Upload
-
View
1.399
Download
1
Embed Size (px)
Citation preview
www.xbrl.lv ©2003 Jurijs Žarkovs
Применение международного стандарта безопасности информационных систем
ISO 17799 (В рамках программы “Электронная
коммерция”)
www.xbrl.lv ©2003 Jurijs Žarkovs
Определение информационной безопасности, перечень ее
составляющихПолитика безопасности в целом - это совокупность программных, аппаратных, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, четко регламентирующих все аспекты деятельности компании, включая информационную систему, и обеспечивающих их безопасность.
www.xbrl.lv ©2003 Jurijs Žarkovs
Положение о целях управления - поддержка целей и
принципов информационной безопасности
www.xbrl.lv ©2003 Jurijs Žarkovs
Соответствие политики требованиям, имеющим особое
значение для организации:• соответствие положений политики местному и
международному законодательству;• обучение персонала по вопросам безопасности;• обнаружение и блокирование вирусов и других
вредоносныхпрограмм;
• непрерывность ведения бизнеса;• последствия нарушения политики безопасности
www.xbrl.lv ©2003 Jurijs Žarkovs
Включение в должностные обязанности руководителей ответственности за обеспечение
информационной безопасности, включая отчеты об
инцидентах
www.xbrl.lv ©2003 Jurijs Žarkovs
Перечень документов, которые должны быть изданы вместе с политикой безопасности
• Положение о категорировании ресурсов• Положение о категорировании
пользователей• Порядок обращения с информацией
www.xbrl.lv ©2003 Jurijs Žarkovs
Координация вопросов, связанных с внедрением средств обеспечения информационной безопасности
www.xbrl.lv ©2003 Jurijs Žarkovs
Выработка соглашений о разграничении ответственности за
обеспечение информационной безопасности внутри организации
www.xbrl.lv ©2003 Jurijs Žarkovs
Выработка специальных методик и политик, связанных с информационной безопасностью:
анализ рисков, классификация систем и информации по уровням безопасности
www.xbrl.lv ©2003 Jurijs Žarkovs
Поддержание в организации "атмосферы" информационной безопасности, в частности,
регулярное информирование персонала по этим вопросам;
www.xbrl.lv ©2003 Jurijs Žarkovs
Обеспечение обязательности учета вопросов информационной безопасности при
стратегическом и оперативном планировании
www.xbrl.lv ©2003 Jurijs Žarkovs
Определение ресурсов, имеющих отношение к информационной безопасности, по каждой
системе
www.xbrl.lv ©2003 Jurijs Žarkovs
Для каждого ресурса (или процесса) должен быть документально назначен ответственный
сотрудник из числа руководителей
www.xbrl.lv ©2003 Jurijs Žarkovs
Для каждого ресурса должен быть определен и закреплен документально список прав доступа
(матрица доступа)
www.xbrl.lv ©2003 Jurijs Žarkovs
Инвентаризация ресурсов
• Информационные ресурсы• Программные ресурсы • Физические ресурсы• Вычислительные и коммуникационные
сервисы, вспомогательныеуслуги
www.xbrl.lv ©2003 Jurijs Žarkovs
Информационные ресурсы:• базы данных и файлы данных• системная документация• пользовательская документация• учебные материалы• инструкции по эксплуатации или по поддержке• планы по поддержанию непрерывности бизнеса• мероприятия по устранению неисправностей• архивы информации или данных
www.xbrl.lv ©2003 Jurijs Žarkovs
Программные ресурсы:
• приложения• операционные системы• системное программное обеспечение• средства разработки
www.xbrl.lv ©2003 Jurijs Žarkovs
Физические ресурсы:
• вычислительная техника• коммуникационное оборудование• магнитные носители• другое техническое оборудование
www.xbrl.lv ©2003 Jurijs Žarkovs
Классификация ресурсовВсе ресурсы должны быть классифицированы по степени важности.Для каждого класса должны быть регламентированы следующие действия:
• копирование• хранение• передача почтой, факсом, электронной почтой• передача голосом, включая мобильные
телефоны, голосовую почту• уничтожение
