Чтение онлайн

Беспроводная сеть требует специального обращения из-за сложности определения ее периметра. Для чувствительных сред весь беспроводной доступ следует рассматривать как внешние подключения и отделить этот доступ от внутренних сетей «шлюзом», который в соответствии с политикой контроля сети будет предоставлять беспроводной доступ к внутренним сетям.

Аутентификации, шифрования и современных технологий контроля пользовательского уровня сетевого доступа, стандартов беспроводной сети может быть достаточно для осуществления прямого подключения к внутренней сети

организации.

Сети часто выходят за пределы организации и как форма бизнес-сотрудничества требуют взаимосвязи и обмена устройствами сети и обработки информации. Такое распространение может повысить риск несанкционированного доступа к ИС организации, использующим сеть и требующим защиты от пользователей другой сети из-за чувствительности или критичности.

9.2. Передача информации

Цель: Поддерживать безопасность информации, передаваемой внутри организации и в любую стороннюю организацию.

Передачу информации определяют следующие составляющие:

– политика передачи информации;

– соглашения о передаче информации;

– электронный обмен информацией;

– соглашение о неразглашении.

Политики передачи информации

Меры и средства

Должны быть разработаны формальные политики, процедуры и меры безопасности для защиты передачи информации по всем типам средств связи.

Рекомендации по реализации

При использовании средств связи для передачи информации процедуры и меры безопасности должны содержать следущие элементы:

– процедуры защиты передаваемой информации от перехвата, копирования, модификации, ложной маршрутизации и разрушения:

– процедуры обнаружения вредоносного ПО, которое может передаваться при использовании электронных коммуникаций, и процедуры защиты от него;

– процедуры защиты передаваемой чувствительной электронной информации в форме прикрепленного файла;

– политику или руководящие принципы приемлемого использования средств связи;

– обязанности персонала, подрядчика или других пользователей не должны компрометировать организацию, например, дискредитация, запугивание, самозванство, пересылка письма «счастья», несанкционированная покупка и т.п.;

– использование средств криптографии, например, для защиты конфиденциальности, целостности и аутентичности информации;

– руководящие принципы сохранения и уничтожения всей бизнес-переписки, включая сообщения, в соответствии с национальным и региональным законодательством и нормативами;

– контроль и ограничения использования средств коммуникаций, например, автоматической пересылки электронной почты на внешние адреса;

– напоминание сотрудникам о принятии мер предосторожности, чтобы не раскрыть конфиденциальную информацию;

– неоставление сообщений, содержащих конфиденциальную информацию, на автоответчиках, поскольку они могут быть воспроизведены

неуполномоченными лицами, храниться в общих системах или некорректно храниться из-за попадания не туда;

– напоминание сотрудникам о проблемах использования факсимильных аппаратов или сервисов, а именно:

• несанкционированный доступ к хранилищам встроенного сообщения для получения сообщения;

• умышленное и неумышленное программирование машин для отправки сообщения на специальные номера;

• отправка документов и сообщений на неправильный номер из-за попадания не туда или неправильно записанных номеров.

В дополнение сотрудникам следует напоминать, что они не должны вести конфиденциальные разговоры в публичных местах или незащищенных офисах и местах встреч и по незащищенным каналам связи.

Передача информации может происходить с использованием разных типов средств коммуникаций, включая электронную почту, голос, факсимиле и видео.

Передача ПО может происходить с использованием разных типов носителей, включая загрузку из Интернета и покупку у разработчиков, продающих готовую продукцию.

Соглашения о передаче информации

Меры и средства

Соглашения должны обеспечить безопасную передачу бизнес-информации между организацией и сторонними организациями.

Рекомендация по реализации

Соглашения о передаче информации должны включать следующее:

– обязанности руководства по контролю и уведомлению о передаче, рассылке и получению информации;

– процедуры обеспечения отслеживаемости и неотказуемости;

– минимальные требования технических стандартов упаковки и передачи информации;

– эскроу соглашения (хранятся у третьего лица и вступают в силу только при выполнении определенного условия);

– стандарты идентификации курьера;

– обязанности и ответственности в случае инцидентов ИБ, таких как потери данных;

– использование согласованной системы маркировки чувствительной или критичной информации, обеспечивающей ее немедленное понимание и соответствующую защиту;

– технические стандарты записи и считывания информации и ПО;

– любые специальные меры защиты, требуемые для защиты чувствительных элементов, например, криптография;

– поддержка цепочки поставок транзитной информации;

– применимые уровни контроля доступа.

Следует установить и поддерживать политики, процедуры и стандарты по защите информации и физических носителей во время транзита, которые должны быть отражены в соглашениях о передаче информации.

Содержание ИБ в любом соглашении должно отражать чувствительность содержащейся бизнес-информации.

Соглашения могут быть электронными и ручными и иметь форму формальных контрактов. Специальный механизм передачи конфиденциальной информации должен быть совместимым со всеми организациями и типами соглашений.