації дій з підтримки режиму безпеки. У разі потреби бажано залучити фахівців з питань захисту інформації для консультацій. Необхідно вступати в контакти з фахівцями інших організацій, щоб бути в курсі сучасних напрямів і промислових стандартів, а також, щоб встановити відповідні ділові відносини розгляді випадків порушення захисту. Потрібно всіляко заохочувати комплексний підхід до проблем інформаційної безпеки, наприклад, спільну роботу аудиторів, користувачів і адміністраторів для ефективного вирішення проблем.

2.1. Нарада керівництва по проблемах захисту інформації

Відповідальність за забезпечення інформаційної безпеки несуть всі члени керівної групи. Тому керівництву організації необхідно регулярно проводити наради, присвячені проблемам захисту інформації, щоб виробляти чіткі вказівки з цього питання, а також подавати адміністративну підтримку ініціативам по забезпеченню безпеки. Якщо питань по захисту інформації недостатньо для порядку денного спеціальних нарад, необхідно періодично розглядати ці проблеми на одній з нарад, що регулярно проводяться в організації.

Зазвичай на подібних нарадах розглядаються наступні питання:

а) аналіз і затвердження політики інформаційної безпеки і розподіл загальних обов'язків;

б) відстеження основних загроз, яким піддаються інформаційні ресурси;

в) аналіз і стеження за інцидентами в системі безпеки;

г) затвердження основних ініціатив, направлених на посилення захисту інформації.

Рекомендується, щоб один з членів керівної групи узяв на себе основну відповідальність за координацію дій із проведення політики безпеки в життя.

2.2. Координація дій із захисту інформації

У крупній організації можливо буде потрібно координацію заходів по забезпеченню інформаційної безпеки за допомогою проведення наради, в якій братимуть участь керівники різних підрозділів.

Така нарада, в роботі якій беруть участь представники керівництва кожного з підрозділів організації, часто необхідна для того, щоб координувати дії з реалізації захисних заходів. Зазвичай на такій нараді:

а) узгоджуються конкретні функції і обов'язки по забезпеченню інформаційної безпеки в організації;

б) узгоджуються конкретні методики і процеси захисту інформації, наприклад, оцінка ризиків, система класифікації засобів захисту;

в) узгоджується і виявляється підтримка ініціативам по захисту інформації в організації, наприклад, програмі навчання персоналу правилам безпеки;

г) забезпечується включення захисних заходів в процес планування використання інформації;

д) координуються дії з реалізації конкретних заходів по забезпеченню інформаційної безпеки нових систем або сервісів;

е) створюються сприятливі умови для інформаційної безпеки у всій організації.

2.3. Розподіл обов'язків по забезпеченню інформаційної безпеки

Необхідно чітко визначити обов'язку по захисту окремих ресурсів і виконанню конкретних процесів забезпечення безпеки.

Політика інформаційної безпеки (див. Документ про політику інформаційної безпеки) повинна давати загальні рекомендації по розподілу функцій і обов'язків по захисту інформації. Там, де необхідно, треба доповнити ці рекомендації докладнішими роз'ясненнями, що стосуються конкретних систем або сервісів; у цих доповненнях потрібно чітко визначити відповідальних за конкретні ресурси (як фізичні, так і інформаційні) і за процеси забезпечення захисту, наприклад, за планування безперебійної роботи організації.

Захист інформаційної системи повинен бути обов'язком її власника (див. Відповідальність за ресурси). Власники інформаційних систем можуть делегувати свої повноваження по захисту окремим користувачам-адміністраторам або постачальникам послуг. Проте, власники все одно несуть відповідальність за забезпечення безпеки системи.

Щоб уникнути яких-небудь непорозумінь, що стосуються окремих обов'язків, украй важливо чітко визначити зони відповідальності кожного адміністратора і, зокрема, наступне:

1. Різні ресурси і процеси забезпечення безпеки, пов'язані з кожною системою, необхідно ідентифікувати і чітко визначити.

2. Кандидатура адміністратора, що відповідає за кожен ресурс або процес забезпечення захисту, повинна бути узгоджена, а його обов'язки задокументовані.

3. Рівні повноважень необхідно чітко визначити і задокументувати.

2.4. Процес затвердження інформаційних систем

Слід визначити процедуру затвердження нових інформаційних систем керівництвом, щоб гарантувати, що установка устаткування має певну мету для організації, що вона забезпечує достатній рівень захисту, і що вона не робить шкідливого впливу на безпеку існуючої інфраструктури.

Необхідно розглянути два рівні повноважень при затвердженні систем:

а) Затвердження керівництвом. Кожний випадок установки систем повинен бути затверджений відповідним керівництвом, яке дає дозвіл на її проведення. Необхідно також отримати дозвіл від адміністратора, що відповідає за підтримку режиму локальної інформаційної безпеки; це гарантує, що установка систем відповідатимуть політиці безпеки і вимогам до неї.

б) Технічне затвердження. У разі потреби необхідно перевірити, чи всі пристрої, підключені до комунікаційних мереж, або супроводжувані конкретним постачальником послуг мають тип, який був затверджений. Це засіб контролю особливий важливо в мережному середовищі.

