Стандарт BS 7799-1

Первая часть стандарта, по-русски именуемая «Информационная технология. Практический кодекс по менеджменту информационной безопасности», содержит систематический, весьма полный, универсальный перечень регуляторов безопасности, полезный для организации практиче­ски любого размера, структуры и сферы деятельности. Она предназначена для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание внутренней системы информационной безопасности.

Согласно стандарту, цель информационной безопасности - обеспе­чить бесперебойную работу организации, по возможности предотвратить и/или минимизировать ущерб от нарушений безопасности.

Управление информационной безопасностью позволяет коллективно использовать данные, одновременно обеспечивая их защиту и защиту вы­числительных ресурсов.

Подчеркивается, что защитные меры оказываются значительно более дешевыми и эффективными, если они заложены в информационные сис­темы и сервисы на стадиях задания требований и проектирования.

Следующие факторы выделены в качестве определяющих для ус­пешной реализации системы информационной безопасности в организации:

• цели безопасности и ее обеспечение должны основываться на производственных задачах и требованиях. Функции управления безопасностью должно взять на себя руководство организации;

• необходима явная поддержка и приверженность к соблюдению режима безопасности со стороны высшего руководства;

• требуется хорошее понимание рисков (как угроз, так и уязвимо-стей), которым подвергаются активы организации, и адекватное представление о ценности этих активов;

• необходимо ознакомление с системой безопасности всех руково­дителей и рядовых сотрудников организации.

Во второй части стандарта BS 7799-2:2002 «Управление инфор­мационной безопасностью. Практические правила» предметом рассмотре­ния, как следует из названия, является система управления информацион­ной безопасностью.

Под системой управления информационной безопасностью (СУИБ) (Information Security Management System, ISMS) понимается часть общей системы управления, базирующаяся на анализе рисков и предназначенная для проектирования, реализации, контроля, сопровождения и совершенст­вования мер в области информационной безопасности. Эту систему со­ставляют организационные структуры, политика, действия по планирова­нию, обязанности, процедуры, процессы и ресурсы.

В основу процесса управления положена четырехфазная модель, включающая:

• планирование;

• реализацию;

• оценку;

• корректировку.

По-русски данную модель можно назвать ПРОК (в оригинале - Plan-Do-Check-Act, PDCA). Детальный анализ каждой из выделенных фаз и со­ставляет основное содержание стандарта BS 7799-2:2002.

3.2.1. Регуляторы безопасности и реализуемые ими цели

3.2.1.1. Регуляторы общего характера

Мы приступаем к рассмотрению десяти групп регуляторов безопас­ности, выделенных в стандарте BS 7799.

К первой группе отнесено то, что связано с политикой безопасно­сти, а именно:

• документально оформленная политика;

• процесс ревизии политики.

Цель регуляторов этой группы - определить стратегию управления безопасностью и обеспечить ее поддержку.

Вторая группа регуляторов безопасности касается общеорганиза­ционных аспектов. По сравнению с первой она более многочисленна и наделена внутренней структурой. Ее первая подгруппа - инфраструктура

информационной безопасности - преследует цель управления безопасно­стью в организации и включает следующие регуляторы:

• создание сообщества по управлению информационной безопасно­стью;

• меры по координации действий в области информационной безо­пасности;

• распределение обязанностей в области информационной безопас­ности;

• утверждение руководством (административное и техническое) новых средств обработки информации;

• получение рекомендаций специалистов по информационной безопасности;

• сотрудничество с другими организациями (правоохранительными органами, поставщиками информационных услуг и т.д.);

• проведение независимого анализа информационной безопасности.
Регуляторы второй подгруппы - безопасность доступа сторонних

организаций - предназначены для обеспечения безопасности вычисли­тельных и информационных ресурсов, к которым имеют доступ сторонние организации. Этих регуляторов два:

• идентификация рисков, связанных с подключениями сторонних организаций, и реализация соответствующих защитных мер;

• выработка требований безопасности для включения в контракты со сторонними организациями.

Цель третьей подгруппы - обеспечение информационной безопас­ности при использовании услуг внешних организаций. Предлагается вы­работать требования безопасности для включения в контракты с постав­щиками информационных услуг.

Очень важна третья группа регуляторов безопасности - классифи­кация активов и управление ими. Необходимым условием обеспечения надлежащей защиты активов является их идентификация и классифика­ция. Должны быть выработаны критерии классификации, в соответствии с которыми активы тем или иным способом получают метки безопасности.

