Применение международного стандарта безопасности информационных систем ISO 17799 (В рамках программы

www.xbrl.lv ©2003 Jurijs Žarkovs

Применение международного стандарта безопасности информационных систем

ISO 17799 (В рамках программы “Электронная

коммерция”)


Определение информационной безопасности, перечень ее

составляющихПолитика безопасности в целом - это совокупность программных, аппаратных, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, четко регламентирующих все аспекты деятельности компании, включая информационную систему, и обеспечивающих их безопасность.


Положение о целях управления - поддержка целей и

принципов информационной безопасности


Соответствие политики требованиям, имеющим особое

значение для организации:• соответствие положений политики местному и

международному законодательству;• обучение персонала по вопросам безопасности;• обнаружение и блокирование вирусов и других

вредоносныхпрограмм;

• непрерывность ведения бизнеса;• последствия нарушения политики безопасности


Включение в должностные обязанности руководителей ответственности за обеспечение

информационной безопасности, включая отчеты об

инцидентах


Перечень документов, которые должны быть изданы вместе с политикой безопасности

• Положение о категорировании ресурсов• Положение о категорировании

пользователей• Порядок обращения с информацией


Координация вопросов, связанных с внедрением средств обеспечения информационной безопасности


Выработка соглашений о разграничении ответственности за

обеспечение информационной безопасности внутри организации


Выработка специальных методик и политик, связанных с информационной безопасностью:

анализ рисков, классификация систем и информации по уровням безопасности


Поддержание в организации "атмосферы" информационной безопасности, в частности,

регулярное информирование персонала по этим вопросам;


Обеспечение обязательности учета вопросов информационной безопасности при

стратегическом и оперативном планировании


Обеспечение обратной связи


Анализ инцидентов в области информационной безопасности


Определение ресурсов, имеющих отношение к информационной безопасности, по каждой

системе


Для каждого ресурса (или процесса) должен быть документально назначен ответственный

сотрудник из числа руководителей


Для каждого ресурса должен быть определен и закреплен документально список прав доступа

(матрица доступа)


Инвентаризация ресурсов

• Информационные ресурсы• Программные ресурсы • Физические ресурсы• Вычислительные и коммуникационные

сервисы, вспомогательныеуслуги


Информационные ресурсы:• базы данных и файлы данных• системная документация• пользовательская документация• учебные материалы• инструкции по эксплуатации или по поддержке• планы по поддержанию непрерывности бизнеса• мероприятия по устранению неисправностей• архивы информации или данных


Программные ресурсы:

• приложения• операционные системы• системное программное обеспечение• средства разработки


Физические ресурсы:

• вычислительная техника• коммуникационное оборудование• магнитные носители• другое техническое оборудование


Вспомогательныеуслуги:

• Отопление• Освещение


Классификация ресурсовВсе ресурсы должны быть классифицированы по степени важности.Для каждого класса должны быть регламентированы следующие действия:

• копирование• хранение• передача почтой, факсом, электронной почтой• передача голосом, включая мобильные

телефоны, голосовую почту• уничтожение


БЕЗОПАСНОСТЬ ПЕРСОНАЛА (1)

Необходимо включить задачу обеспечения безопасности в служебныеобязанности всех сотрудников



Проверка персонала при приеме на работу:• проверка рекомендаций• проверка данных из резюме• подтверждение ученых степеней и

образования• идентификация личности



Заключение соглашений о соблюдении режима информационной безопасности со всеми сотрудниками



Условия трудового соглашения с работником


Инциденты в области безопасности, а также сбои и неисправности

• Отчеты об инцидентах• Отчеты о недостатках в системе безопасности• Отчеты о сбоях и неисправностях компьютерных

систем• Обнаружение нестандартных ситуаций• Изучение инцидента• Дисциплинарные меры• Обучение персонала


Физическая безопасность

• Безопасность оборудования• Безопасность кабельной системы• Безопасное уничтожение

отработавшего оборудования• Безопасность рабочего места


Безопасность оборудования• Кража• Огонь• Взрыв• Дым• Вода• Пыль• Вибрация и химические вещества• Побочные электромагнитные излучения


Безопасность кабельной системы

• Расположение силовых и телекоммуникационных линий

• Несанкционированное подключение к сетевым кабелям

• Электромагнитные помехи


Безопасное уничтожение отработавшего оборудования

• выведение из эксплуатации• передача оборудования другому

владельцу• поврежденные устройства хранения

информации


Безопасность рабочего места

• не используемые документы и техника• процесс обработки информации


УПРАВЛЕНИЕ КОММУНИКАЦИЯМИ И

ПРОЦЕССАМИ• Служебные инструкции и

ответственность• Защита от вирусов• Управление внутренними ресурсами• Управление сетями• Безопасность носителей данных• Безопасность при передаче