2.5. Рекомендації фахівців з інформаційної безпеки

Кожна організація, велика або дрібна, може отримати користь з рекомендацій, що даються фахівцями з безпеки. У ідеалі в штатному розкладі організації повинна бути передбачена відповідна посада, і її повинен займати досвідчений фахівець. Для невеликих організацій, проте, наймати такого фахівця на постійну роботу невигідно. В цьому випадку рекомендується створити єдину службу підтримки, щоб забезпечити узгодженість при ухваленні рішень по питаннях безпеки і сприяти максимальному використанню знань і досвіду співробітників.

Слід так підібрати фахівців із захисту інформації і співробітників служби підтримки, щоб забезпечити вирішення будь-якої проблеми, що стосується інформаційної безпеки. Якість їх оцінок загроз системі безпеки і заходи протидії, що рекомендуються ними, визначатимуть ефективність програми забезпечення інформаційної безпеки в організації. Для забезпечення максимальної ефективності такої програми цим фахівцям повинен бути наданий прямий доступ до адміністраторів інформаційних систем і керівництва організації.

У підозрілих випадках порушення захисту рекомендується якомога раніше звернутися до консультанта по питаннях забезпечення інформаційної безпеки або в службу підтримки, щоб отримати необхідні вказівки або ресурси для розслідування таких інцидентів. Хоча більшість внутрішніх розслідувань, пов'язаних з порушенням захисту, зазвичай виконуються під контролем керівництва, можна звернутися до консультанта по інформаційній безпеці як за порадою, так і з пропозицією очолити або провести необхідні розслідування.

2.6. Співпраця між організаціями

Слід заохочувати контакти фахівців із захисту інформації з штату організації з фахівцями з інших організацій (промислових або урядових) по їх розсуду. Таку взаємодію дає можливість обміну досвідом і оцінками загроз режиму безпеки, а також сприяє розробці узгоджених правил в промисловості, що допомагає усунути перешкоди на шляху встановлення ділових відносин між організаціями.

Важливо також підтримувати відповідні контакти з правоохоронними органами, постачальниками інформаційних сервісів і телекомунікаційними органами, щоб забезпечити своєчасне встановлення контактів і отримання рекомендацій у разі інциденту в системі безпеки.

Обмін інформацією по питаннях безпеки повинен бути обмежений, щоб гарантувати, що конфіденційна інформація організації не потрапить в руки осіб, що не мають відповідних повноважень.

2.7. Незалежний аналіз інформаційної безпеки

У документі про політику інформаційної безпеки (див. Документ про політику інформаційної безпеки) визначаються обов'язки по захисту інформації і формулюється відповідна політика. Реальні процедури забезпечення інформаційної безпеки повинні бути піддані незалежному аналізу, щоб бути упевненим, що використовувані організацією процедури захисту відповідають прийнятій політиці безпеки, а також є такими, що реалізовуються і ефективними.

Кандидатами на виконання такого аналізу є внутрішня аудиторська служба, незалежний старший адміністратор або стороння організація, що спеціалізується на сертифікації відповідності політиці безпеки в тих випадках, коли вони мають належну кваліфікацію і досвід.

3. Безпека доступу сторонніх організацій

Доступ сторонніх організацій до інформаційних ресурсів даної організації потрібно контролювати для зменшення ризиків загроз інформаційним ресурсам з боку сторонніх організацій.

Там, де доступ сторонніх організацій необхідний по виробничих причинах, необхідно провести аналіз ризиків порушення захисту, щоб визначити його наслідки для системи безпеки і вимоги до засобів контролю. Ці засоби контролю повинні бути узгоджені і визначені в контракті, ув'язненому із сторонньою організацією.

Такий доступ може бути наданий і іншим учасникам.

Контракти, що вирішують доступ сторонніх організацій, повинні включати правила для доступу інших учасників і умови їх доступу.

Рекомендується використовувати справжні практичні правила як основу при складанні подібних договорів.

3.1. Ідентифікація ризиків, пов'язаних з підключеннями сторонніх організацій

Захист інформаційних систем організації може бути порушений із-за доступу, здійснюваного сторонніми організаціями без належного управління системою безпеки. Якщо у зв'язку з діяльністю організації виникає необхідність в підключенні до вузла сторонньої організації, потрібно виконати оцінку ризиків, щоб визначити, чи необхідні які-небудь спеціальні заходи по захисту інформації. При аналізі ризиків слід взяти до уваги тип доступу, що надається, цінність інформації, прийняті сторонньою організацією міри захисту і наслідку від доступу для безпеки інформаційної інфраструктури організації. Процес аналізу можна полегшити, звернувшись до опублікованих промислових стандартів, наприклад, до справжніх практичних правил.

Доступ сторонніх організацій до інформаційних ресурсів даної організації може бути дозволений тільки після того, як прийняті всі необхідні захисні заходи і підписаний договір, що визначає умови підключення.