Регуляторы четвертой группы - безопасность персонала - охва­тывают все этапы работы персонала, и первый из них - документирование ролей и обязанностей в области информационной безопасности при опре­делении требований ко всем должностям. В соответствии с этими требо­ваниями должны производиться отбор новых сотрудников, заключаться соглашения о соблюдении конфиденциальности, оговариваться в контрак­тах другие условия.

Для сознательного поддержания режима информационной безопас­ности необходимо обучение всех пользователей, регулярное повышение их квалификации.

Наряду с превентивными, стандарт предусматривает и меры реаги­рования на инциденты в области безопасности, чтобы минимизировать ущерб и извлечь уроки на будущее. Предусмотрены уведомления (докла­ды) об инцидентах и замеченных уязвимостях, нештатной работе про­граммного обеспечения. Следует разработать механизмы оценки ущерба от инцидентов и сбоев и дисциплинарного наказания провинившихся со­трудников.

Пятая группа регуляторов направлена на обеспечение физической безопасности и безопасности окружающей среды. Она включает три подгруппы:

• организация защищенных областей;

• защита оборудования;

• меры общего характера.

Для организации защищенных областей требуется определить пери­метры физической безопасности, контролировать вход в защищенные об­ласти и работу в них, защитить производственные помещения (особенно имеющие специальные требования по безопасности) и места погрузо-/разгрузочных работ, которые, по возможности, надо изолировать от про­изводственных помещений.

Чтобы предупредить утерю, повреждение или несанкционированную модификацию оборудования рекомендуется размещать его в защищенных областях, наладить бесперебойное электропитание, защитить кабельную разводку, организовать обслуживание оборудования, перемещать устрой­ства (в том числе за пределы организации) только с разрешения руково­дства, удалять информацию перед выведением из эксплуатации или изме­нением характера использования оборудования.

К числу мер общего характера принадлежат политика чистого рабо­чего стола и чистого экрана, а также уничтожение активов - оборудова­ния, программ и данных - только с разрешения руководства.

3.2.1.2. Регуляторы технического характера

Шестая группа - меры по безопасному администрированию сис­тем и сетей разделены в стандарте BS 7799 на семь подгрупп: • операционные процедуры и обязанности;

• планирование и приемка систем;

• защита от вредоносного программного обеспечения;

• повседневное обслуживание;

• администрирование сетей;

• безопасное управление носителями;

• обмен данными и программами с другими организациями.

1. Документирование операционных процедур и обязанностей пре­следует цель обеспечения корректного и надежного функционирования средств обработки информации. Требуется обязательно контролировать все изменения этих средств. Доклады о нарушениях безопасности должны быть своевременными и эффективными. Разделение обязанностей должно препятствовать злоупотреблению полномочиями. Средства разработки и тестирования необходимо отделить от производственных ресурсов. Для безопасного управления внешними ресурсами предлагается предвари­тельно оценить риски и включить в контракты со сторонними организа­циями соответствующие положения.

2. Планирование и приемка систем призваны минимизировать риск их отказа. Для этого рекомендуется отслеживать и прогнозировать вычис­лительную нагрузку, требуемые ресурсы хранения и т.д. Следует разрабо­тать критерии приемки новых систем и версий, организовать их тестиро­вание до введения в эксплуатацию.

3. Защита от вредоносного программного обеспечения должна вклю­чать как превентивные меры, так и меры обнаружения и ликвидации вре­доносного ПО.

4. Под повседневным обслуживанием в стандарте имеется в виду ре­зервное копирование, протоколирование действий операторов, регистра­ция, доведение до сведения руководства и ликвидация сбоев и отказов.

5. Вопросы администрирования сетей в стандарте, по сути, не рас­крываются, лишь констатируется необходимость целого спектра регуля­торов безопасности и документирования обязанностей и процедур.

6. Безопасное управление носителями подразумевает контроль за съемными носителями, безвредную утилизацию отслуживших свой срок носителей, документирование процедур обработки и хранения информа­ции, защиту системной документации от несанкционированного доступа.

7. Более детально регламентирован обмен данными и программами с другими организациями. Предлагается заключать формальные и нефор­мальные соглашения, защищать носители при транспортировке, обеспе­чивать безопасность электронной коммерции, электронной почты, офис­ных систем, систем общего доступа и других средств обмена. В качестве универсальных защитных средств рекомендуются документированная по­литика безопасности, соответствующие процедуры и регуляторы.