www.xbrl.lv ©2003 Jurijs Žarkovs
БЕЗОПАСНОСТЬ ПЕРСОНАЛА (1)
Необходимо включить задачу обеспечения безопасности в служебныеобязанности всех сотрудников
www.xbrl.lv ©2003 Jurijs Žarkovs
БЕЗОПАСНОСТЬ ПЕРСОНАЛА (2)
Проверка персонала при приеме на работу:• проверка рекомендаций• проверка данных из резюме• подтверждение ученых степеней и
образования• идентификация личности
www.xbrl.lv ©2003 Jurijs Žarkovs
БЕЗОПАСНОСТЬ ПЕРСОНАЛА (3)
Заключение соглашений о соблюдении режима информационной безопасности со всеми сотрудниками
www.xbrl.lv ©2003 Jurijs Žarkovs
БЕЗОПАСНОСТЬ ПЕРСОНАЛА (4)
Условия трудового соглашения с работником
www.xbrl.lv ©2003 Jurijs Žarkovs
Инциденты в области безопасности, а также сбои и неисправности
• Отчеты об инцидентах• Отчеты о недостатках в системе безопасности• Отчеты о сбоях и неисправностях компьютерных
систем• Обнаружение нестандартных ситуаций• Изучение инцидента• Дисциплинарные меры• Обучение персонала
www.xbrl.lv ©2003 Jurijs Žarkovs
Физическая безопасность
• Безопасность оборудования• Безопасность кабельной системы• Безопасное уничтожение
отработавшего оборудования• Безопасность рабочего места
www.xbrl.lv ©2003 Jurijs Žarkovs
Безопасность оборудования• Кража• Огонь• Взрыв• Дым• Вода• Пыль• Вибрация и химические вещества• Побочные электромагнитные излучения
www.xbrl.lv ©2003 Jurijs Žarkovs
Безопасность кабельной системы
• Расположение силовых и телекоммуникационных линий
• Несанкционированное подключение к сетевым кабелям
• Электромагнитные помехи
www.xbrl.lv ©2003 Jurijs Žarkovs
Безопасное уничтожение отработавшего оборудования
• выведение из эксплуатации• передача оборудования другому
владельцу• поврежденные устройства хранения
информации
www.xbrl.lv ©2003 Jurijs Žarkovs
Безопасность рабочего места
• не используемые документы и техника• процесс обработки информации
www.xbrl.lv ©2003 Jurijs Žarkovs
УПРАВЛЕНИЕ КОММУНИКАЦИЯМИ И
ПРОЦЕССАМИ• Служебные инструкции и
ответственность• Защита от вирусов• Управление внутренними ресурсами• Управление сетями• Безопасность носителей данных• Безопасность при передаче
www.xbrl.lv ©2003 Jurijs Žarkovs
Служебные инструкции и ответственность
• порядок обработки и обращения с информацией
• порядок взаимодействия с другими системами, разрешенные часы
www.xbrl.lv ©2003 Jurijs Žarkovs
Доступ на рабочее место
• порядок действий в нештатных ситуациях• список лиц и способы связи с ними в
нештатных ситуациях• специальные инструкции по обращению с
результатами обработки информации, в том числе конфиденциальными и ошибочно обработанными
• рестарт системы и восстановительные процедуры, необходимые в случае сбоя системы
www.xbrl.lv ©2003 Jurijs Žarkovs
Контроль изменений среды функционирования
• идентификация и запись важных изменений• оценка потенциального последствий таких
изменений• формальное утверждение процедуры внесения
изменений• взаимодействие со всеми заинтересованными
лицами при внесении изменений• процедуры определения ответственности и
возврата в исходное состояние при неудачных попытках изменений
www.xbrl.lv ©2003 Jurijs Žarkovs
Процедуры реагирования на инциденты
• сбои в информационных системах• отказ в обслуживании• ошибки из-за неполных или
неправильных входных данных• раскрытие информации
www.xbrl.lv ©2003 Jurijs Žarkovs
Разграничение ответственности путем разделения обязанностей
Все критичные операции должны выполняться, как минимум, двумя сотрудниками
www.xbrl.lv ©2003 Jurijs Žarkovs
Разделение ресурсов
• перспективная разработка• тестирование• непосредственное осуществление бизнес
операций (операционная среда)
www.xbrl.lv ©2003 Jurijs Žarkovs
Защита от вирусов• лицензионное программное обеспечение• запрет использования неутвержденного
программного обеспечения• контроль источников, через которые в
систему поступает информация в виде файлов, сообщений и т.п.
