Автор работы: Пользователь скрыл имя, 29 Марта 2012 в 00:17, курсовая работа
Предлагаемый британский стандарт подготовлен BSFD/12 (Управление Информационной безопасностью). Он предназначен для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание системы информационной безопасности внутри своих организаций. Поэтому его можно рассматривать в качестве основы для определения стандартов информационной безопасности организаций.
Предисловие
Введение
Что такое информационная безопасность?
Почему необходимо защищаться?
Сруктура документа
Все ли средства управления безопасностью применимы?
Ключевые средства контроля
Задание требований к информационной безопасности организации
Оценка рисков нарушения безопасности
Факторы, необходимые для успеха
Разработка собственных рекомендаций
Раздел 0 Общие положения
Назначение
Информативные ссылки
Термины и определения
Раздел 1 Политика безопасности
Политика информационной безопасности
Раздел 2 Организация защиты
Инфраструктура информационной безопасности
Безопасность доступа сторонних организаций
Идентификация рисков, связанных с подключениями сторонних организаций
Условия безопасности в контрактах, заключенных со сторонними организациями
Раздел 3 Классификация ресурсов и их контроль
Ответственность за ресурсы
Классификация информации
Раздел 4 Безопасность персонала
Безопасность в должностных инструкциях и при выделении ресурсов
Обучение пользователей
Реагирование на события, таящие угрозу безопасности
Раздел 5 Физическая безопасность и безопасность окружающей среды
Защищенные области
Защита оборудования
Раздел 6 Администрирование компьютерных систем и вычислительных сетей
Операционные процедуры и обазанности
Планирование систем и их приемка
Защита от вредоносного программного обеспечения
Обслуживание систем
Сетевое администрирование
Оперирование с носителями информации и их защита
Обмен данными и программами
Раздел 7 Управление доступом к системам
Производственные требования к управлению доступом к системам
Управление доступом пользователей
Обязанности пользователей
Управление доступом к сети
Управление доступом к компьютерам
Управление доступом к приложениям
Слежение за доступом к системам и их использованием
Раздел 8 Разработка и сопровождение информационных систем
Требования к безопасности систем
Безопасность в прикладных системах
Защита файлов прикладных систем
Безопасность в среде разработки и рабочей среде
Раздел 9 Планирование бесперебойной работы организации
Вопросы планирования бесперебойной работы организации
Раздел 10 Выполнение требований
Выполнение правовых требований
Проверка безопасности информационных систем
Аудит систем
а) выявление и регистрация существенных изменений;
б) оценка возможных последствий от таких изменений;
в) процедура утверждения предлагаемых изменений;
г) доведение деталей предлагаемый изменений до сведения всех лиц, которых они могут затронуть;
д) процедуры и обязанности по ликвидации неудачных изменений и восстановлению систем после их внесения.
Примечание. Процедуры управления процессом внесения изменений для разработки систем см. также Процедуры управления процессом внесения изменений.
Защита от вредоносного программного обеспечения
Цель: Обеспечить целостность данных и программ
Для предотвращения и выявления случаев внедрения вредоносного программного обеспечения, требуется принятие надлежащих мер предосторожности.
В настоящее время существует целый ряд вредоносных методов, которые позволяют использовать уязвимость компьютерных программ по отношению к их несанкционированной модификации, с такими именами, как ╚компьютерные вирусы╩, ╚сетевые черви╩, ╚Троянские кони╩ и ╚логические бомбы╩. Администраторы информационных систем должны быть всегда готовы к опасности проникновения вредоносного программного обеспечения в системы и по необходимости принимать специальные меры по предотвращению или обнаружению его внедрения. В частности крайне важно принять меры предосторожности для предотвращения и обнаружения компьютерных вирусов на персональных компьютерах.
