Опубликован: 03.09.2003 | Доступ: свободный | Студентов: 8697 / 2417 | Оценка: 4.21 / 3.93 | Длительность: 20:03:00
ISBN: 978-5-9556-0053-6
Лекция 15:

Британский стандарт BS 7799

< Лекция 14 || Лекция 15: 12345 || Лекция 16 >

Регуляторы безопасности и реализуемые ими цели. Часть 2. Регуляторы технического характера

Меры по безопасному администрированию систем и сетей разделены в стандарте BS 7799 на семь подгрупп:

  • операционные процедуры и обязанности;
  • планирование и приемка систем;
  • защита от вредоносного программного обеспечения;
  • повседневное обслуживание;
  • администрирование сетей ;
  • безопасное управление носителями;
  • обмен данными и программами с другими организациями.

Документирование операционных процедур и обязанностей преследует цель обеспечения корректного и надежного функционирования средств обработки информации. Требуется обязательно контролировать все изменения этих средств. Доклады о нарушениях безопасности должны быть своевременными и эффективными. Разделение обязанностей должно препятствовать злоупотреблению полномочиями. Средства разработки и тестирования необходимо отделить от производственных ресурсов. Для безопасного управления внешними ресурсами предлагается предварительно оценить риски и включить в контракты со сторонними организациями соответствующие положения.

Планирование и приемка систем призваны минимизировать риск их отказа. Для этого рекомендуется отслеживать и прогнозировать вычислительную нагрузку, требуемые ресурсы хранения и т.д. Следует разработать критерии приемки новых систем и версий, организовать их тестирование до введения в эксплуатацию.

Защита от вредоносного программного обеспечения должна включать как превентивные меры, так и меры обнаружения и ликвидации вредоносного ПО.

Под повседневным обслуживанием в стандарте имеется в виду резервное копирование, протоколирование действий операторов, регистрация, доведение до сведения руководства и ликвидация сбоев и отказов.

Вопросы администрирования сетей в стандарте, по сути, не раскрываются, лишь констатируется необходимость целого спектра регуляторов безопасности и документирования обязанностей и процедур.

Безопасное управление носителями подразумевает контроль за съемными носителями, безвредную утилизацию отслуживших свой срок носителей, документирование процедур обработки и хранения информации, защиту системной документации от несанкционированного доступа.

Более детально регламентирован обмен данными и программами с другими организациями. Предлагается заключать формальные и неформальные соглашения, защищать носители при транспортировке, обеспечивать безопасность электронной коммерции, электронной почты, офисных систем, систем общего доступа и других средств обмена. В качестве универсальных защитных средств рекомендуются документированная политика безопасности, соответствующие процедуры и регуляторы.

Самой многочисленной является группа регуляторов, относящихся к управлению доступом к системам и сетям. Она состоит из восьми подгрупп:

  • производственные требования к управлению доступом;
  • управление доступом пользователей;
  • обязанности пользователей;
  • управление доступом к сетям;
  • управление доступом средствами операционных систем;
  • управление доступом к приложениям;
  • контроль за доступом и использованием систем;
  • контроль мобильных пользователей и удаленного доступа.

Производственные требования к управлению доступом излагаются в документированной политике безопасности, которую необходимо проводить в жизнь.

Управление доступом пользователей должно обеспечить авторизацию, выделение и контроль прав в соответствии с политикой безопасности. Этой цели служат процедуры регистрации пользователей и ликвидации их системных счетов, управление привилегиями в соответствии с принципом их минимизации, управление паролями пользователей, а также дисциплина регулярной ревизии прав доступа.

Обязанности пользователей, согласно стандарту, сводятся к правильному выбору и применению паролей, а также к защите оборудования, остающегося без присмотра.

Управление доступом к сетям опирается на следующие регуляторы:

  • политика использования сетевых услуг (прямой доступ к услугам должен предоставляться только по явному разрешению);
  • задание маршрута от пользовательской системы до используемых систем (предоставление выделенных линий, недопущение неограниченного перемещения по сети и т.д.);
  • аутентификация удаленных пользователей;
  • аутентификация удаленных систем;
  • контроль доступа (особенно удаленного) к диагностическим портам;
  • сегментация сетей (выделение групп пользователей, информационных сервисов и систем);
  • контроль сетевых подключений (например, контроль по предоставляемым услугам и/или времени доступа);
  • управление маршрутизацией ;
  • защита сетевых сервисов (должны быть описаны атрибуты безопасности всех сетевых сервисов, используемых организацией).

Управление доступом средствами операционных систем направлено на защиту от несанкционированного доступа к компьютерным системам. Для этого предусматриваются:

  • автоматическая идентификация терминалов;
  • безопасные процедуры входа в систему (следует выдавать как можно меньше информации о системе, ограничить разрешаемое количество неудачных попыток, контролировать минимальную и максимальную продолжительность входа и т.п.);
  • идентификация и аутентификация пользователей;
  • управление паролями, контроль их качества;
  • разграничение доступа к системным средствам;
  • уведомление пользователей об опасных ситуациях;
  • контроль времени простоя терминалов (с автоматическим отключением по истечении заданного периода);
  • ограничение времени подключения к критичным приложениям.

Для управления доступом к приложениям предусматривается разграничение доступа к данным и прикладным функциям, а также изоляция критичных систем, помещение их в выделенное окружение.

Контроль за доступом и использованием систем преследует цель выявления действий, нарушающих политику безопасности. Для ее достижения следует протоколировать события, относящиеся к безопасности, отслеживать и регулярно анализировать использование средств обработки информации, синхронизировать компьютерные часы.

Контроль мобильных пользователей и удаленного доступа должен основываться на документированных положениях политики безопасности.

< Лекция 14 || Лекция 15: 12345 || Лекция 16 >
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Марина Марченкова
Марина Марченкова