• задокументированный механизм восстановления после вирусных атак
• мониторинг всей информации
www.xbrl.lv ©2003 Jurijs Žarkovs
Резервное копирование информации
• Резервные копии вместе с инструкциями по восстановлению должны храниться в месте
• Резервные копии должны быть адекватно защищены
• Регулярная проверка носителей на отсутствие сбоев
• Поддержание возможности восстановленияданных
www.xbrl.lv ©2003 Jurijs Žarkovs
Регистрация действий операторов
• время старта и остановки системы• системные ошибки и действия по их
исправлению• подтверждение корректного обращения с
входными и выходнымиданными
• идентификатор оператора
www.xbrl.lv ©2003 Jurijs Žarkovs
Регистрация системных сбоев
• анализ журнала системных сбоев на предмет корректности изавершенности процесса устранения последствий сбоев
• анализ произведенных действий на предмет соответствия установленным процедурам
www.xbrl.lv ©2003 Jurijs Žarkovs
Управление сетью• ответственность персонала за осуществление
сетевых и локальныхопераций должна быть разделена
• должна быть определена ответственность и установлены процедуры управления удаленным оборудованием, включая оборудование в сегментах пользователей
• при передаче информации через сети общего пользования должны применяться специальные средства обеспечения целостности и конфиденциальности.
www.xbrl.lv ©2003 Jurijs Žarkovs
Безопасность носителей данных
• Управление съемными носителями• Хранение и обращение с носителями• Процедуры обращения с информацией и
ее хранения
www.xbrl.lv ©2003 Jurijs Žarkovs
Управление съемными носителями
• все носители, срок эксплуатации которых истек, должны быть уничтожены в установленном порядке;
• для выноса носителей за пределы организации, должно быть получено специальное разрешение; факт выноса должен бытьзафиксирован в специальном журнале (базе данных);
• все носители должны храниться в безопасном месте в соответствии с требованиями компании-производителя
www.xbrl.lv ©2003 Jurijs Žarkovs
Хранение и обращение с носителями
• бумажные документы• записи на кассетах• картриджи• съемные диски или кассеты• оптические носители• листинги программ• тестовые данные• системная документация
www.xbrl.lv ©2003 Jurijs Žarkovs
Процедуры обращения с информацией и ее хранения
• учет и маркировка всех носителей• ограничение доступа• протоколирование доступа и защита
данных из спулинга (которые ожидают распечатки, например)
www.xbrl.lv ©2003 Jurijs Žarkovs
Соглашения о передаче данных• назначение ответственных за процесс приема-
передачи• определение процедур уведомления
отправителя, получателя, и процедуры приема-отправки
• минимальные технические стандарты для сообщений и для их передачи
• идентификация способа доставки• ответственность за задержку и потерю данных• использование цифровой подписи• стандартизация методов чтения и записи
информации
www.xbrl.lv ©2003 Jurijs Žarkovs
Безопасность электронной коммерции при обмене информацией
• Аутентификация• Авторизация• Контракт и тендер• Ценовая информация• Порядок расчетов• Подтверждение факта оплаты
www.xbrl.lv ©2003 Jurijs Žarkovs
Безопасность электронной почты
• Возможные атаки на электронную почту• Защита вложений• Порядок допуска персонала к использованию
электронной почты• Определение ответственности сотрудников• Порядок использование криптографии• Архивирование сообщений электронной почты• Регламентация правил проверки сообщений
www.xbrl.lv ©2003 Jurijs Žarkovs
Безопасность электронного офиса
• Уязвимости информации в офисной системе• Политика и соответствующие инструкции по
совместному использованию ресурсов• Электронная обработка конфиденциальной
информации• Ограничение доступа к информации,
связанной с выбором персонала• Определение категорий персонала
www.xbrl.lv ©2003 Jurijs Žarkovs
Безопасность других форм информационного обмена
• близость посторонних людей при звонках по мобильным телефонам
• перехват звонков при физическом доступе к линии
• люди, находящиеся рядом с абонентом, принимающим звонок
www.xbrl.lv ©2003 Jurijs Žarkovs
Персонал должен быть проинформирован об угрозах информации при пользовании
факсимильной связью • неавторизованный доступ к месту
получения сообщений• запланированное или случайное
программирование факса для посылки сообщений по определенным номерам
• посылка сообщений по неверным номерам