3.2. Умови безпеки в контрактах, укладених із сторонніми організаціями

Угоди, що передбачають доступ сторонніх організацій до інформаційних ресурсів даної організації, повинні бути засновані на контракті, в якому повинні бути перераховані всі необхідні умови безпеки (або є посилання на них), щоб забезпечити відповідність політиці і стандартам безпеки, прийнятими в організації. Контракт повинен бути поміщений перед тим, як буде наданий доступ до інформаційних ресурсів. При складанні контрактів розглядаються такі питання:

а) загальна політика інформаційної безпеки;

б) дозволені способи доступу, а також контроль і використання унікальних ідентифікаторів користувачів і паролів;

в) опис кожного інформаційного сервісу, що надається;

г) вимога вести список осіб, яким дозволено використовувати сервіс;

д) час і дата, коли сервіс буде доступний;

е) зобов'язання організацій, що витікають з угоди;

ж) процедури, що стосуються захисту ресурсів організації, включаючи інформацію;

з) обов'язки, що стосуються правових питань, наприклад, законодавство про захист даних;

и) право відстежувати дії користувачів;

й) обов'язки по установці устаткування і програмного забезпечення і їх супроводу;

к) право перевіряти договірні зобов'язання;

л) обмеження на копіювання і розкриття інформації;

м) заходи по забезпеченню повернення або знищення інформації і ресурсів після закінчення терміну дії контракту;

н) необхідні заходи по фізичному захисту;

о) механізми для забезпечення реалізації захисних заходів;

п) навчання користувачів методам, процедурам і правилам безпеки;

р) заходи по забезпеченню захисту від комп'ютерних вірусів (див. Засоби захисту від вірусів);

с) процедура надання дозволу на доступ користувачів;

т) процедури повідомлення про інциденти в системі безпеки і їх розслідування;

у) участь сторонніх організацій (субпідрядники і інші учасники).

Примітка. Бажано розглянути плани дій в надзвичайних ситуаціях (при потребі)

4. Класифікація ресурсів та їх контроль

4.1. Відповідальність за ресурси

Для забезпечення належного захисту інформаційних ресурсів організації всі основні інформаційні ресурси повинні бути враховані і мати призначеного власника.

Відповідальність за ресурси дає можливість забезпечити їх належний захист. Потрібно визначити власників основних ресурсів і призначити відповідальних за реалізацію відповідних захисних заходів. Відповідальність за реалізацію захисних заходів може бути передана іншій особі, проте призначений власник ресурсу все одно несе відповідальність за нього.

4.2. Інвентаризація інформаційних ресурсів

Інвентаризація ресурсів допомагає переконатися в тому, що забезпечується їх ефективний захист, крім того, перелік ресурсів може потрібно для інших виробничих цілей, наприклад, при вживанні заходів по охороні здоров'я і по техніці безпеки, для страхування або фінансових цілей. Інвентаризацію необхідно провести для всіх основних ресурсів, пов'язаних з кожною інформаційною системою. Кожен ресурс повинен бути чітко ідентифікований, а його власник і категорія секретності (див. Класифікація інформації) узгоджені і задокументовані. Прикладами ресурсів, пов'язаних з інформаційними системами, є:

а) інформаційні ресурси: бази даних і файли даних, системна документація, керівництво користувача, учбові матеріали, операційні процедури і процедури підтримки, плани забезпечення безперебійної роботи організації, процедури переходу на аварійний режим;

б) програмні ресурси: прикладне програмне забезпечення, системне програмне забезпечення, інструментальні засоби і утиліти;

в) фізичні ресурси: комп'ютери і комунікаційне устаткування, магнітні носії даних (стрічки і диски), інше технічне устаткування (блоки живлення, кондиціонери), меблі, приміщення;

г) сервіси: обчислювальні і комунікаційні сервіси, інші технічні сервіси (опалювання, освітлення, енергопостачання, кондиціонування повітря).

4.3. Класифікація інформації

Категорії секретності використовують для того, щоб показати необхідність в захисті і задати пріоритети для її забезпечення.

Різна інформація має різний ступінь конфіденційності і важливості. Деякі види інформації можуть зажадати додаткового захисту або спеціального звернення. Систему класифікації інформації по категоріях секретності необхідно використовувати для визначення відповідного набору рівнів захисту і для повідомлення користувачів про необхідність спеціального поводження з цією інформацією.

Рекомендації по класифікації

Категорії секретності і пов'язані з ними захисні заходи для виробничої інформації повинні враховувати виробничу необхідність в колективному використанні інформації або обмеженні доступу до неї, а також збиток для організації, пов'язаний з несанкціонованим доступом або пошкодженням інформації. Зокрема потрібно розглянути необхідність забезпечення наступних заходів:

а) конфіденційності: виробнича необхідність колективного використання або обмеження доступу до інформації по відношенню до конфіденційності і засобів контролю, потрібних для обмеження доступу до інформації;

б) цілісності: виробнича необхідність здійснення контролю за внесенням змін до інформації і засобів контролю, потрібна для забезпечення точність і повнота інформації;

в) доступності: виробнича необхідність забезпечення доступу до інформації, коли це потрібно, і необхідні для цього засобу контролю.

Відповідальність за привласнення категорії секретності конкретному виду інформації, наприклад, документу, файлу даних або дискеті, а також за періодичну перевірку цієї категорії, бажано покласти на особу, що створила ці дані, або на їх власника.

Зауваження. Зараз не існує загальноприйнятого стандарту на грифи секретності. Тому треба з обережністю підходити до інтерпретації грифів секретності на документах з інших організацій, оскільки однаковий або схожий гриф може бути визначений по іншому.

