5) существуют процедуры аудита безопасности системы.
5.4.2 Стандарты
ДТС следует обращаться к стандартам в том случае, если они являются важными и применимыми. Стандарты и правила могут быть международными, национальными, региональными, отраслевыми или ведомственными. Их выбор и использование определяются условиями, которые предъявляет организация-издатель стандарта. К числу преимуществ применения стандартов относятся возможность межсетевого взаимодействия, единство правил безопасности, слаженность и переносимость. Если различные организации разрабатывают и используют системы/продукты, основанные на собственных стандартах, возможно появление кратковременных проблем с согласованием различных подходов. Стандарты должны проходить двухуровневую экспертизу: применительно к конкретной технологии и её использованию, и применительно к совместимости разных технологий.
5.4.3 Инструкции и процедуры
Инструкции и процедуры являются обязательными элементами политики безопасности. Они включают правила и регламенты, определённые организацией, и управляющие процедуры, необходимые организации для предоставления услуг пользователям.
5.4.4 Управление рисками
Чтобы обеспечить необходимый уровень безопасности информационной системы, ДТС должна разработать методики управления рисками. Процесс управления рисками безопасности информационной системы ДТС должен основываться на доскональном анализе рисков или на сочетании нескольких подходов. Необходима всесторонняя оценка всех данных для определения их ценности и соответствующего уровня защиты, необходимого для сохранения их конфиденциальности, целостности и доступности. Угрозы, риски и меры защиты подлежат периодическому пересмотру. На основании результатов анализа рисков производится выбор, проверка и применение мер защиты.
5.4.5 Выбор мер защиты
ДТС может быть объектом большого количества угроз, случайных или предумышленных. Необходимо обеспечить защиту ДТС от таких угроз с помощью мер безопасности, которые уменьшают уязвимость системы, способствуя более быстрому устранению либо смягчению последствий происшествий.
Защитные мероприятия и процедуры должны строиться с учётом всех важнейших организационных, технических, управленческих, ведомственных, человеческих и правовых факторов. Их необходимо включить в общие мероприятия и процедуры либо координировать с ними.
Уровень, оценка, затраты, меры и процедуры защиты должны соответствовать серьёзности угроз, потенциальным рискам и предоставляемому объёму гарантий.
5.4.5.1 Физические и экологические мероприятия
Для защиты системной инфраструктуры, ресурсов самой системы и вспомогательного оборудования необходима разработка и внедрение инструментов обеспечения физической и экологической безопасности. Принятая в организации программа физической и экологической безопасности должна быть направлена на контроль физического доступа, меры противопожарной безопасности, коммунальные системы (электросети, водопровод, системы кондиционирования), защиту от воровства и прослушивания сети.
Исполнительные органы государственной власти Томской области (ИОГВ ТО) или ответственные подразделения ИОГВ ТО должны периодически проводить планирование, охватывающее данные аспекты, с целью обеспечить функционирование важнейших функций в случае чрезвычайных происшествий или стихийных бедствий. Планирование должно включать управленческие механизмы, дающие возможность эффективной и своевременной реакции на нарушения общего хода деятельности.
5.4.5.2 Организационные и кадровые мероприятия
Исполнительные органы государственной власти Томской области (ИОГВ ТО) или ответственные подразделения ИОГВ ТО должны выработать политику безопасности, которая содержит правила, инструкции и регламенты, описывающие процесс управления, защиты и распределения основных средств организации. Необходимо идентифицировать и документировать все важнейшие функции, а также назначить сотрудников, отвечающих за выполнение данных функций.
Руководители всех уровней должны взять на себя ответственность за выполнение требований информационной безопасности. Они должны быть готовы выяснять требования безопасности и выделять ресурсы на выполнение этих требований.
Исполнительные органы государственной власти Томской области (ИОГВ ТО) или ответственные подразделения ИОГВ ТО должны разработать должностные инструкции с учётом принципов разделения обязанностей и наименьшего уровня привилегий. В инструкциях необходимо предусмотреть: определение важности каждой позиции с точки зрения служебных обязанностей и уровня доступа, проверку благонадёжности сотрудников, обучение и осведомлённость. Передача и разграничение обязанностей персонала должны обеспечивать полное и эффективное выполнение важнейших задач.
Для сохранения безопасности системы организация должна обеспечить эффективное управление доступом пользователей к компьютерам, включая управление учётными записями пользователей, аудит, а также своевременное изменение или лишение прав доступа.