Средства защиты от вирусов
Необходимо реализовать меры по обнаружению и предотвращению проникновения вирусов в системы и процедуры информирования пользователей об их вреде. Пользователям следует напомнить, что предотвращение вирусов лучше, чем ликвидация последствий от их проникновения. В основе защиты от вирусов должны лежать хорошие знания и понимание правил безопасности, надлежащие средства управления доступом к системам и следующие конкретные рекомендации (руководство по управлению доступом к системам приведено в Раздел 7. Управление доступом к системам):
программные средства обнаружения конкретных вирусов (которые должны регулярно обновляться и использоваться в соответствии с инструкциями поставщика) следует применять для проверки компьютеров и носителей информации на наличие известных вирусов либо как мера предосторожности, либо как повседневная процедура;
программные средства обнаружения изменений, внесенных в данные, должны быть по необходимости инсталлированы на компьютерах для выявления изменений в выполняемых программах;
программные средства нейтрализации вирусов следует использовать с осторожностью и только в тех случаях, когда характеристики вирусов полностью изучены, а последствия от их нейтрализации предсказуемы;
Примечание. Эти меры особенно важны для сетевых файловых серверов, поддерживающих большое количество рабочих станций.
Обслуживание систем
Цель: Обеспечить целостность и доступность информационных сервисов.
Меры по обслуживанию систем требуются для поддержания целостности и доступности сервисов.
Необходимо определить повседневные процедуры для снятия резервных копий с данных, регистрации событий и сбоев, а также для слежения за средой, в которой функционирует оборудование.
Резервное копирование данных
Резервные копии с критически важных производственных данных и программ должны сниматься регулярно. Для обеспечения возможности восстановления всех критически важных производственных данных и программ после выхода из строя компьютера или отказа носителя информации, необходимо иметь надлежащие средства резервного копирования. Процедуры резервного копирования для отдельных систем должны удовлетворять требованиям планов обеспечения бесперебойной работы организации (см. Вопросы планирования бесперебойной работы организации).
Предлагаются следующие рекомендации:
Владельцы данных должны задать период сохранности критически важных производственных данных, а также требования к постоянному хранению архивных копий (см. Защита документации организации).
Журналы регистрации событий
Операторы компьютеров должны вести журнал регистрации всех выполняемых заданий. Этот журнал должен по необходимости включать:
время запуска и останова систем;
подтверждение корректного оперирования с файлами данных и выходной информацией от компьютеров.
подтверждение корректного оперирования с файлами данных и выходной информацией от компьютеров.
Журналы регистрации событий должны регулярно сверяться с операционными процедурами.
Регистрация сбоев
Необходимо извещать о сбоях в работе систем и предпринимать соответствующие корректирующие меры. Зафиксированные пользователями сбои, касающиеся проблем с компьютерными и коммуникационными системами, следует заносить в журнал регистрации. Должны существовать четкие правила обработки зарегистрированных сбоев, включая следующие:
а) анализ журнала регистрации сбоев для обеспечения их удовлетворительного разрешения;
б) анализ корректирующих мер, цель которого состоит в проверке того, не скомпрометированы ли средства управления безопасностью и является ли предпринятая мера санкционированной.
Слежение за окружающей средой
Для определения условий, которые могут неблагоприятно сказаться на работе компьютерного оборудования и для принятия корректирующих мер, необходимо постоянно следить за окружающей средой, в том числе за влажностью, температурой и качеством источников электропитания. Такие процедуры следует реализовывать в соответствии с рекомендациями поставщиков.
Примечание. Слежение за окружающей средой является менее критичным для современных компьютеров, многие из которых способны работать при нормальной температуре и влажности в рабочих помещениях.
Сетевое администрирование
Цель: Обеспечить защиту информации, циркулирующей в сетях, и поддерживающей инфраструктуры.
Управление безопасностью компьютерных сетей, отдельные сегменты которых могут находиться за пределами организации, требует особого внимания.
Возможно также потребуется принятие специальных мер для защиты конфиденциальных данных, передаваемых по общедоступным сетям.
Средства управления безопасностью сетей
Компьютерные сети требуют целый ряд средств управления безопасностью. Сетевые администраторы должны определить надлежащие средства контроля для обеспечения защиты данных, циркулирующих в сетях, и подключенных к ним систем, от несанкционированного доступа. В частности, необходимо рассмотреть следующие пункты:
а) Обязанности по обеспечению работы сетей и компьютеров должны быть по необходимости разделены (см. Разделение обязанностей).
б) Необходимо определить обязанности и процедуры по управлению удаленным оборудованием, в том числе оборудованием на рабочих местах пользователей;
в) Для обеспечения конфиденциальности и целостности данных, передаваемых по общедоступным сетям, и для защиты подключенных к ним систем (см. Управление доступом к сети, Шифрование данных и Аутентификация сообщений), требуется определение специальных средств контроля.