4.4. Присвоєння грифів секретності

Секретна інформація і вихідні дані систем, що підтримують секретну інформацію, повинні мати відповідні грифи секретності. Проте часто інформація перестає бути конфіденційною через деякий проміжок часу, наприклад, коли вона ставати загальнодоступною. Це необхідно взяти до уваги, оскільки надмірне засекречування інформації може привести до невиправданих, додаткових витрат організації.

Вихідні дані інформаційних систем, що містять секретну інформацію, повинні мати відповідний гриф секретності. Цей гриф повинен відображати категорію секретності найуразливішої інформації в даних, що виводяться. Прикладами таких вихідних даних є друкарські звіти, інформація, що виводиться на екрани дисплеїв, дані, що зберігаються на магнітних носіях (стрічках, дисках, касетах), електронні повідомлення і файли, що передаються.

Фізичні мітки є найбільш адекватною формою маркування. Проте в деяких випадках, наприклад, для електронної передачі даних, можуть потрібно інші засоби, такі, як процедури, контракти або поштові сповіщення для виконання функцій маркування.

5. Безпека персоналу

5.1. Безпека в посадових інструкціях і при виділенні ресурсів

Аспекти, пов'язані з безпекою, потрібно враховувати ще на стадії набору персоналу, включати їх посадові інструкції і договори, а також контролювати протягом всього часу роботи даного співробітника. Це дає можливість зменшити ризик помилок персоналу, крадіжок, шахрайства або незаконного використання ресурсів.

Керівники повинні переконатися в тому, що в посадових інструкціях відображена вся відповідна даній посаді відповідальність за безпеку. Необхідно належним чином перевірити осіб (див. Перевірка що приймаються на роботу), що приймаються на роботу, особливо якщо вони працюватимуть з конфіденційною інформацією. Весь персонал організації і користувачі інформаційних ресурсів із сторонніх організацій повинні підписати зобов'язання про конфіденційність (не розголошуванні).

5.1.1. Безпека в посадових інструкціях

Обов'язки і відповідальність за безпеку, встановлені прийнятою в організації політикою інформаційної безпеки (див. Політика інформаційної безпеки), потрібно включати в посадові інструкції, де це необхідно. У інструкціях необхідно відобразити як загальну відповідальність за проведення в життя або підтримку політики безпеки, так і конкретні обов'язки по захисту певних ресурсів або відповідальність за виконання певних процедур або дій із захисту.

5.1.2. Перевірка осіб, які приймаються на роботу

Заяви про прийом на роботу треба ретельно розглянути, якщо робота на цій посаді пов'язана з доступом до конфіденційних інформаційних ресурсів. Всіх кандидатів на заняття подібних вакансій бажано перевірити за наступними пунктами:

а) як мінімум дві позитивні характеристики, одна ділових і одна особистих якостей;

б) перевірка (повнота і точність) відомостей, повідомлених претендентом на вакансію в своїй автобіографії;

в) підтвердження академічних ступенів і професійної кваліфікації;

г) перевірка ідентифікації (наприклад, паспорти);

д) перевірка кредиту для зайнятих в найбільш критичних завданнях, наприклад, перевірка фінансового стану.

5.1.3. Угода про конфіденційність

Користувачі інформаційних ресурсів організації повинні підписати відповідне зобов'язання про конфіденційність (не розголошування). Службовці організації підписують таке зобов'язання при прийомі на роботу.

Користувачі із сторонніх організацій, не передбачені умовами існуючого договору (зобов'язання про не розголошування є його частиною), повинні підписати зобов'язання про не розголошування, перш ніж їм буде наданий доступ до інформаційних ресурсів організації.

Зобов'язання про не розголошування необхідно переглядати, коли змінюються умови найму або договір, особливо якщо службовці повинні звільнитися з організації або якщо кінчаються терміни дії договору.

5.2. Навчання користувачів

Для забезпечення обізнаності користувачів про загрози порушення режиму інформаційної безпеки і розуміння ними значення захисту, а також отримання необхідних навичок для виконання процедур, необхідних для нормального функціонування системи безпеки організації необхідно проводити навчання користувачів.

Користувачі повинні бути навчені процедурам захисту і правильному поводженню з інформаційними ресурсами.

Необхідно також офіційно, у письмовій формі, затвердити дозволений користувачам доступ (повноваження і обмеження).

Навчання правилам інформаційної безпеки

Користувачі повинні отримати необхідні відомості про політику організації і прийняті в ній процедури, включаючи вимоги до безпеки і інших засобів контролю, а також навчитися правильно користуватися інформаційними ресурсами (наприклад, знати процедуру входу в систему, уміти користуватися пакетами програм) перед тим, як вони дістануть доступ до інформаційних сервісів.

Ці заходи необхідні для того, щоб гарантувати, що процедури захисту виконуються правильно, і для зведення ризиків порушення конфіденційності, цілісності і доступності даних із-за помилки користувача до мінімуму.

Цієї політики потрібно дотримуватися як відносно співробітників організації, так і відносно користувачів із сторонніх організацій.

5.3. Реагування на події, що містять загрозу безпеці

Про події, що стосуються безпеки, необхідно негайно повідомляти по адміністративних каналах. Це дає можливість звести до мінімуму збиток від інцидентів в системі безпеки і її збоїв, а також відстежувати такі події і отримувати з них відповідні уроки.

