учебники, программирование, основы, введение в,

 

Британский стандарт BS 7799

Обзор стандарта BS 7799
Продолжая рассмотрение стандартов и спецификаций, относящихся к административному и процедурному уровням информационной безопасности, мы приступаем к изучению двух частей британского стандарта BS 7799 (см.), фактически имеющего статус международного (ISO/IEC 17799). Русский перевод первой части опубликован в качестве приложения к информационному бюллетеню Jet Info.
Первая часть стандарта, по-русски именуемая "Управление информационной безопасностью". Практические правила", содержит систематический, весьма полный, универсальный перечень регуляторов безопасности, полезный для организации практически любого размера, структуры и сферы деятельности. Она предназначена для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание внутренней системы информационной безопасности.
Согласно стандарту, цель информационной безопасности - обеспечить бесперебойную работу организации, по возможности предотвратить и/или минимизировать ущерб от нарушений безопасности.
Управление информационной безопасностью позволяет коллективно использовать данные, одновременно обеспечивая их защиту и защиту вычислительных ресурсов.
Подчеркивается, что защитные меры оказываются значительно более дешевыми и эффективными, если они заложены в информационные системы и сервисы на стадиях задания требований и проектирования.
Предлагаемые в первой части стандарта регуляторы безопасности разбиты на десять групп:

  • политика безопасности;
  • общеорганизационные аспекты защиты;
  • классификация активов и управление ими;
  • безопасность персонала;
  • физической безопасности и безопасность окружающей среды;
  • администрирование систем и сетей;
  • управление доступом к системам и сетям;
  • разработка и сопровождение информационных систем;
  • управление бесперебойной работой организации;
  • контроль соответствия требованиям.

В стандарте выделяется десять ключевых регуляторов, которые либо являются обязательными в соответствии с действующим законодательством, либо считаются основными структурными элементами информационной безопасности. К ним относятся:

  • документ о политике информационной безопасности;
  • распределение обязанностей по обеспечению информационной безопасности;
  • обучение и подготовка персонала к поддержанию режима информационной безопасности;
  • уведомление о случаях нарушения защиты;
  • антивирусные средства;
  • процесс планирования бесперебойной работы организации;
  • контроль за копированием программного обеспечения, защищенного законом об авторском праве;
  • защита документации;
  • защита данных;
  • контроль соответствия политике безопасности.

Для обеспечения повышенного уровня защиты особо ценных ресурсов или оказания противодействия злоумышленнику с исключительно высоким потенциалом нападения могут потребоваться другие (более сильные) средства, которые в стандарте не рассматриваются.
Следующие факторы выделены в качестве определяющих для успешной реализации системы информационной безопасности в организации:

  • цели безопасности и ее обеспечение должны основываться на производственных задачах и требованиях. Функции управления безопасностью должно взять на себя руководство организации;
  • необходима явная поддержка и приверженность к соблюдению режима безопасности со стороны высшего руководства;
  • требуется хорошее понимание рисков (как угроз, так и уязвимостей), которым подвергаются активы организации, и адекватное представление о ценности этих активов;
  • необходимо ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации.

Во второй части стандарта BS 7799-2:2002 "Системы управления информационной безопасностью - спецификация с руководством по использованию" предметом рассмотрения, как следует из названия, является система управления информационной безопасностью.
Под системой управления информационной безопасностью (СУИБ) (Information Security Management System, ISMS) понимается часть общей системы управления, базирующаяся на анализе рисков и предназначенная для проектирования, реализации, контроля, сопровождения и совершенствования мер в области информационной безопасности. Эту систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы.
В основу процесса управления положена четырехфазная модель, включающая:

  • планирование;
  • реализацию;
  • оценку;
  • корректировку.

По-русски данную модель можно назвать ПРОК (в оригинале - Plan-Do-Check-Act, PDCA). Детальный анализ каждой из выделенных фаз и составляет основное содержание стандарта BS 7799-2:2002.