г) Необходимо координировать работы по администрированию компьютеров и сетей как для оптимизации сервиса для производственных нужд, так и для обеспечения согласованной реализации защитных мер для всех информационных сервисов.
Оперирование с носителями информации и их защита
Цель: Предотвратить повреждение информационных ресурсов и перебои в работе организации.
Необходимо контролировать компьютерные носители данных и обеспечить их физическую защиту.
Следует определить надлежащие операционные процедуры для защиты компьютерных носителей информации (магнитные ленты, диски, кассеты), входных/выходных данных и системной документации от повреждения, похищения и несанкционированного доступа.
Управление съемными компьютерными носителями информации
Для управления такими съемными носителями информации, как магнитные ленты, диски, кассеты и распечатки, необходимо иметь соответствующие процедуры. Предлагаются следующие средства контроля в рабочей среде:
а)
Применение системы хранения данных, в которой запрещается использовать описательные метки, т.е. по меткам нельзя определить, какие данные хранятся на запоминающем устройстве.
Стирание предыдущего содержимого повторно используемых носителей информации, которые подлежат удалению из организации, если они больше не нужны.
Получение письменной санкции на удаление всех носителей информации из организации и регистрация всех случаев их удаления в контрольном журнале (см. Защита носителей информации во время транспортировки).
Хранение всех носителей информации в надежной, защищенной среде в соответствии с инструкциями производителей.
Все процедуры и уровни полномочий должны быть четко задокументированы.
Процедуры оперирования c данными
Чтобы защитить конфиденциальные данные от несанкционированного раскрытия или использования, необходимо определить процедуры оперирования с такими данными. Должны быть подготовлены процедуры для безопасного оперирования со всеми носителями входных и выходных конфиденциальных данных, например, документов, телексов, магнитных лент, дисков, отчетов, незаполненных чеков, счетов и др. Предлагается рассмотреть следующие пункты:
а) оперирование с носителями входной и выходной информации и их маркировка;
б) формальная регистрация получателей данных, имеющих соответствующие полномочия;
в) обеспечение полноты входных данных;
г) подтверждение получения переданных данных (по необходимости);
д) предоставление доступа к данных минимальному числу лиц;
е) четкая маркировка всех копий данных для получателя, имеющего соответствующие полномочия;
ж) проверка списков получателей с правом доступа к данным через регулярные промежутки времени.
Примечание. См. также Классификация информации и Защита носителей информации во время транспортировки.
Защита системной документации
Системная документация может содержать конфиденциальную информацию, например, описание прикладных процессов, процедур, структуры данных и процессов подтверждения полномочий. Для защиты системной документации от несанкционированного доступа, необходимо применять следующие средства контроля:
а) Системная документация должна храниться в надежных шкафах под замком.
б) Список лиц с правом доступа к системной документации должен быть максимально ограничен, а разрешение на ее использование должно выдаваться владельцем приложения.
в) Документацию, создаваемую компьютерами, следует хранить отдельно от других файлов приложений, и ей следует присвоить надлежащий уровень защиты доступа.
Удаление носителей данных
Для удаления компьютерных носителей информации, которые больше не нужны, требуются надежные и проверенные процедуры. Конфиденциальная информация может просочиться за пределы организации и попасть в руки лиц, не имеющих соответствующих прав, вследствие небрежного удаления компьютерных носителей данных. Для сведения такого риска к минимуму следует определить четкие процедуры надежного удаления носителей информации. Предлагаются следующие рекомендации:
Носители данных, содержащих конфиденциальную информацию, необходимо надежно удалять, например, посредством их сжигания или измельчения (дробления), или освобождены от данных для использования другими приложениями внутри организации.
Для идентификации носителей данных, которые могут потребовать надежного удаления, предлагается использовать следующий контрольный список:
входная документация, например, телексы;
копировальная бумага;
выходные отчеты;
одноразовые ленты для принтеров;
магнитные ленты;
съемные диски или кассеты;
распечатки программ;
тестовые данные;
системная документация.
Примечание. В некоторых средах возможно будет проще собрать все носители данных и надежно их удалить, чем пытаться выделить из них носители, на которых записана конфиденциальная информация.