Седьмая группа - самая многочисленная - группа регуляторов, от­носящихся к управлению доступом к системам и сетям. Она состоит из восьми подгрупп:

• производственные требования к управлению доступом;

• управление доступом пользователей;

• обязанности пользователей;

• управление доступом к сетям;

• управление доступом средствами операционных систем;

• управление доступом к приложениям;

• контроль за доступом и использованием систем;

• контроль мобильных пользователей и удаленного доступа.

1. Производственные требования к управлению доступом излагают­ся в документированной политике безопасности, которую необходимо проводить в жизнь.

2. Управление доступом пользователей должно обеспечить автори­зацию, выделение и контроль прав в соответствии с политикой безопасно­сти. Этой цели служат процедуры регистрации пользователей и ликвида­ции их системных счетов, управление привилегиями в соответствии с принципом их минимизации, управление паролями пользователей, а также дисциплина регулярной ревизии прав доступа.

3. Обязанности пользователей, согласно стандарту, сводятся к пра­вильному выбору и применению паролей, а также к защите оборудования, остающегося без присмотра.

4. Управление доступом к сетям опирается на следующие регуляторы:

• политика использования сетевых услуг (прямой доступ к услугам должен предоставляться только по явному разрешению);

• задание маршрута от пользовательской системы до используемых систем (предоставление выделенных линий, недопущение неог­раниченного перемещения по сети и т.д.);

• аутентификация удаленных пользователей;

• аутентификация удаленных систем;

• контроль доступа (особенно удаленного) к диагностическим портам;

• сегментация сетей (выделение групп пользователей, информаци­онных сервисов и систем);

• контроль сетевых подключений (например, контроль по предос­тавляемым услугам и/или времени доступа);

• управление маршрутизацией;

• защита сетевых сервисов (должны быть описаны атрибуты безо­пасности всех сетевых сервисов, используемых организацией).

5. Управление доступом средствами операционных систем направ­
лено на защиту от несанкционированного доступа к компьютерным сис­
темам. Для этого предусматриваются:

• автоматическая идентификация терминалов;

• безопасные процедуры входа в систему (следует выдавать как можно меньше информации о системе, ограничить разрешаемое количество неудачных попыток, контролировать минимальную и максимальную продолжительность входа и т.п.);

• идентификация и аутентификация пользователей;

• управление паролями, контроль их качества;

• разграничение доступа к системным средствам;

• уведомление пользователей об опасных ситуациях;

• контроль времени простоя терминалов (с автоматическим отклю­чением по истечении заданного периода);

• ограничение времени подключения к критичным приложениям.

6. Для управления доступом к приложениям предусматривается раз­граничение доступа к данным и прикладным функциям, а также изоляция критичных систем, помещение их в выделенное окружение.

7. Контроль за доступом и использованием систем преследует цель выявления действий, нарушающих политику безопасности. Для ее дости­жения следует протоколировать события, относящиеся к безопасности, отслеживать и регулярно анализировать использование средств обработки информации, синхронизировать компьютерные часы.

8. Контроль мобильных пользователей и удаленного доступа должен основываться на документированных положениях политики безопасности.

3.2.1.3. Разработка и сопровождение, управление бесперебойной работой, контроль соответствия

Восьмая группа - регуляторы группы «разработка и сопровожде­ние информационных систем» охватывают весь жизненных цикл систем.

1. Первым шагом является анализ и задание требований безопасно­сти. Основу анализа составляют:

• необходимость обеспечения конфиденциальности, целостности и доступности информационных активов;

• возможность использования различных регуляторов для предот­вращения и выявления нарушений безопасности и для восстанов­ления нормальной работы после отказа или нарушения безопас­ности.

В частности, следует рассмотреть необходимость:

• управления доступом к информации и сервисам, включая требо­вания к разделению обязанностей и ресурсов;

• протоколирования для повседневного контроля или специальных расследований;

• контроля и поддержания целостности данных на всех или избран­ных стадиях обработки;

• обеспечения конфиденциальности данных, возможно, с использо­ванием криптографических средств;

• выполнения требований действующего законодательства, дого­ворных требований и т.п.;

• резервного копирования производственных данных;

• восстановления систем после отказов (особенно для систем с по­вышенными требованиями к доступности);

• защиты систем от несанкционированных модификаций;

• безопасного управления системами и их использования сотрудни­ками, не являющимися специалистами.