Регуляторы безопасности и реализуемые ими цели. Часть 1. Регуляторы общего характера
Мы приступаем к рассмотрению десяти групп регуляторов безопасности, выделенных в стандарте BS 7799.
К первой группе отнесено то, что связано с политикой безопасности, а именно:

  • документально оформленная политика;
  • процесс ревизии политики.

Цель регуляторов этой группы - определить стратегию управления безопасностью и обеспечить ее поддержку.
Рекомендуемая структура документированной политики изложена в курсе "Основы информационной безопасности".
Вторая группа регуляторов безопасности касается общеорганизационных аспектов. По сравнению с первой она более многочисленна и наделена внутренней структурой. Ее первая подгруппа - инфраструктура информационной безопасности - преследует цель управления безопасностью в организации и включает следующие регуляторы:

  • создание форума по управлению информационной безопасностью;
  • меры по координации действий в области информационной безопасности;
  • распределение обязанностей в области информационной безопасности;
  • утверждение руководством (административное и техническое) новых средств обработки информации;
  • получение рекомендаций специалистов по информационной безопасности;
  • сотрудничество с другими организациями (правоохранительными органами, поставщиками информационных услуг и т.д.);
  • проведение независимого анализа информационной безопасности.

Регуляторы второй подгруппы - безопасность доступа сторонних организаций - предназначены для обеспечения безопасности вычислительных и информационных ресурсов, к которым имеют доступ сторонние организации. Этих регуляторов два:

  • идентификация рисков, связанных с подключениями сторонних организаций, и реализация соответствующих защитных мер;
  • выработка требований безопасности для включения в контракты со сторонними организациями.

Цель третьей подгруппы - обеспечение информационной безопасности при использовании услуг внешних организаций. Предлагается выработать требования безопасности для включения в контракты с поставщиками информационных услуг.
Очень важна третья группа регуляторов безопасности - классификация активов и управление ими. Необходимым условием обеспечения надлежащей защиты активов является их идентификация и классификация. Должны быть выработаны критерии классификации, в соответствии с которыми активы тем или иным способом получают метки безопасности.
Регуляторы четвертой группы - безопасность персонала - охватывают все этапы работы персонала, и первый из них - документирование ролей и обязанностей в области информационной безопасности при определении требований ко всем должностям. В соответствии с этими требованиями должны производиться отбор новых сотрудников, заключаться соглашения о соблюдении конфиденциальности, оговариваться в контрактах другие условия.
Для сознательного поддержания режима информационной безопасности необходимо обучение всех пользователей, регулярное повышение их квалификации.
Наряду с превентивными, стандарт предусматривает и меры реагирования на инциденты в области безопасности, чтобы минимизировать ущерб и извлечь уроки на будущее. Предусмотрены уведомления (доклады) об инцидентах и замеченных уязвимостях, нештатной работе программного обеспечения. Следует разработать механизмы оценки ущерба от инцидентов и сбоев и дисциплинарного наказания провинившихся сотрудников.
Пятая группа регуляторов направлена на обеспечение физической безопасности и безопасности окружающей среды. Она включает три подгруппы:

  • организация защищенных областей;
  • защита оборудования;
  • меры общего характера.

Для организации защищенных областей требуется определить периметры физической безопасности, контролировать вход в защищенные области и работу в них, защитить производственные помещения (особенно имеющие специальные требования по безопасности) и места погрузочно/разгрузочных работ, которые, по возможности, надо изолировать от производственных помещений.
Чтобы предупредить утерю, повреждение или несанкционированную модификацию оборудования рекомендуется размещать его в защищенных областях, наладить бесперебойное электропитание, защитить кабельную разводку, организовать обслуживание оборудования, перемещать устройства (в том числе за пределы организации) только с разрешения руководства, удалять информацию перед выведением из эксплуатации или изменением характера использования оборудования.
К числу мер общего характера принадлежат политика чистого рабочего стола и чистого экрана, а также уничтожение активов - оборудования, программ и данных - только с разрешения руководства.


