litbaza книги онлайнРазная литератураУправление информационной безопасностью. Стандарты СУИБ - Вадим Викторович Гребенников

Шрифт:

-
+

Интервал:

-
+

Закладка:

Сделать
1 ... 11 12 13 14 15 16 17 18 19 ... 54
Перейти на страницу:
в местах повышенного риска, таких как публичные или удаленные регионы, вне зоны управления безопасностью организации или на мобильных устройствах;

— ограничивать время соединения для обеспечения дополнительной безопасности для прикладных программ повышенного риска и уменьшения временных возможностей неавторизованного пользователя.

Пароль является обычным средством идентификации и аутентификации, основанным на тайне, известной только пользователю. То же самое может также достигаться средствами криптографии и протоколами аутентификации. Стойкость аутентификации пользователя должна соответствовать классификации информации, к которой осуществляется доступ.

Если пароли передаются открытым текстом в течение сеанса входа по сети, они могут быть перехвачены сетевой «sniffer» — программой (анализатором трафика).

Система управление паролями

Меры и средства

Системы управления паролями должны быть интерактивными и обеспечивать качество паролей.

Рекомендации по реализации

Система управления паролями должна:

— предписывать использование индивидуальных идентификаторов пользователя и паролей для установления ответственности;

— разрешать пользователям выбор и смену своих паролей и включать процедуру подтверждения ошибок ввода;

— предписывать использование качественных паролей;

— заставлять пользователей менять временные пароли при первом начале сеанса;

— предписывать регулярную смену паролей и по необходимости;

— вести учет ранее использованных паролей и предотвращать их повторное использование;

— не отображать пароли на экране при их вводе;

— хранить файлы паролей отдельно от прикладных системных данных;

— хранить и передавать пароли в защищенной форме.

Ограничение доступа к информации

Меры и средства

Доступ к информации и прикладным функциям системы должен ограничиваться в соответствии с правилами разграничения доступа.

Рекомендации по реализации

Ограничения доступа должно базироваться на индивидуальных требованиях бизнес-приложений в соответствии с определенными правилами разграничения доступа.

Для обеспечения ограничения доступа необходимо рассмотреть следующее:

— создание пунктов меню управления доступом к прикладным функциям системы;

— контроль, к каким данным может получить доступ конкретный пользователь;

— контроль прав доступа пользователей, например, чтение, запись, удаление, изменение;

— контроль прав доступа других прикладных программ;

— ограничение информации, содержащейся в выходных данных;

— внедрение мер защиты физического или логического доступа для изоляции чувствительных прикладных программ, прикладных данных или систем.

Использование системного программного обеспечения

Меры и средства

Использование системного программного обеспечения (далее — ПО), способного обойти меры защиты системы и приложения, должно быть ограничено и строго контролироваться.

Рекомендации по реализации

Необходимо рассмотреть следующие рекомендации:

— использование процедур идентификации, аутентификации и авторизации для системного ПО;

— отделение системного ПО от прикладного;

— ограничение использования системного ПО минимальным числом доверенных авторизованных пользователей;

— авторизация на специальное использование системного ПО;

— ограничение доступности системного ПО, например, на время внесения санкционированных изменений;

— регистрация всех использований системного ПО;

— определение и документирование уровней полномочий в отношении системного ПО;

— удаление или блокирование ненужного системного ПО;

— запрет доступа к системному ПО для пользователей, имеющих доступ к приложениям в системах, где требуется разделение обязанностей.

Контроль доступа к исходному коду программы

Меры и средства

Доступ к исходному коду программы должен быть ограничен.

Рекомендации по реализации

Доступ к исходному коду программы и связанным с ним элементам (таким как оформление, рекомендации, планы проверки и планы утверждения) должны четко контролироваться для предотвращения появления несанкционированной функциональности и избежания неумышленных изменений, а также для конфиденциальности интеллектуальной собственности. Это можно достигнуть путем контролируемого централизованного хранения исходного кода программы, желательно в библиотеках исходного кода программ.

