Управление информационной безопасностью. Стандарты СУИБ

Гребенников Вадим Викторович

– компьютеры и терминалы, оставленные без присмотра, следует выключать или защищать механизмом блокировки экрана или клавиатуры, контролируемого паролем, токеном или схожим механизмом аутентификации пользователя;

– необходимо предотвратить несанкционированное использование фотокопировальной и другой воспроизводящей технологии (например, сканеров, цифровых камер);

– документы, содержащие чувствительную или классифицированную информацию, необходимо немедленно изымать из принтеров.

Рекомендуется

использовать принтеры с функцией ПИН-кода, когда только инициаторы печатания могут забрать из принтера готовый документ и вставить следующий.

8. Безопасность операций

Безопасность операций определяют следующие составляющие:

– операционные процедуры;

– контроль системного ПО;

– защита от вредоносного ПО;

– мониторинг и логи.

– резервное копирование;

– управление техническими уязвимостями;

– проведение аудита ИС.

8.1. Операционные процедуры

Цель: Обеспечить правильное и безопасное использование средств обработки информации.

Операционные процедуры обеспечивают следующие мероприятия:

– документирование процедур;

– управление изменениями;

– управление мощностью;

– разделение сред разработки, тестирования и эксплуатации.

Документирование процедур

Меры и средства

Операционные процедуры должны быть задокументированы и доступны для всех пользователей, которые в них нуждаются.

Рекомендации по реализации

Задокументированные процедуры должны быть подготовлены для функциональных действий, связанных со средствами обработки и передачи информации, таких как компьютерные процедуры запуска и завершения, резервное копирование, техническое обслуживание, работа с носителями, управление обработкой почты и безопасность.

Операционные процедуры должны определять эксплуатационные инструкции, включающие:

– инсталляцию и конфигурацию систем;

– обработку и управление информацией, как автоматизированное, так и ручное;

– резервное копирование;

– требования в отношении графика работ, включая взаимозависимости с другими системами, время начала первой и время завершения последней процедуры;

– инструкции по обработке ошибок или других чрезвычайных ситуаций, которые могут возникнуть в процессе выполнения задач, включая ограничения на использование системного ПО;

– необходимые контакты поддержки, в том числе внешней, на случай неожиданных эксплуатационных или технических проблем;

–

специальные инструкции по управлению выводом данных и работе с носителями информации, например, использование специальных бланков или управление выводом конфиденциальных данных, включая процедуры безопасного уничтожения выходных данных в случае невыполнения задач;

– перезапуск системы и процедуры восстановления на случай системного сбоя;

– управление информацией, содержащейся в контрольных и системных журналах;

– процедуры мониторинга.

Управление изменениями

Меры и средства

Изменения в организации, бизнес-процессах и средствах обработки информации, влияющих на ИБ, должны контролироваться.

Рекомендации по реализации

В частности, необходимо рассмотреть следующие аспекты:

– определение и регистрацию существенных изменений;

– планирование и тестирование изменений;

– оценку возможных влияний таких изменений, включая влияния на ИБ;

– формальную процедуру утверждения предлагаемых изменений;

– проверку соответствия требованиям ИБ;

– подробное информирование об изменениях всех заинтересованных лиц;

– процедуры возврата в исходный режим, включая прерывание и последующее восстановление в случае неудачных изменений и непредвиденных обстоятельств;

– процесс чрезвычайного изменения для активации быстрого и контролируемого внедрения изменений, необходимых для решения инцидента.

Необходимо следовать формальным процедурам и обязанностям управления для достаточного контроля всех изменений. Журнал аудита, содержащий всю соответствующую информацию, должен сохраняться.

Неадекватный контроль изменений в системах и средствах обработки информации является общей причиной нарушений системы и безопасности. Изменения эксплуатационной среды, особенно при переводе системы из стадии разработки в стадию эксплуатации, могут влиять на надежность приложений.

Управление мощностью

Меры и средства

Использование ресурсов должно контролироваться, регулироваться и прогнозироваться в соответствии с будущими требованиями мощности для обеспечения требуемой производительности системы.

Рекомендации по реализации

Требования мощности должны быть определены с учетом бизнес-критичности связанных систем. Следует осуществлять мониторинг и регулирование системы для обеспечения и, при необходимости, повышения ее доступности и эффективности. Должны быть внедрены поисковые системы контроля для выявления проблем с течением времени.