Регуляторы безопасности и реализуемые ими цели. Часть 2. Регуляторы технического характера
Меры по безопасному администрированию систем и сетей разделены в стандарте BS 7799 на семь подгрупп:
  • операционные процедуры и обязанности;
  • планирование и приемка систем;
  • защита от вредоносного программного обеспечения;
  • повседневное обслуживание;
  • администрирование сетей;
  • безопасное управление носителями;
  • обмен данными и программами с другими организациями.

Документирование операционных процедур и обязанностей преследует цель обеспечения корректного и надежного функционирования средств обработки информации. Требуется обязательно контролировать все изменения этих средств. Доклады о нарушениях безопасности должны быть своевременными и эффективными. Разделение обязанностей должно препятствовать злоупотреблению полномочиями. Средства разработки и тестирования необходимо отделить от производственных ресурсов. Для безопасного управления внешними ресурсами предлагается предварительно оценить риски и включить в контракты со сторонними организациями соответствующие положения.
Планирование и приемка систем призваны минимизировать риск их отказа. Для этого рекомендуется отслеживать и прогнозировать вычислительную нагрузку, требуемые ресурсы хранения и т.д. Следует разработать критерии приемки новых систем и версий, организовать их тестирование до введения в эксплуатацию.
Защита от вредоносного программного обеспечения должна включать как превентивные меры, так и меры обнаружения и ликвидации вредоносного ПО.
Под повседневным обслуживанием в стандарте имеется в виду резервное копирование, протоколирование действий операторов, регистрация, доведение до сведения руководства и ликвидация сбоев и отказов.
Вопросы администрирования сетей в стандарте, по сути, не раскрываются, лишь констатируется необходимость целого спектра регуляторов безопасности и документирования обязанностей и процедур.
Безопасное управление носителями подразумевает контроль за съемными носителями, безвредную утилизацию отслуживших свой срок носителей, документирование процедур обработки и хранения информации, защиту системной документации от несанкционированного доступа.
Более детально регламентирован обмен данными и программами с другими организациями. Предлагается заключать формальные и неформальные соглашения, защищать носители при транспортировке, обеспечивать безопасность электронной коммерции, электронной почты, офисных систем, систем общего доступа и других средств обмена. В качестве универсальных защитных средств рекомендуются документированная политика безопасности, соответствующие процедуры и регуляторы.
Самой многочисленной является группа регуляторов, относящихся к управлению доступом к системам и сетям. Она состоит из восьми подгрупп:

  • производственные требования к управлению доступом;
  • управление доступом пользователей;
  • обязанности пользователей;
  • управление доступом к сетям;
  • управление доступом средствами операционных систем;
  • управление доступом к приложениям;
  • контроль за доступом и использованием систем;
  • контроль мобильных пользователей и удаленного доступа.

Производственные требования к управлению доступом излагаются в документированной политике безопасности, которую необходимо проводить в жизнь.
Управление доступом пользователей должно обеспечить авторизацию, выделение и контроль прав в соответствии с политикой безопасности. Этой цели служат процедуры регистрации пользователей и ликвидации их системных счетов, управление привилегиями в соответствии с принципом их минимизации, управление паролями пользователей, а также дисциплина регулярной ревизии прав доступа.
Обязанности пользователей, согласно стандарту, сводятся к правильному выбору и применению паролей, а также к защите оборудования, остающегося без присмотра.
Управление доступом к сетям опирается на следующие регуляторы:

  • политика использования сетевых услуг (прямой доступ к услугам должен предоставляться только по явному разрешению);
  • задание маршрута от пользовательской системы до используемых систем (предоставление выделенных линий, недопущение неограниченного перемещения по сети и т.д.);
  • аутентификация удаленных пользователей;
  • аутентификация удаленных систем;
  • контроль доступа (особенно удаленного) к диагностическим портам;
  • сегментация сетей (выделение групп пользователей, информационных сервисов и систем);
  • контроль сетевых подключений (например, контроль по предоставляемым услугам и/или времени доступа);
  • управление маршрутизацией;
  • защита сетевых сервисов (должны быть описаны атрибуты безопасности всех сетевых сервисов, используемых организацией).