Чтобы снизить возможность искажения компьютерных программ, необходимо рассмотреть следующие рекомендации:

— по возможности, следует избегать хранения библиотек исходного кода программ в операционных системах;

— управление исходным кодом программы и его библиотеками следует осуществлять в соответствии с установленными процедурами;

— персонал поддержки не должен иметь неограниченный доступ к библиотекам исходного кода программ;

— обновление библиотек исходного кода программ и связанных с ним элементов, а также предоставление исходного кода программистам должны осуществляться только после получения ими соответствующих полномочий;

— распечатки (листинги) программ следует хранить в безопасной среде;

— в журнале аудита должны фиксироваться все обращения к библиотекам исходного кода программ;

— поддержку и копирование библиотек исходного кода программ следует осуществлять в соответствии с четкими процедурами контроля изменений.

Если исходный код программы необходимо опубликовать, должны быть приняты дополнительные меры защиты его целостности (например, цифровая подпись).

6. Криптография

6.1. Средства криптографии

Цель: Обеспечить корректное и эффективное использование криптографии для защиты конфиденциальности, достоверности и/или целостности информации.

Управление средствами криптографии определяют следующие составляющие:

— политика использования средств криптографии;

— управление ключами.

Политика использования средств криптографии

Меры и средства

Политика использования средств криптографии для защиты информации должна быть разработана и внедрена.

Рекомендации по реализации

При разработке политики криптографии необходимо учитывать следующее:

— позицию руководства по использованию средств криптографии во всей организации, включая общие принципы защиты бизнес-информации;

— основанный на оценке риска требуемый уровень защиты, который должен быть определен с учетом типа, стойкости и качества требуемого криптоалгоритма;

— использование шифрования для защиты нформации, передаваемой с помощью мобильных устройств или сменных носителей или по линиям связи;

— подход к управлению ключами, включающему методы по защите криптоключей и восстановлению зашифрованной информации в случае потери, компрометации или повреждения ключей;

— роли и ответственности, например, кто отвечает за:

• внедрение политики;

• управление ключами, включая генерацию ключей;

— стандарты, которые должны быть приняты для эффективной реализации во всей организации (какое решение используется для каких бизнес-процессов);

— влияние использования зашифрованной информации на меры защиты, предназначенные для проверки содержимого (например, обнаружения вирусов).

При внедрении политики криптографии должны быть учтены правила и национальные ограничения, применяемые к использованию средств криптографии в разных частях мира и перемещению через границы зашифрованной информации.

Средства криптографии могут использоваться для достижения разных целей ИБ, например:

— конфиденциальности — шифрованием чувствительной или критичной информации как хранимой, так и передаваемой;

— целостности / достоверности — использованием цифровых подписей или кодов аутентификации сообщений для проверки целостности или аутентичности хранимой или передаваемой чувствительной или критичной информации;

— неотказуемости — использованием методов криптографии для получения подтверждения того, что событие или действие имело место;

— аутентификации — использованием методов криптографии для удостоверения пользователей и других системных объектов, запрашивающих доступ к системным пользователям, объектам и ресурсам или работающих с ними.

Выбор надлежащих средств криптографии должен рассматриваться как часть обширного процесса оценки риска и выбора мер защиты. Эта оценка может быть использована для определения соответствия средства криптографии, какой тип защиты надо применить и для какой цели и бизнес-процесса.

Политика использования средств криптографии необходима для обеспечения максимума преимуществ и минимума рисков от их использования, а также для предотвращения неправильного использования.

Управление ключами

Меры и средства

Политика использования, защиты и срока действия криптоключей должна быть разработана и внедрена на протяжении всего их жизненного цикла.

Рекомендации по реализации

Политика должна содержать требования по управлению криптоключами на протяжении всего их жизненного цикла, включая генерацию, хранение, архивирование, получение, распределение, изъятие и уничтожение ключей.

Криптоалгоритмы, длины ключа и правила использования должны выбираться,

1 ... 11 12 13 14 15 16 17 18 19 ... 54
Перейти на страницу:

Комментарии
Минимальная длина комментария - 20 знаков. Уважайте себя и других!
Комментариев еще нет. Хотите быть первым?