5.4.5.3 Мероприятия в сфере информационных технологий
ДТС, предоставляющая услуги в области безопасности, в огромной степени зависит от информационных систем. Поэтому обеспечение правильного и безопасного их функционирования требует специальных мер защиты. Данные меры могут быть разделены на технические, коммуникационные и сетевые. Выбор мер защиты может производиться на основании тщательной оценки, с учётом интересов или угроз безопасности либо типа информационной системы.
1) Меры, выбираемые с учётом интересов или угроз безопасности, включают мероприятия по поддержке конфиденциальности, целостности, доступности и подотчётности:
Конфиденциальность – Безопасность службы ДТС может зависеть от повсеместно (в масштабах системы) используемого ключа, например, ключей сертификации. Защита таких ключей может быть реализована на физическом уровне с помощью надёжных аппаратных компонентов, и на логическом уровне — с помощью схем разделения секрета.
Целостность – Важная информация, которой обмениваются между собой пользователь и ДТС в разных режимах, должна быть защищена от изменения, прерывания и блокирования.
Доступность – ДТС должна реализовать механизм, гарантирующий пользователям доступ к сервисам ДТС в любое желаемое время. Недоступность сервиса (отказ в обслуживании) может иметь крайне негативные последствия для деятельности доверенной третьей стороны. ДТС следует обратить внимание на механизмы защиты от перегрузки каналов, проблем с маршрутизацией и нарушения работы служб.
Подотчётность – Необходимо обеспечить ответственность и подотчётность всех действий ДТС и её пользователей путём внедрения механизмов фиксации и передачи ответственному лицу информации о каждом событии или действия. Подотчётность может быть реализована посредством анализа журналов аудита либо регулярного аудита системы. Необходимо вести журналы аудита с фиксацией всех действий, процессов, транзакций и т. д. Эффективность предоставляемых третьей стороной сервисов непосредственно зависит от владения ценными данными и выполнения соответствующих обязательств по их защите, в том числе и аудита.
2) В зависимости от типа информационной системы выбираются меры защиты при контроле доступа:
Контроль доступа – Назначение мер защиты при контроле доступа состоит в предотвращении несанкционированного использования сервисов ДТС. Возможна разработка соответствующих механизмов в следующих областях:
– идентификация и аутентификация;
– физический контроль доступа;
– логический контроль доступа;
– криптография;
– управление привилегиями.
5.4.6 Практические аспекты информационной безопасности
5.4.6.1 Обучение и осведомлённость
Персонал организации ДТС должен быть надлежащим образом осведомлён в вопросах информационной безопасности, обучен и образован, чтобы обладать знаниями и получать уведомления о существовании и общем объёме мероприятий, действий и процедур в сфере безопасности информационных систем. Управление осведомлённостью персонала должны принимать и в неё быть вовлечены сотрудники всех уровней. Понимание необходимости безопасности критически важно для руководителей, т. к. способствует повышению уровня осведомлённости персонала в этих вопросах. Основная цель программы управления осведомлённостью — убедить сотрудников в том, что функционирование информационных систем связано с существенными рисками, и что потеря информации, несанкционированное изменение или раскрытие чреваты тяжёлыми последствиями для организации и её персонала.
5.4.6.2 Гарантии и надёжность
Гарантии безопасности, даваемые ДТС, должны быть следствием:
1) выбора механизмов, соответствующих предоставляемым сервисам и Политике безопасности;
2) надлежащего применения данных механизмов с учётом аспектов физической и экологической безопасности, а также сохранения непрерывности функционирования;
3) управления этими механизмами согласно соответствующим процедурам, особенно по отношению к менеджменту персонала, классификации данных, авторизации, урегулировании происшествий.
В процессе предоставления услуг ДТС должна использовать исключительно надёжные системы. Надёжность системы может быть подтверждена официальной экспертизой.
Надёжность ДТС обеспечивается управлением в соответствии со спецификациями.
5.4.7 Операционные аспекты информационной безопасности
5.4.7.1 Аудит
Целью аудита безопасности является проверка эффективности реализации политик безопасности, а также способности политик достичь поставленных целей. Аудит безопасности основывается на анализе существующей документации совместно с проверкой действующих механизмов защиты и контроля безопасности. Тем самым, ДТС должна обладать актуальной, правильной и адекватной документацией.
Обследование или аудит могут проводиться их собственными внутренними группами аудита либо независимыми аудиторами со стороны. Аудит может быть инициирован самой ДТС с целью проверки собственной системы безопасности, оценки рисков или доказательства собственной благонадёжности перед объектами системы. Аудиторская проверка может быть проведена в результате различных обстоятельств: периодически (например, ежегодно), по запросу, после существенных изменений либо в результате происшествия. Аудит может затрагивать операционные аспекты ДТС, в частности:
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 |