Управление доступом средствами операционных систем направлено на защиту от несанкционированного доступа к компьютерным системам. Для этого предусматриваются:

  • автоматическая идентификация терминалов;
  • безопасные процедуры входа в систему (следует выдавать как можно меньше информации о системе, ограничить разрешаемое количество неудачных попыток, контролировать минимальную и максимальную продолжительность входа и т.п.);
  • идентификация и аутентификация пользователей;
  • управление паролями, контроль их качества;
  • разграничение доступа к системным средствам;
  • уведомление пользователей об опасных ситуациях;
  • контроль времени простоя терминалов (с автоматическим отключением по истечении заданного периода);
  • ограничение времени подключения к критичным приложениям.

Для управления доступом к приложениям предусматривается разграничение доступа к данным и прикладным функциям, а также изоляция критичных систем, помещение их в выделенное окружение.
Контроль за доступом и использованием систем преследует цель выявления действий, нарушающих политику безопасности. Для ее достижения следует протоколировать события, относящиеся к безопасности, отслеживать и регулярно анализировать использование средств обработки информации, синхронизировать компьютерные часы.
Контроль мобильных пользователей и удаленного доступа должен основываться на документированных положениях политики безопасности.

Регуляторы безопасности и реализуемые ими цели. Часть 3. Разработка и сопровождение, управление бесперебойной работой, контроль соответствия
Регуляторы группы "разработка и сопровождение информационных систем" охватывают весь жизненных цикл систем. Первым шагом является анализ и задание требований безопасности. Основу анализа составляют:

  • необходимость обеспечения конфиденциальности, целостности и доступности информационных активов;
  • возможность использования различных регуляторов для предотвращения и выявления нарушений безопасности и для восстановления нормальной работы после отказа или нарушения безопасности.

В частности, следует рассмотреть необходимость:

  • управления доступом к информации и сервисам, включая требования к разделению обязанностей и ресурсов;
  • протоколирования для повседневного контроля или специальных расследований;
  • контроля и поддержания целостности данных на всех или избранных стадиях обработки;
  • обеспечения конфиденциальности данных, возможно, с использованием криптографических средств;
  • выполнения требований действующего законодательства, договорных требований и т.п.
  • резервного копирования производственных данных;
  • восстановления систем после отказов (особенно для систем с повышенными требованиями к доступности);
  • защиты систем от несанкционированных модификаций;
  • безопасного управления системами и их использования сотрудниками, не являющимися специалистами.

Подгруппа регуляторов, обеспечивающих безопасность прикладных систем, включает:

  • проверку входных данных;
  • встроенные проверки корректности данных в процессе их обработки;
  • аутентификацию сообщений как элемент контроля их целостности;
  • проверку выходных данных.

Третью подгруппу рассматриваемой группы составляют криптографические регуляторы. Их основой служит документированная политика использования средств криптографии. Стандартом предусматривается применение шифрования, электронных цифровых подписей, механизмов неотказуемости, средств управления ключами.
Четвертая подгруппа - защита системных файлов - предусматривает:

  • управление программным обеспечением, находящимся в эксплуатации;
  • защиту тестовых данных систем;
  • управление доступом к библиотекам исходных текстов.

Регуляторы пятой подгруппы направлены на обеспечение безопасности процесса разработки и вспомогательных процессов. В нее входят следующие регуляторы:

  • процедуры управления внесением изменений;
  • анализ и тестирование систем после внесения изменений;
  • ограничение на внесение изменений в программные пакеты;
  • проверка наличия скрытых каналов и троянских программ;
  • контроль за разработкой ПО, выполняемой внешними организациями.

