Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
– требования специальной или дополнительной|аддиционной| обработки следует определить|опознать| и согласовать|согласиться|;
– аудиторские тесты, которые могут повлиять на возможности системы|готовность|, нужно проводить|запустить| в нерабочее время;
– все факты доступа|подход, припадок, прирост, приступ, проход| нужно контролировать и протоколировать, чтобы остался документальный след|хвост|.
От автора
В 1969 году была основана Ассоциация аудита и контроля ИС «ISACA» (Information System Audit and Control Association), которая в настоящее время объединяет около 20 тысяч
Основная декларируемая цель ассоциации – это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами ИС.
В помощь профессиональным аудиторам, администраторам и заинтересованным пользователям ассоциацией и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт «CoBiT».
«CoBiT» (Control оbjectives for information and related technologies – Контрольные объекты информационных и смежных технологий) – это открытый стандарт, первое издание которого в 1996 году было продано в 98 странах по всему миру и облегчило работу профессиональных аудиторов в сфере информационных технологий.
Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно, на современном уровне получить представление и управлять целями и задачами, решаемыми ИС. Стандарт учитывает все особенности информационных систем любого масштаба и сложности.
Основополагающее правило, положенное в основу «CoBiT»: ресурсы ИС должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией. Версию 4.1 стандарта на украинском языке можно скачать на сайте «ISACA».
9. Безопасность связи
Безопасность связи обеспечивают следующие мероприятия:
– управление сетевой безопасностью;
– передача информации.
9.1. Управление сетевой безопасностью
Цель: Обеспечить защиту информации в сетях и поддерживающих средствах обработки информации.
Управление сетевой безопасностью определяют следующие составляющие:
– сетевые меры защиты;
– безопасность сетевых сервисов;
– разделение в сетях.
Сетевые меры защиты
Меры и средства
Сети должны управляться и контролироваться для защиты информации в системах и приложениях.
Рекомендации по реализации
Следует внедрить меры защиты для обеспечения безопасности информации в сетях и защиты подключенных сервисов от несанкционированного доступа. В частности, необходимо рассмотреть следующие вопросы:
– следует установить обязанности и процедуры управления сетевым оборудованием;
– следует разделить, при необходимости, ответственность за сетевые операции и компьютерные операции;
– специальные меры защиты следует внедрить для обеспечения конфиденциальности и целостности данных, передаваемых по общедоступным сетям или беспроводным сетям, а также для поддержки подключенных систем и приложений, доступности сетевых сервисов и подключенных
компьютеров;– соответствующее протоколирование и мониторинг должны применяться для записи и определения действий, связанных или имеющих значение для ИБ;
– управляющие действия должны тщательно координироваться для оптимизации сервиса и согласованного внедрения мер защиты в инфраструктуру обработки информации;
– системы должны проходить в сети аутентификацию;
– подключения системы к сети должны ограничиваться.
Безопасность сетевых сервисов
Меры и средства
Механизмы безопасности, уровни сервиса и управленческие требования должны быть определены и включены в соответствующие соглашения.
Рекомендации по реализации
Следует определить и регулярно мониторить способность провайдера сетевого сервиса безопасно управлять согласованными сервисами, а также согласовать право на аудит.
Следует определить меры безопасности, необходимые для особых сервисов, таких как особенности безопасности, уровни сервиса и управленческие требования. Организация должна удостовериться, что провайдеры сетевого сервиса выполнили эти меры.
Сетевые сервисы включают обеспечение подключений, личные сетевые сервисы и сети платных услуг (англ. value added network, VON) и управленческие решения по сетевой безопасности, такие как сетевые экраны и системы обнаружения вторжения. Диапазон таких сервисов простирается от простого неуправляемого траффика до комплексных платных услуг.
Особенностями безопасности сетевых сервисов могут быть:
– технология безопасности сетевых сервисов, такая как аутентификация, шифрование, контроль сетевого подключения;
– технические параметры безопасного подключения к сетевым сервисам в соответствии с правилами безопасности и сетевого подключения;
– при необходимости, процедуры использования сетевого сервиса, ограничивающие доступ к сетевым сервисам и приложениям.
Разделение в сетях
Меры и средства
Группы информационных услуг, пользователей и ИС должны быть разделены в сетях.
Рекомендации по реализации
Одним из методов управления безопасностью больших сетей является их разделение на разные сетевые домены. Домены выбираются на базе доверенных уровней (например, домен публичного доступа, домен рабочего стола, домен сервера), среди объектов организации (например, кадры, финансы, маркетинг) и каких-то комбинаций (например, домен сервера, подключающийся к многим объектам организации). Для разделения также можно использовать разные физические сети и разные логические сети (например, виртуальные частные сети – англ. Virtual Private Network, VPN).
Периметр каждого домена следует хорошо определить. Доступ между сетевыми доменами допускается при условии наличия контроля периметра в виде «шлюза» (например, сетевой экран, фильтрующий маршрутизатор). Критерий разделение сетей внутри доменов и доступа через «шлюзы» должен базироваться на оценке требований безопасности каждого домена. Оценка должна проводиться в соответствии с правилами разграничения доступа, требованиями доступа, ценностью и классификацией информации и учитывать относительную стоимость и влияние на производительность применяемой технологии «шлюза».