Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Чтобы снизить возможность искажения компьютерных программ, необходимо рассмотреть следующие рекомендации:
– по возможности, следует избегать хранения библиотек исходного кода программ в операционных системах;
– управление исходным кодом программы и его библиотеками следует осуществлять в соответствии с установленными процедурами;
– персонал поддержки не должен иметь неограниченный доступ к библиотекам исходного кода программ;
– обновление библиотек исходного кода программ и связанных с ним элементов,
– распечатки (листинги) программ следует хранить в безопасной среде;
– в журнале аудита должны фиксироваться все обращения к библиотекам исходного кода программ;
– поддержку и копирование библиотек исходного кода программ следует осуществлять в соответствии с четкими процедурами контроля изменений.
Если исходный код программы необходимо опубликовать, должны быть приняты дополнительные меры защиты его целостности (например, цифровая подпись).
6. Криптография
6.1. Средства криптографии
Цель: Обеспечить корректное и эффективное использование криптографии для защиты конфиденциальности, достоверности и/или целостности информации.
Управление средствами криптографии определяют следующие составляющие:
– политика использования средств криптографии;
– управление ключами.
Политика использования средств криптографии
Меры и средства
Политика использования средств криптографии для защиты информации должна быть разработана и внедрена.
Рекомендации по реализации
При разработке политики криптографии необходимо учитывать следующее:
– позицию руководства по использованию средств криптографии во всей организации, включая общие принципы защиты бизнес-информации;
– основанный на оценке риска требуемый уровень защиты, который должен быть определен с учетом типа, стойкости и качества требуемого криптоалгоритма;
– использование шифрования для защиты нформации, передаваемой с помощью мобильных устройств или сменных носителей или по линиям связи;
– подход к управлению ключами, включающему методы по защите криптоключей и восстановлению зашифрованной информации в случае потери, компрометации или повреждения ключей;
– роли и ответственности, например, кто отвечает за:
• внедрение политики;
• управление ключами, включая генерацию ключей;
– стандарты, которые должны быть приняты для эффективной реализации во всей организации (какое решение используется для каких бизнес-процессов);
– влияние использования зашифрованной информации на меры защиты, предназначенные для проверки содержимого (например, обнаружения вирусов).
При внедрении политики криптографии должны быть учтены правила и национальные ограничения, применяемые
Средства криптографии могут использоваться для достижения разных целей ИБ, например:
– конфиденциальности – шифрованием чувствительной или критичной информации как хранимой, так и передаваемой;
– целостности / достоверности – использованием цифровых подписей или кодов аутентификации сообщений для проверки целостности или аутентичности хранимой или передаваемой чувствительной или критичной информации;
– неотказуемости – использованием методов криптографии для получения подтверждения того, что событие или действие имело место;
– аутентификации – использованием методов криптографии для удостоверения пользователей и других системных объектов, запрашивающих доступ к системным пользователям, объектам и ресурсам или работающих с ними.
Выбор надлежащих средств криптографии должен рассматриваться как часть обширного процесса оценки риска и выбора мер защиты. Эта оценка может быть использована для определения соответствия средства криптографии, какой тип защиты надо применить и для какой цели и бизнес-процесса.
Политика использования средств криптографии необходима для обеспечения максимума преимуществ и минимума рисков от их использования, а также для предотвращения неправильного использования.
Управление ключами
Меры и средства
Политика использования, защиты и срока действия криптоключей должна быть разработана и внедрена на протяжении всего их жизненного цикла.
Рекомендации по реализации
Политика должна содержать требования по управлению криптоключами на протяжении всего их жизненного цикла, включая генерацию, хранение, архивирование, получение, распределение, изъятие и уничтожение ключей.
Криптоалгоритмы, длины ключа и правила использования должны выбираться, исходя из наилучшего практического опыта. Соответствующее управление ключами требует безопасных процессов для генерации, хранения, архивирования, получения, распределения, изъятия и уничтожения криптоключей.
Все криптоключи должны быть защищены от модификации и утери. Кроме того, секретный и личный ключи требуют защиты от несанкционированного использования, а также разглашения. Оборудование для генерации, хранения и архивирования ключей должно быть защищено физически.
Система управления ключами должна быть основана на согласованном множестве стандартов, процедур и безопасных методов для:
– генерации ключей для различных криптосистем и приложений;
– изготовления и получения сертификатов открытых ключей;