2. Подгруппа регуляторов, обеспечивающих безопасность приклад­
ных систем, включает:

• проверку входных данных;

• встроенные проверки корректности данных в процессе их об­работки;

• аутентификацию сообщений как элемент контроля их целостности;

• проверку выходных данных.

3. Третью подгруппу рассматриваемой группы составляют крипто­графические регуляторы. Их основой служит документированная полити­ка использования средств криптографии. Стандартом предусматривается применение шифрования, электронных цифровых подписей, средств управления ключами.

4. Четвертая подгруппа - защита системных файлов - предусматри­вает:

• управление программным обеспечением, находящимся в эксплуа­тации;

• защиту тестовых данных систем;

• управление доступом к библиотекам исходных текстов.

5. Регуляторы пятой подгруппы направлены на обеспечение безо­
пасности процесса разработки и вспомогательных процессов. В нее входят
следующие регуляторы:

• процедуры управления внесением изменений;

• анализ и тестирование систем после внесения изменений;

• ограничение на внесение изменений в программные пакеты;

• проверка наличия скрытых каналов и троянских программ;

• контроль за разработкой ПО, выполняемой внешними организа­циями.

Девятая группа - группа «управление бесперебойной работой организации» исключительно важна, но устроена существенно проще. Она включает пять регуляторов, направленных на предотвращение пере­рывов в деятельности предприятия и защиту критически важных бизнес-процессов от последствий крупных аварий и отказов:

• формирование процесса управления бесперебойной работой орга­низации;

• выработка стратегии (на основе анализа рисков) обеспечения бес­перебойной работы организации;

• документирование и реализация планов обеспечения бесперебой­ной работы организации;

• поддержание единого каркаса для планов обеспечения беспере­бойной работы организации, чтобы гарантировать их согласован­ность и определить приоритетные направления тестирования и сопровождения;

• тестирование, сопровождение и регулярный пересмотр планов обеспечения бесперебойной работы организации на предмет их эффективности и соответствия текущему состоянию.

Процесс планирования бесперебойной работы организации должен включать в себя:

• идентификацию критически важных производственных процессов и их ранжирование по приоритетам;

• определение возможного воздействия аварий различных типов на производственную деятельность;

• определение и согласование всех обязанностей и планов действий в нештатных ситуациях;

• документирование согласованных процедур и процессов;

• подготовку персонала к выполнению согласованных процедур и процессов в нештатных ситуациях.

Для обеспечения бесперебойной работы организации необходимы процедуры трех типов:

• процедуры реагирования на нештатные ситуации;

• процедуры перехода на аварийный режим;

• процедуры возобновления нормальной работы.

Примерами изменений, которые могут потребовать обновления пла­нов, являются:

• приобретение нового оборудования или модернизация систем;

• новая технология выявления и контроля проблем, например, об­наружения пожаров;

• кадровые или организационные изменения;

• смена подрядчиков или поставщиков;

• изменения, внесенные в производственные процессы;

• изменения, внесенные в пакеты прикладных программ;

• изменения в эксплуатационных процедурах;

• изменения в законодательстве.

Назначение регуляторов последней, десятой группы - контроль соответствия требованиям. В первую подгруппу входят регуляторы со­ответствия действующему законодательству:

• идентификация применимых законов, нормативных актов и т.п.;

• обеспечение соблюдения законодательства по защите интеллек­туальной собственности;

• защита деловой документации от утери, уничтожения или фаль­сификации;

• обеспечение защиты персональных данных;

• предотвращение незаконного использование средств обработки информации;

• обеспечение выполнения законов, касающихся криптографиче­ских средств;

• обеспечение сбора свидетельств на случай взаимодействия с пра­воохранительными органами.

Ко второй подгруппе отнесены регуляторы, контролирующие соот­ветствие политике безопасности и техническим требованиям. Руководите­ли всех уровней должны убедиться, что все защитные процедуры, входя­щие в их зону ответственности, выполняются должным образом и что все такие зоны регулярно анализируются на предмет соответствия политике и стандартам безопасности. Информационные системы нуждаются в регу­лярной проверке соответствия стандартам реализации защитных функций.

Регуляторы, относящиеся к аудиту информационных систем, объе­динены в третью подгруппу. Их цель - максимизировать эффективность аудита и минимизировать помехи, создаваемые процессом аудита, равно как и вмешательство в этот процесс. Ход аудита должен тщательно пла­нироваться, а используемый инструментарий - защищаться от несанкцио­нированного доступа.