Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
– аудиторские требования в отношении доступа к системам и данным следует согласовать|согласиться| с соответствующим руководством;
– контекст технических аудиторских тестов следует согласовать|согласиться| и контролировать|управлять, контролировать|;
– аудиторские тесты должны| иметь ограничение доступа к ПО и данным в виде «только для чтения»;
– другие виды доступа, кроме «только для чтения», должны быть разрешены| только для изолированных копий системных файлов, которые следует стереть после завершения аудита|проверка, ревизия| или обеспечить|предоставляет| соответствующей
– требования специальной или дополнительной|аддиционной| обработки следует определить|опознать| и согласовать|согласиться|;
– аудиторские тесты, которые могут повлиять на возможности системы|готовность|, нужно проводить|запустить| в нерабочее время;
– все факты доступа|подход, припадок, прирост, приступ, проход| нужно контролировать и протоколировать, чтобы остался документальный след|хвост|.
От автора
В 1969 году была основана Ассоциация аудита и контроля ИС «ISACA» (Information System Audit and Control Association), которая в настоящее время объединяет около 20 тысяч членов из более чем 100 стран. Ассоциация координирует деятельность более чем 12 тысяч аудиторов ИС. Официальный сайт: www.isaca.org.
Основная декларируемая цель ассоциации – это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами ИС.
В помощь профессиональным аудиторам, администраторам и заинтересованным пользователям ассоциацией и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт «CoBiT».
«CoBiT» (Control оbjectives for information and related technologies – Контрольные объекты информационных и смежных технологий) – это открытый стандарт, первое издание которого в 1996 году было продано в 98 странах по всему миру и облегчило работу профессиональных аудиторов в сфере информационных технологий.
Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно, на современном уровне получить представление и управлять целями и задачами, решаемыми ИС. Стандарт учитывает все особенности информационных систем любого масштаба и сложности.
Основополагающее правило, положенное в основу «CoBiT»: ресурсы ИС должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией. Версию 4.1 стандарта на украинском языке можно скачать на сайте «ISACA».
9. Безопасность связи
Безопасность связи обеспечивают следующие мероприятия:
– управление сетевой безопасностью;
– передача информации.
9.1. Управление сетевой безопасностью
Цель: Обеспечить защиту информации в сетях и поддерживающих средствах обработки информации.
Управление сетевой безопасностью определяют следующие составляющие:
– сетевые меры защиты;
–
– разделение в сетях.
Сетевые меры защиты
Меры и средства
Сети должны управляться и контролироваться для защиты информации в системах и приложениях.
Рекомендации по реализации
Следует внедрить меры защиты для обеспечения безопасности информации в сетях и защиты подключенных сервисов от несанкционированного доступа. В частности, необходимо рассмотреть следующие вопросы:
– следует установить обязанности и процедуры управления сетевым оборудованием;
– следует разделить, при необходимости, ответственность за сетевые операции и компьютерные операции;
– специальные меры защиты следует внедрить для обеспечения конфиденциальности и целостности данных, передаваемых по общедоступным сетям или беспроводным сетям, а также для поддержки подключенных систем и приложений, доступности сетевых сервисов и подключенных компьютеров;
– соответствующее протоколирование и мониторинг должны применяться для записи и определения действий, связанных или имеющих значение для ИБ;
– управляющие действия должны тщательно координироваться для оптимизации сервиса и согласованного внедрения мер защиты в инфраструктуру обработки информации;
– системы должны проходить в сети аутентификацию;
– подключения системы к сети должны ограничиваться.
Безопасность сетевых сервисов
Меры и средства
Механизмы безопасности, уровни сервиса и управленческие требования должны быть определены и включены в соответствующие соглашения.
Рекомендации по реализации
Следует определить и регулярно мониторить способность провайдера сетевого сервиса безопасно управлять согласованными сервисами, а также согласовать право на аудит.
Следует определить меры безопасности, необходимые для особых сервисов, таких как особенности безопасности, уровни сервиса и управленческие требования. Организация должна удостовериться, что провайдеры сетевого сервиса выполнили эти меры.
Сетевые сервисы включают обеспечение подключений, личные сетевые сервисы и сети платных услуг (англ. value added network, VON) и управленческие решения по сетевой безопасности, такие как сетевые экраны и системы обнаружения вторжения. Диапазон таких сервисов простирается от простого неуправляемого траффика до комплексных платных услуг.
Особенностями безопасности сетевых сервисов могут быть:
– технология безопасности сетевых сервисов, такая как аутентификация, шифрование, контроль сетевого подключения;
– технические параметры безопасного подключения к сетевым сервисам в соответствии с правилами безопасности и сетевого подключения;
– при необходимости, процедуры использования сетевого сервиса, ограничивающие доступ к сетевым сервисам и приложениям.
Разделение в сетях