Всі співробітники і підрядчики повинні бути ознайомлені з процедурою повідомлення про різні типи інцидентів (порушення безпеки, загроза, слабкість або збій), які можуть вплинути на безпеку ресурсів організації. Необхідно зобов'язати користувачів без зволікання повідомляти про всі спостережувані або підозрілі випадки такого роду у відповідну службу підтримки системи захисту. У організації повинна бути встановлена формальна процедура накладення дисциплінарних стягнень на співробітників, які порушують режим безпеки.

5.3.1. Повідомлення про інциденти в системі безпеки

Про події, що таять загрозу безпеці (див. Інцидент в системі безпеки), потрібно без зволікання повідомляти по адміністративних каналах.

Слід встановити формальну процедуру повідомлення, а також процедуру реагування на події, що описує заходи, які належить прийняти після отримання повідомлення про інцидент. Всі співробітники і підрядчики повинні бути ознайомлені з цією процедурою; вони зобов'язані повідомляти про такого роду подіях у відповідну службу підтримки системи захисту.

5.3.2. Повідомлення про слабкі місця в системі безпеки

Користувачі інформаційних сервісів зобов'язані реєструвати будь-які спостережувані або передбачувані слабкості в системі безпеки, або загрози системам або сервісам і повідомляти про них. Користувачі повинні негайно доводити подібні інциденти до зведення свого безпосереднього керівництва, або постачальників відповідних послуг. Необхідно інформувати користувачів про те, що ні за яких обставин вони не повинні намагатися перевіряти передбачувані слабкості в системи захисту.

Примітка. Це потрібно для захисту самих користувачів, оскільки їх дії з тестування слабкості можуть тлумачити як спроби несанкціонованого використання системи.

5.3.3. Повідомлення про відмови програмного забезпечення

Слід зобов'язати користувачів інформаційних сервісів реєструвати всі випадки, коли функціонування програмного забезпечення представляється їм неправильним, тобто не відповідним специфікації; вони повинні повідомляти про це в місцеву службу технічної підтримки інформаційних систем або безпосередньо постачальникові цих послуг.

Слід встановити процедури, які негайно повинен виконати користувач, що підозрює, що збій викликаний шкідливою програмою, наприклад, комп'ютерним вірусом. При розробці таких процедур треба звернути особливу увагу на такі моменти:

а) записати «симптоми» і всі повідомлення, що з'являються на екрані;

б) припинити роботу на комп'ютері і, якщо можливо, відключити його. Негайно повідомити про інцидент в службу технічної підтримки інформаційних систем. Якщо устаткування підлягає огляду, то його необхідно від'єднати від мереж організації, перш ніж знову включити живлення. Не використовувати на інших комп'ютерах дискети, записані на цьому комп'ютері;

в) негайно повідомити про подію в службу підтримки системи захисту.

Ні за яких обставин користувачі не повинні намагатися видалити підозріле програмне забезпечення. Відновлення програмного забезпечення повинні виконувати фахівці, що мають відповідні знання і досвід роботи.

5.3.4. Процедура накладення дисциплінарних стягнень

Слід визначити формальну процедуру накладення дисциплінарних стягнень на співробітників, які порушили прийняті в організації політикові і процедури безпеки. Ця процедура повинна служити стримуючим чинником для співробітників, які схильні нехтувати процедурами захисту. Крім того, вона повинна забезпечувати правильний і справедливий розгляд справ співробітників, підозрюваних в серйозному або постійному порушенні безпеки. Процедура накладення дисциплінарних стягнень повинна бути розроблена з урахуванням кадрової політики організації і затверджена керівництвом.

6. Фізична безпека і безпека навколишнього середовища

Вимоги до фізичного захисту можуть значно варіювати від організації до організації, залежно від масштабу і структури інформаційних сервісів, що надаються, а так само від уразливості і критичності підтримуваних виробничих процесів.

Крупні організації, що мають спеціальні центри даних, зазвичай вимагають вищий рівень захисту своїх інформаційних систем, чим невеликі організації, що використовують офісну технологію. Проте поняття захищених областей, контрольованих периметрів, контролю доступу в приміщення і загальні заходи по захисту устаткування застосовні до будь-якої організації у відповідній інтерпретації.

Невеликі організації, де інформаційні технології знаходять все більше розповсюдження, повинні забезпечити можливість розширення заходів по фізичному захисту для задоволення майбутніх вимог. Це особливо важливо у зв'язку з тим, що реалізація заходів по фізичному захисту може виявитися вельми складною і дорогою справою, якщо їх не передбачити заздалегідь.

6.1. Захищені області

Захищені області створюються для запобігання несанкціонованому доступу до інформаційних сервісів, їх пошкодження і створення перешкод в їх роботі.

Інформаційні системи, що підтримують критично важливі або уразливі сервіси організації, повинні бути розміщені в захищених областях.

Такі системи повинні бути також захищені фізично від несанкціонованого доступу, пошкодження і перешкод. Їх треба розмістити в захищених областях, обмежених певним периметром безпеки, з належним контролем доступу в приміщення і захисними бар'єрами. Для зменшення ризиків несанкціонованого доступу або пошкодження паперової документації і носіїв інформації, рекомендується задати чіткі правила використання робочого столу.