Служебные инструкции и ответственность

• порядок обработки и обращения с информацией

• порядок взаимодействия с другими системами, разрешенные часы


Доступ на рабочее место

• порядок действий в нештатных ситуациях• список лиц и способы связи с ними в

нештатных ситуациях• специальные инструкции по обращению с

результатами обработки информации, в том числе конфиденциальными и ошибочно обработанными

• рестарт системы и восстановительные процедуры, необходимые в случае сбоя системы


Контроль изменений среды функционирования

• идентификация и запись важных изменений• оценка потенциального последствий таких

изменений• формальное утверждение процедуры внесения

изменений• взаимодействие со всеми заинтересованными

лицами при внесении изменений• процедуры определения ответственности и

возврата в исходное состояние при неудачных попытках изменений


Процедуры реагирования на инциденты

• сбои в информационных системах• отказ в обслуживании• ошибки из-за неполных или

неправильных входных данных• раскрытие информации


Разграничение ответственности путем разделения обязанностей

Все критичные операции должны выполняться, как минимум, двумя сотрудниками


Разделение ресурсов

• перспективная разработка• тестирование• непосредственное осуществление бизнес

операций (операционная среда)


Защита от вирусов• лицензионное программное обеспечение• запрет использования неутвержденного

программного обеспечения• контроль источников, через которые в

систему поступает информация в виде файлов, сообщений и т.п.

• задокументированный механизм восстановления после вирусных атак

• мониторинг всей информации


Резервное копирование информации

• Резервные копии вместе с инструкциями по восстановлению должны храниться в месте

• Резервные копии должны быть адекватно защищены

• Регулярная проверка носителей на отсутствие сбоев

• Поддержание возможности восстановленияданных


Регистрация действий операторов

• время старта и остановки системы• системные ошибки и действия по их

исправлению• подтверждение корректного обращения с

входными и выходнымиданными

• идентификатор оператора


Регистрация системных сбоев

• анализ журнала системных сбоев на предмет корректности изавершенности процесса устранения последствий сбоев

• анализ произведенных действий на предмет соответствия установленным процедурам


Управление сетью• ответственность персонала за осуществление

сетевых и локальныхопераций должна быть разделена

• должна быть определена ответственность и установлены процедуры управления удаленным оборудованием, включая оборудование в сегментах пользователей

• при передаче информации через сети общего пользования должны применяться специальные средства обеспечения целостности и конфиденциальности.


Безопасность носителей данных

• Управление съемными носителями• Хранение и обращение с носителями• Процедуры обращения с информацией и

ее хранения


Управление съемными носителями

• все носители, срок эксплуатации которых истек, должны быть уничтожены в установленном порядке;

• для выноса носителей за пределы организации, должно быть получено специальное разрешение; факт выноса должен бытьзафиксирован в специальном журнале (базе данных);

• все носители должны храниться в безопасном месте в соответствии с требованиями компании-производителя


Хранение и обращение с носителями

• бумажные документы• записи на кассетах• картриджи• съемные диски или кассеты• оптические носители• листинги программ• тестовые данные• системная документация


Процедуры обращения с информацией и ее хранения

• учет и маркировка всех носителей• ограничение доступа• протоколирование доступа и защита

данных из спулинга (которые ожидают распечатки, например)


Соглашения о передаче данных• назначение ответственных за процесс приема-

передачи• определение процедур уведомления

отправителя, получателя, и процедуры приема-отправки

• минимальные технические стандарты для сообщений и для их передачи

• идентификация способа доставки• ответственность за задержку и потерю данных• использование цифровой подписи• стандартизация методов чтения и записи

информации


Безопасность электронной коммерции при обмене информацией

• Аутентификация• Авторизация• Контракт и тендер• Ценовая информация• Порядок расчетов• Подтверждение факта оплаты


Безопасность электронной почты

• Возможные атаки на электронную почту• Защита вложений• Порядок допуска персонала к использованию

электронной почты• Определение ответственности сотрудников• Порядок использование криптографии• Архивирование сообщений электронной почты• Регламентация правил проверки сообщений


Безопасность электронного офиса

• Уязвимости информации в офисной системе• Политика и соответствующие инструкции по

совместному использованию ресурсов• Электронная обработка конфиденциальной

информации• Ограничение доступа к информации,

связанной с выбором персонала• Определение категорий персонала


Безопасность других форм информационного обмена

• близость посторонних людей при звонках по мобильным телефонам

• перехват звонков при физическом доступе к линии

• люди, находящиеся рядом с абонентом, принимающим звонок


Персонал должен быть проинформирован об угрозах информации при пользовании

факсимильной связью • неавторизованный доступ к месту

получения сообщений• запланированное или случайное

программирование факса для посылки сообщений по определенным номерам

• посылка сообщений по неверным номерам


THE END

© Ю.В. Жарков, 2003

E-mail: [email protected]

Education

Применение международного стандарта безопасности информационных систем ISO 17799 (В рамках программы