Группа "управление бесперебойной работой организации" исключительно важна, но устроена существенно проще. Она включает пять регуляторов, направленных на предотвращение перерывов в деятельности предприятия и защиту критически важных бизнес-процессов от последствий крупных аварий и отказов:

  • формирование процесса управления бесперебойной работой организации;
  • выработка стратегии (на основе анализа рисков) обеспечения бесперебойной работы организации;
  • документирование и реализация планов обеспечения бесперебойной работы организации;
  • поддержание единого каркаса для планов обеспечения бесперебойной работы организации, чтобы гарантировать их согласованность и определить приоритетные направления тестирования и сопровождения;
  • тестирование, сопровождение и регулярный пересмотр планов обеспечения бесперебойной работы организации на предмет их эффективности и соответствия текущему состоянию.

Процесс планирования бесперебойной работы организации должен включать в себя:

  • идентификацию критически важных производственных процессов и их ранжирование по приоритетам;
  • определение возможного воздействия аварий различных типов на производственную деятельность;
  • определение и согласование всех обязанностей и планов действий в нештатных ситуациях;
  • документирование согласованных процедур и процессов;
  • подготовку персонала к выполнению согласованных процедур и процессов в нештатных ситуациях.

Для обеспечения бесперебойной работы организации необходимы процедуры трех типов:

  • процедуры реагирования на нештатные ситуации;
  • процедуры перехода на аварийный режим;
  • процедуры возобновления нормальной работы.

Примерами изменений, которые могут потребовать обновления планов, являются:

  • приобретение нового оборудования или модернизация систем;
  • новая технология выявления и контроля проблем, например, обнаружения пожаров;
  • кадровые или организационные изменения;
  • смена подрядчиков или поставщиков;
  • изменения, внесенные в производственные процессы;
  • изменения, внесенные в пакеты прикладных программ;
  • изменения в эксплуатационных процедурах;
  • изменения в законодательстве.

Назначение регуляторов последней, десятой группы - контроль соответствия требованиям. В первую очередь имеется в виду соответствие требованиям действующего законодательства. Для этого необходимо:

  • идентифицировать применимые законы, нормативные акты и т.п.
  • обеспечить соблюдение законодательства по защите интеллектуальной собственности;
  • защитить деловую документацию от утери, уничтожения или фальсификации;
  • обеспечить защиту персональных данных;
  • предотвратить незаконное использование средств обработки информации;
  • обеспечить выполнение законов, касающихся криптографических средств;
  • обеспечить сбор свидетельств на случай взаимодействия с правоохранительными органами.

Ко второй подгруппе отнесены регуляторы, контролирующие соответствие политике безопасности и техническим требованиям. Руководители всех уровней должны убедиться, что все защитные процедуры, входящие в их зону ответственности, выполняются должным образом и что все такие зоны регулярно анализируются на предмет соответствия политике и стандартам безопасности. Информационные системы нуждаются в регулярной проверке соответствия стандартам реализации защитных функций.
Регуляторы, относящиеся к аудиту информационных систем, объединены в третью подгруппу. Их цель - максимизировать эффективность аудита и минимизировать помехи, создаваемые процессом аудита, равно как и вмешательство в этот процесс. Ход аудита должен тщательно планироваться, а используемый инструментарий - защищаться от несанкционированного доступа.
На этом мы завершаем рассмотрение регуляторов безопасности, предусмотренных стандартом BS 7799.