6.1.1. Фізичний периметр безпеки

Фізичний захист повинен бути заснований на певних периметрах безпеки і забезпечуватися шляхом установки в організації ряду бар'єрів, розташованих в стратегічних місцях. Вимоги до кожного захисного бар'єру і його місце розташування повинні визначатися цінністю ресурсів і сервісів, що підлягають захисту, а також ризиками порушення безпеки і існуючими захисними заходами. Кожен рівень фізичного захисту повинен мати певний периметр безпеки, в межах якого повинен бути забезпечений належний рівень захисту.

Примітка 1. Для комп'ютерів і інших інформаційних ресурсів периметр безпеки може обмежувати область підвищеної безпеки, комп'ютерний зал, закритий на замок офіс; периметр безпеки може ґрунтуватися і на інших видах фізичних меж.

Пропонуються наступні рекомендації:

а) Периметр безпеки повинен відповідати цінності ресурсів, що захищаються, і сервісів.

б) Периметр безпеки повинен бути чітко визначений.

в) Допоміжне устаткування (наприклад, апарати, що фотокопіюють, факс-машини) повинні бути такі розміщені, щоб зменшити ризик несанкціонованого доступу до захищених областей або компрометації конфіденційної інформації.

г) Фізичні бар'єри повинні з потреби тягнутися від підлоги до стелі, щоб запобігти несанкціонованому доступу в приміщення і забруднення навколишнього середовища.

д) Не можна надавати стороннім особам інформацію про те, що робиться в захищених областях без потреби.

е) Потрібно розглянути можливість встановлення заборони на роботу поодинці без належного контролю; це необхідно як для безпеки, так і для запобігання шкідливим діям.

ж) Комп'ютерне устаткування, що належить організації, необхідно розміщувати в спеціально призначених для цього місцях, окремо від устаткування, контрольованого сторонніми організаціями.

з) У неробочий час захищені області повинні бути фізично недоступні (закриті на замки) і періодично перевірятися охороною.

и) Персоналу, що здійснює технічне обслуговування сервісів, повинен бути наданий доступ в захищені області тільки у разі потреби і після отримання дозволу. За потреби доступ такого персоналу (особливо до конфіденційних даних) треба обмежити, а їх дії – відстежувати.

Примітка 2. В межах периметра безпеки можуть потрібно додаткові бар'єри і периметри між областями з різними вимогами до безпеки.

и) В межах периметра безпеки використання фотографічною, звукозаписною і відео апаратури повинне бути заборонене, за винятком санкціонованих випадків.

6.1.2. Контроль доступу в приміщення

У захищених областях потрібно встановити належний контроль доступу в приміщення, щоб тільки персонал, що має відповідні повноваження, мав до них доступ. Пропонується розглянути наступні засоби контролю:

а) за відвідувачами захищених областей необхідно встановити нагляд, а дата і час їх входу і виходу повинні реєструватися. Відвідувачам повинен бути наданий доступ для конкретних, дозволених цілей;

б) весь персонал, що працює в захищених областях, повинен носити на одязі добре помітні ідентифікаційні картки; крім того, слід рекомендувати їм питати перепустку у незнайомих осіб;

в) необхідно негайно вилучити права доступу захищені області у співробітників, що звільняються з даного місця роботи.

6.1.3. Захист центрів даних і комп'ютерних залів

Центри даних і комп'ютерні зали, важливі сервіси організації, що підтримують критично, повинні мати надійний фізичний захист. При виборі і облаштуванні відповідних приміщень необхідно взяти до уваги можливість пошкодження устаткування в результаті пожежі, повені, вибухів, цивільних безладів і інших аварій. Необхідно також розглянути загрози безпеці, які представляють сусідні приміщення.

Необхідно розглянути наступні заходи:

а) розмістити ключові системи подалі від загальнодоступних місць і місць проходження суспільного транспорту;

б) будівлі не повинні привертати увагу і видавати своє призначення (по можливості); не повинно бути явних ознак як зовні, так і усередині будівлі, що вказує на присутність обчислювальних ресурсів;

в) внутрішні телефонні довідники не повинні указувати на місцезнаходження обчислювальних ресурсів;

г) небезпечні і горючі матеріали потрібно зберігати відповідно до інструкцій на безпечній відстані від місце розташування обчислювальних ресурсів. Небажано зберігати витратні матеріали для комп'ютерів, наприклад, папір для принтерів в комп'ютерних залах;

д) резервне устаткування і носії інформації, на яких зберігаються резервні копії, потрібно розмістити на безпечній відстані, щоб уникнути їх пошкодження у разі аварії на основному робочому місці;

е) необхідно встановити відповідне сигнальне і захисне устаткування, наприклад, теплові і димові детектори, пожежну сигналізацію, засоби пожежогасіння, а також передбачити пожежні сходи. Сигнальне і захисне устаткування необхідно регулярно перевіряти відповідно до інструкцій виробників. Співробітники повинні бути належним чином підготовлені до використання цього устаткування;

ж) процедури реагування на надзвичайні ситуації необхідно повністю задокументувати і регулярно тестувати;

з) двері і вікна повинні бути замкнуті, коли в приміщенні зараз нікого не немає. Треба розглянути можливість захисту вікон зовні.

