С целью предотвращения неавторизованного доступа, повреждения и воздействия в отношении помещений и информации организации средства обработки критичной или конфиденциальной информации должны находиться на территории, защищенной созданным периметром безопасности.
Периметр безопасности - это нечто, создающее барьер для прохода людей. В состав такого периметра могут входить стены и контрольно - пропускные пункты. Расположение и степень защиты каждого такого барьера должны зависеть от результатов оценки рисков.
Вход на защищенную территорию должен быть должным образом ограничен.
Для этого, рекомендуется рассмотреть следующие меры:
· Специальные разрешения на вход и выход с территории
· Контроль доступа к конфиденциальной информации и средствам обработки такой информации
· Идентификационные знаки для сотрудников.
· Регулярное обновление права доступа к защищенным территориям.
При установке и защите оборудования необходимо снизить риск, связанный со стихийными бедствиями, и сократить вероятность доступа посторонних.
Для этого, рекомендуется применять следующие меры:
· Оборудование должно быть размещено так, чтобы максимально ограничить необязательный доступ к рабочим областям и уменьшить возможность подглядывания.
· Необходимо принять меры для минимизации риска возникновения различных потенциальных угроз, например: кража; пожар; взрывы; помехи в сети электропитания; электромагнитное излучение.
· Политика организации должна включать правила, касающиеся употребления пищи и напитков и курения рядом со средствами обработки информации.
Кроме этого, необходимо правильно выполнять все процедуры профилактического обслуживания оборудования, чтобы гарантировать его доступность и целостность в течение длительного срока.
Информацию и средства обработки информации необходимо защищать от раскрытия, кражи или модификации неавторизованными лицами. Для этого необходимо ввести меры, обеспечивающие сведение к минимуму риска их потери или повреждения
Организациям следует применять политику "чистого стола" в отношении бумажных документов и сменных носителей данных, а также политику "чистого экрана" в отношении средств обработки информации с тем, чтобы уменьшить риски неавторизованного доступа, потери и повреждения информации как во время рабочего дня, так и при внеурочной работе.
Оборудование, информация и программное обеспечение не должны вывозиться за пределы организации без разрешения. С целью выявления неавторизованных перемещений активов следует проводить выборочную инвентаризацию. Сотрудники должны быть осведомлены о том, что подобные проверки могут иметь место.
8 Управление передачей данных и операционной деятельностью
С целью обеспечения уверенности в надлежащем и безопасном функционировании средств обработки информации, необходимо определить правила и обязанности, связанные с использованием и управлением всех средств обработки информации.
Правила работы должны считаться официальными документами, изменить которые можно только с санкции руководства.
Описание правил должны содержать подробные инструкции по выполнению каждой задачи, включая:
· обработку информации и обращение с ней;
· требования к графику работы;
· необходимые действия в случае ошибок и других чрезвычайных ситуаций, которые могут возникнуть во время работы
· координаты сотрудников, к которым следует обращаться при возникновении непредвиденных затруднений в работе и проблем с оборудованием;
· инструкции по перезапуску и возобновлению работы системы в случае ее отказа.
Для минимизации риска при неправильном использовании систем вследствие небрежности или злого умысла, по возможности, необходимо реализовывать принцип разделения полномочий.
Для этого необходимо разделить среды разработки, тестирования и промышленной эксплуатации, а также разделить роли и функции сотрудников.
Рекомендуется рассмотреть следующие меры:
· По возможности средства разработки и программы, используемые в основной работе организации, должны работать на отдельных компьютерных процессорах или в разных каталогах.
· Действия, связанные с разработкой и тестированием, должны быть как можно больше отделены друг от друга.
· Для рабочих и тестовых систем необходимо использовать различные процедуры входа в систему, чтобы уменьшить вероятность ошибки. Пользователям рекомендуется выбирать для этих систем разных пароли и т.д.
В настоящее время для обмена деловой информацией широко используется электронная почта. Несмотря на ее преимущество, существует ряд рисков, которые организация должна учитывать при использовании электронной почты.
Риски включают в себя:
· уязвимость сообщений для несанкционированного доступа, модификации и атак;
· уязвимость к ошибкам (таким как неправильный ввод адреса или неправильная пересылка), а также уровень надежности и доступности самой службы в целом;
· юридические вопросы, например, потенциальная необходимость удостоверения отправителя, адресата, отправки и получения и т.д..
С целью снижения подобных рисков, в организации необходимо принять четкую политику, касающуюся использования электронной почты.
Данная политика должна охватывать следующие вопросы:
· атаки, связанные с электронной почтой, например, вирусы и перехват сообщений;
· защита файлов, передаваемых с помощью электронной почты;
· правила, касающиеся случаев, когда использовать электронную почту не следует;
· ответственность сотрудников за то, чтобы не компрометировать компанию (например, путем рассылки дискредитирующих или оскорбительных электронных сообщений);
· применение криптографических средств для защиты конфиденциальности и целостности электронных сообщений;
· сохранение сообщений, которые, будучи сохранены, могут быть восстановлены в случае возникновения судебного иска.
Кроме этого, следует уделять внимание защите целостности информации, опубликованной электронным способом, чтобы предотвратить неавторизованную модификацию, которая могла бы навредить репутации организации, поместившей эту информацию.
Программное обеспечение, данные и другую информацию, требующую высокого уровня целостности, доступ к которой осуществляется через системы публичного доступа, необходимо защищать адекватными способами, например, посредством цифровой подписи.
Кроме этого, в организации необходимо предусмотреть наличие процедур и мероприятий по управлению информационной безопасностью с целью защиты процесса обмена информацией посредством речевых и видеосредств коммуникаций.
Среди них можно выделить:
а) напоминание сотрудникам о необходимости принятия соответствующих мер предосторожности, например, для исключения подслушивания или перехвата информации при использовании телефонной связи
б) напоминание сотрудникам о том, что не следует вести конфиденциальные беседы в общественных местах, открытых офисах и в переговорных комнатах с тонкими стенами;
в) не оставлять сообщений на автоответчиках операторов связи, поскольку эти сообщения могут быть воспроизведены неавторизованными лицами и т.д.
Контроль доступа
Доступ к информации и бизнес-процессам должен быть контролируемым с учетом требований бизнеса и безопасности.
Необходимо разработать официальные правила распределения прав доступа к информационным системам и сервисам.
Эти правила должны охватывать все этапы цикла пользовательского доступа, от первоначальной регистрации новых пользователей до окончательного удаления регистрационных данных тех пользователей, которым больше не требуется доступ к информационным системам и сервисам.
Политика контроля доступа в совместно используемых сетях, в особенности в тех сетях, которые выходят за пределы организации, может требовать реализации средств ограничения возможностей подключения для пользователей. Вводимые ограничения должны быть основаны на политике доступа и на потребностях организации. Эти ограничения необходимо поддерживать и своевременно обновлять.
Вот примеры областей, для которых необходимо ввести ограничения:
· электронная почта;
· передача файлов;
· интерактивный доступ;
· сетевой доступ.
Для ограничения доступа к ресурсам компьютеров следует использовать средства защиты на уровне операционной системы.
Система должна поддерживать следующие средства:
· идентификация и проверка каждого авторизованного пользователя (при необходимости сюда может входить проверка терминала или местонахождения пользователя);
· запись сведений об успешных и неудачных попытках доступа к системе;
· поддержка паролей. При использовании паролей система должна гарантировать их надежность;
· при необходимости – ограничение времени подключения пользователей.