Четырехфазная модель процесса управления информационной безопасностью
Мы приступаем к детальному рассмотрению четырехфазной (планирование - реализация - оценка - корректировка , ПРОК) модели процесса управления информационной безопасностью, примененной в стандарте BS 7799-2:2002.
Процесс управления имеет циклический характер; на фазе первоначального планирования осуществляется вход в цикл. В качестве первого шага должна быть определена и документирована политика безопасности организации.
Затем определяется область действия системы управления информационной безопасностью. Она может охватывать всю организацию или ее части. Следует специфицировать зависимости, интерфейсы и предположения, связанные с границей между СУИБ и ее окружением; это особенно важно, если в область действия попадает лишь часть организации. Большую область целесообразно поделить на подобласти управления.
Ключевым элементом фазы планирования является анализ рисков. Этот вопрос детально рассмотрен в курсе "Основы информационной безопасности"; здесь мы не будем на нем останавливаться.
Результат анализа рисков - выбор регуляторов безопасности. План должен включать график и приоритеты, детальный рабочий план и распределение обязанностей по реализации этих регуляторов.
На второй фазе - фазе реализации - руководством организации выделяются необходимые ресурсы (финансовые, материальные, людские, временные), выполняется реализация и внедрение выбранных регуляторов, сотрудникам объясняют важность проблем информационной безопасности, проводятся курсы обучения и повышения квалификации. Основная цель этой фазы - ввести риски в рамки, определенные планом.
Назначение фазы оценки - проанализировать, насколько эффективно работают регуляторы и система управления информационной безопасностью в целом. Кроме того, следует принять во внимание изменения, произошедшие в организации и ее окружении, способные повлиять на результаты анализа рисков. При необходимости намечаются корректирующие действия, предпринимаемые в четвертой фазе. Коррекция должна производиться, только если выполнено по крайней мере одно из двух условий:

  • выявлены внутренние противоречия в документации СУИБ;
  • риски вышли за допустимые границы.

Оценка может выполняться в нескольких формах:

  • регулярные (рутинные) проверки;
  • проверки, вызванные появлением проблем;
  • изучение опыта (положительного и отрицательного) других организаций;
  • внутренний аудит СУИБ;
  • инспекции, проводимые по инициативе руководства;
  • анализ тенденций.

Аудит должен выполняться регулярно, не реже одного раза в год. В процессе аудита следует убедиться в следующем:

  • политика безопасности соответствует производственным требованиям;
  • результаты анализа рисков остаются в силе;
  • документированные процедуры выполняются и достигают поставленных целей;
  • технические регуляторы безопасности (например, межсетевые экраны или средства ограничения физического доступа) расположены должным образом, правильно сконфигурированы и работают в штатном режиме;
  • действия, намеченные по результатам предыдущих проверок, выполнены.

Даже если недопустимых отклонений не выявлено и уровень безопасности признан удовлетворительным, целесообразно зафиксировать изменения в технологии и производственных требованиях, появление новых угроз и уязвимостей, чтобы предвидеть будущие изменения в системе управления.
Систему управления информационной безопасностью надо постоянно совершенствовать, чтобы она оставалась эффективной . Эту цель преследует четвертая фаза рассматриваемого в стандарте цикла - корректировка. Она может потребовать как относительно незначительных действий, так и возврата к фазам планирования (например, если появились новые угрозы) или реализации (если следует осуществить намеченное ранее).
При корректировке прежде всего следует устранить несоответствия следующих видов:

  • отсутствие или невозможность реализации некоторых требований СУИБ;
  • неспособность СУИБ обеспечить проведение в жизнь политики безопасности или обслуживать производственные цели организации.

Задача фазы оценки - выявить проблемы. На фазе корректировки необходимо докопаться до их корней и устранить первопричины несоответствий, чтобы избежать повторного появления. С этой целью могут предприниматься как реактивные, так и превентивные действия, рассчитанные на среднесрочную или долгосрочную перспективу.
Таково (в сжатом изложении) содержание двух частей стандарта BS 7799. Может показаться, что каждое из его положений самоочевидно; тем не менее, собранные вместе и систематизированные, они обладают несомненной ценностью.

 

 
На главную | Содержание | < Назад....Вперёд >
С вопросами и предложениями можно обращаться по nicivas@bk.ru. 2013 г.Яндекс.Метрика