6.1.4. Ізольовані місця розвантаження і завантаження устаткування і матеріалів

Комп'ютерні зали повинні бути захищені від несанкціонованого доступу. Рекомендується виділити приміщення для розвантаження і завантаження матеріалів і устаткування для того, щоб зменшити вірогідність несанкціонованого доступу в комп'ютерні зали. Вимоги до безпеки такого приміщення потрібно визначити, виходячи з оцінки ризиків. Пропонуються наступні рекомендації:

а) доступ до складських приміщень зовні будівлі повинен надаватися тільки перевіреному персоналу, що має відповідні повноваження;

б) складське приміщення повинне бути таке сплановане, щоб матеріали можна було розвантажувати без діставання доступу в інші приміщення будівлі;

в) зовнішні двері в складське приміщення повинні бути замкнуті, коли відкриті внутрішні двері;

г) необхідно встановити, яку потенційну небезпеку можуть бути матеріали, що поступають, перш ніж їх перемістити з складського приміщення в місцю призначення.

6.1.5. Правила використання робочого столу

Організаціям настійно рекомендується ввести правила використання робочого столу, що стосуються документів і дискет, щоб зменшити ризик несанкціонованого доступу, втрати і пошкодження інформації в неробочий час.

Примітка. Носії інформації, залишені на робочих столах, можуть бути пошкоджені або знищені в результаті аварії, наприклад, пожежі, повені або вибуху.

Пропонуються наступні рекомендації:

а) Паперова документація і дискети, коли вони не використовуються, повинні зберігатися в спеціальних шафах, особливо в неробочий час.

б) Конфіденційна або критично важлива виробнича інформація, коли вона не використовується, повинна зберігатися окремо (краще всього в шафі, що не згорає), особливо в неробочий час.

в) Персональні комп'ютери і комп'ютерні термінали, коли вони не використовуються, необхідно захистити за допомогою блокування з ключем, паролів або інших засобів контролю.

г) Треба розглянути необхідність захисту вхідної і вихідної пошти, а також факс-машин, залишених без нагляду.

6.1.6. Винесення майна за межі організації

Співробітникам забороняється виносити устаткування, дані і програми за межі організації без письмового дозволу керівництва.

6.2. Захист устаткування

Необхідно забезпечити фізичний захист устаткування від загроз порушення безпеки і небезпек, що представляються навколишнім середовищем для запобігання втраті, пошкодженню і компрометації ресурсів, а також перебоям в роботі організації.

Захист устаткування інформаційних систем (включаючи устаткування, використовуване за межами організації) необхідний як для того, щоб зменшити ризик несанкціонованого доступу до даних, так і для того, щоб не допустити його втрату або пошкодження. Необхідно також приділити увагу проблемам розміщення устаткування і його утилізації. Можуть потрібно спеціальні заходи для захисту від несанкціонованого доступу і інших небезпек, а також для захисту допоміжного устаткування, наприклад, системи електроживлення і кабельної розводки.

6.2.1. Розміщення і захист устаткування

Устаткування інформаційних систем повинне бути таке розміщене і захищене, щоб зменшити ризик, пов'язаний з дією навколишнього середовища і несанкціонованим доступом. Пропонуються наступні рекомендації:

а) Устаткування потрібно розміщувати так, щоб по можливості звести до мінімуму зайвий доступ в робочі приміщення. Робочі станції, що підтримують конфіденційні дані, повинні бути розташовані так, щоб вони були завжди на вигляді.

б) Необхідно розглянути можливість ізоляції областей, що вимагають спеціального захисту, щоб знизити необхідний рівень загального захисту.

в) Для ідентифікації можливих небезпек пропонується використовувати наступний контрольний список:

- пожежа;

- задимлення;

- затоплення;

- запилення;

- вібрація;

- вплив хімічних речовин;

- перешкоди в електроживленні;

- електромагнітна радіація.

г) Треба заборонити прийом їжі та куріння в місцях розміщення комп'ютерного устаткування.

д) Бажано розглянути можливість використання спеціального захисту, наприклад, клавіатурних мембран, для устаткування в промислових середовищах.

е) Потрібно розглянути можливі небезпеки як на даному поверсі, так і на сусідніх поверхах.

6.2.2. Джерела електроживлення

Устаткування необхідно захищати від збоїв в системі електроживленні і інших неполадок в електричній мережі. Джерело живлення повинне відповідати специфікаціям виробника устаткування.

Слід розглянути необхідність використання резервного джерела живлення. Для устаткування, що підтримує критично важливі виробничі сервіси, рекомендується встановити джерело безперебійного живлення. План дій в надзвичайних ситуаціях повинен включати заходи, які необхідно прийняти після закінчення терміну придатності джерел безперебійного живлення. Устаткування, що працює з джерелами безперебійного живлення, необхідно регулярно тестувати відповідно до рекомендацій виробника.

6.2.3. Захист кабельної розводки

Кабелі електроживлення і мережні кабелі для передачі даних необхідно захищати від розтину для цілей перехоплення інформації і пошкодження. Для зменшення таких ризиків в приміщеннях організації пропонується реалізувати наступні захисні заходи:

а) Кабелі електроживлення і лінії зв'язки, що йдуть до інформаційних систем, повинні бути проведені під землею (по можливості) або захищені належним чином за допомогою інших засобів.

б) Необхідно розглянути заходи по захисту мережних кабелів від їх несанкціонованого розтину для цілей перехоплення даних і від пошкодження, наприклад, скориставшись екранами або проклавши ці лінії так, щоб вони не проходили через загальнодоступні місця.

в) Для дуже уразливих або критично важливих систем слід розглянути необхідність вживання додаткових заходів, таких, як:

- шифрування даних;

- установка броньованих екранів і використання приміщень, що замикаються;

- використання інших маршрутів або середовищ передачі даних.

6.2.4. Технічне обслуговування устаткування

Необхідно здійснювати належне технічне обслуговування устаткування, щоб забезпечити його постійну доступність і цілісність. Пропонуються наступні рекомендації:

а) технічне обслуговування устаткування повинне здійснюватися через проміжки часу, що рекомендуються постачальником, і відповідно до інструкцій;

б) ремонт і обслуговування устаткування повинні виконувати тільки персонал підтримки, що має відповідні повноваження;

в) необхідно реєструвати всі несправності і неполадки.

6.2.5. Захист устаткування, використовуваного за межами організації

Використання устаткування інформаційних систем (незалежно від того, хто їм володіє), що підтримують виробничі процеси, за межами організації повинно бути санкціоновано керівництвом; рівень захисту такого устаткування повинен бути таким же, як і для устаткування, розташованого на території організації. Пропонуються наступні рекомендації:

а) Співробітникам забороняється використовувати персональні комп'ютери для продовження роботи вдома, якщо не встановлена процедура перевірки на наявність вірусів (див. Засоби захисту від вірусів).

б) Під час поїздок забороняється залишати устаткування і носії інформації в загальнодоступних місцях без нагляду. Портативні комп'ютери потрібно провозити як ручний багаж.

в) Під час поїздок портативні комп'ютери уразливі по відношенню до крадіжок, втрати і несанкціонованого доступу. Для таких комп'ютерів треба забезпечити належний захист доступу, щоб запобігти несанкціонованому доступу до інформації, що зберігається в них.

г) Необхідно завжди дотримувати інструкції виробника, що стосуються захисту устаткування, наприклад, захищати устаткування від дії сильних електромагнітних полів.

Ризики порушення безпеки (наприклад, пошкодження, крадіжки, перехоплення), можуть значно варіювати від місця до місця; це треба обов'язково враховувати при визначенні найбільш відповідних захисних засобів.

6.2.6. Надійна утилізація устаткування

Дані організації можуть бути скомпрометовані унаслідок недбалої утилізації устаткування. Перед утилізацією устаткування всі його компоненти, включаючи носії інформації, наприклад, жорсткі диски, необхідно перевіряти, щоб гарантувати, що конфіденційні дані і програмне забезпечення, яке ліцензіює, було видалено. Пошкоджені пристрої, що запам'ятовують, особливо цінні дані, що містять, можуть зажадати оцінки ризиків для того, щоб визначити, чи треба їх знищувати, ремонтувати або позбавитися від них.

Практичне завдання

1. Описати організацію безпечного зовнішнього середовища організації у відповідності з рекомендаціями стандарту ISO/IEC 17799, а саме заходи щодо:

- розподілу обов’язків для забезпечення інформаційної безпеки;

- відстеження основних загроз;

- аналізу і спостереження за інцидентами в системі безпеки;

- координації дій по захисту інформації;

- ідентифікації ризиків, пов’язаних з підключенням сторонніх організацій;

- умов безпеки у контрактах із сторонніми організаціями;

- класифікації ресурсів і контролю по підтриманню для відповідних ресурсів - належного рівня конфіденційності;

- безпеки персоналу і користувачів;

- реагування на події, які несуть потенційну загрозу безпеці інформації;

- створення захищених зон;

- захисту обладнання.

2. Проаналізувати запропоновану організацію захисту.

3. Оформити протокол за результатами роботи у відповідності із додатком.

Контрольні запитання

1. Сформулювати основні цілі організації безпечного зовнішнього середовища організації.

2. Які питання повинні розглядатись на нарадах з проблем захисту інформації?

3. В чому полягає координація дій щодо забезпечення інформаційної безпеки?

4. Як здійснюється розподіл обов'язків по забезпеченню інформаційної безпеки?

5. На яких рівнях повинна затверджуватись система безпеки?

6. На яких рівнях здійснюються консультації із інформаційної безпеки?

7. Які питання безпеки треба обумовлювати при укладанні контрактів із сторонніми організаціями?

8. Які види ресурсів розрізняють в ІС?

9. Які заходи захисту необхідно реалізувати у системі безпеки?

10. Які види безпеки персоналу потрібно передбачити в системі захисту?

11. За якими пунктами перевіряється новий персонал?

12. Які процедури виконуються при реагуванні на інциденти в системі безпеки?

13. Які основні принципи організації периметра безпеки?

14. Які засоби контролю доступу до захищених областей можуть використовуватись?

15. Які заходи застосовуються для захисту центрів даних і комп'ютерних залів?

16. Які правила використання робочого столу застосовуються для зменшення ризиків загроз інформації?

17. Які рекомендації потрібно виконувати при розміщенні обладнання для зменшення ризиків загроз інформації?

18. Які заходи застосовуються для захисту кабельних мереж?

19. Яких правил необхідно дотримуватись при використанні обладнання за межами організації?