iso-mek-27002-2013

Следует рассмотреть возможность использования печатающих устройств с функцией PIN-кода, когда только создатель документа может его получить, находясь непосредственно у принтера.

12 Безопасность производственной деятельности

12.1 Рабочие процедуры и обязанности

Задача: гарантировать надлежащую и безопасную эксплуатацию средств обработки информации.

12.1.1Документированные рабочие процедуры

Метод реализации

Рабочие процедуры должны быть документированы и доступны всем пользователям, которым они необходимы.

Рекомендации по применению

Должны быть разработаны рабочие процедуры для повседневной деятельности, связанной с оборудованием обработки информации и средствами связи, такие, как процедуры включения и выключения компьютеров, резервного копирования, обслуживания оборудования, работы с носителями, управления и обеспечения безопасности в компьютерном зале и при обработке почты.

Эти рабочие процедуры должны содержать инструкции по выполнению действий, включая:

a)установку и конфигурацию систем;

b)ручную и автоматизированную обработку информации;

c)резервное копирование (см. 12.3);

d)требования к планированию, в том числе и с учетом связей с другими системами, срока начала первой работы и срока окончания последней;

e)инструкции по обработке ошибок или других исключительных ситуаций, которые могут возникнуть в ходе работы, включая ограничения на использование системных утилит (см.

9.4.4);

f)техническую поддержку и контакты для передачи проблемы на вышестоящий уровень, включая контакты внешних служб обеспечения, в случае отклонений от ожидаемого функционирования или возникновения технических сложностей;

g)инструкции по обращению с особыми носителями и особыми данными, например, по использованию специальных бланков или управлению выводом конфиденциальной информации, включая уничтожение результатов вывода в случае неудачного выполнения операции (см. 8.3 и 11.2.7);

h)перезапуск системы и процедуры восстановления в случае сбоя в системе;

i)управление информацией, содержащейся в журналах проверок и системных журналах (см.

12.4);

j)процедуры мониторинга.

Рабочие процедуры и документированные процедуры по системным операциям должны рассматриваться как официальные документы и изменения в них утверждаться руководством. Там, где это технически возможно, информационные системы должны управляться единым образом, с применением одних процедур, инструментов и утилит.

12.1.2Управление изменениями

Метод реализации

Изменения в организации, бизнес-процессах, средствах для обработки информации и системах, которые влияют на информационную безопасность, должны быть управляемыми.

Рекомендации по применению В частности, должно быть принято во внимание следующее:

a)идентификация и регистрация существенных изменений;

b)планирование и тестирование изменений;

c)оценка потенциального влияния осуществляемых изменений, включая влияние на информационную безопасность;

d)процедура официального утверждения предлагаемых изменений;

e)подтверждение, что требования по информационной безопасности выполнены;

f)информирование об изменениях всех заинтересованных лиц;

g)процедуры отката к начальному состоянию, включая процедуры и обязанности по остановке и восстановлению после неудачных изменений и непредвиденных событий;

h)наличие процесса срочных изменений для обеспечения быстрого и контролируемого выполнения изменений, необходимых для устранения инцидента (см. 16.1).

Должны быть разработаны формализованные процедуры управления и установлена ответственность для гарантии надлежащего контроля изменений. При выполнении изменений в контрольном журнале должна сохраняться вся необходимая информация.

Дополнительная информация

Несоответствующий контроль изменений в средствах обработки информации и системах является типичной причиной системных сбоев или нарушений безопасности. Изменения в операционной среде, особенно при переходе системы со стадии разработки на стадию эксплуатации, могут влиять на надежность приложений (см. 14.2.2).

12.1.3Управление производительностью

Метод реализации

Использование ресурсов должно отслеживаться, регулироваться и делаться прогноз требований к производительности в будущем с тем, чтобы гарантировать необходимую работоспособность систем.

Рекомендации по применению

Требования к производительности должны быть определены с учетом важности рассматриваемой системы для бизнеса. Должны проводиться настройка и мониторинг системы, чтобы гарантировать и, где необходимо, улучшать пригодность и эффективность систем. Должны быть задействованы средства обнаружения для своевременного выявления проблем. Прогнозы требований к производительности в будущем должны учитывать новые требования как со стороны бизнеса, так и систем, а также текущие и прогнозируемые тенденции в возможностях обработки информации в организации.

Особое внимание требуется уделить ресурсам с длительным сроком получения или с высокой стоимостью; поэтому руководители должны отслеживать использование ключевых ресурсов системы. Они должны выявлять тенденции в использовании, особенно, связанные с бизнес-приложениями или инструментарием управления информационными системами.

потенциальных узких мест и зависимостей от ключевого персонала, которые могут представлять угрозу безопасности систем или служб, а также планировать соответствующие действия.

Обеспечение достаточной производительности может быть достигнуто как увеличением возможностей, так и снижением запросов. Примеры управления запросами включают в себя:

a)удаление устаревших данных (объем диска);

b)деинсталляцию приложений, систем, баз данных или сред;

c)оптимизацию пакетных заданий и их расписания;

d)оптимизацию алгоритмов приложений или запросов к базам данных;

e)отказ в предоставлении или ограничение полосы пропускания для ресурсоемких служб, если они не важны для бизнеса (например, потоковое видео).

Должна быть рассмотрена возможность документированного плана управления производительностью для критически важных систем.

Дополнительная информация

Рассмотренные меры также применимы к человеческим ресурсам, равно как и к офисам и оборудованию.

12.1.4Разделение среды разработки, тестирования и эксплуатации

Метод реализации

Среда разработки, тестирования и рабочая среда должны быть отделены друг от друга для снижения рисков несанкционированного доступа или изменений в рабочей среде.

Рекомендации по применению

Должен быть определен и реализован необходимый для предотвращения возникновения проблем функционирования уровень разделения среды разработки, тестирования и рабочей среды.

Должно быть принято во внимание следующее:

a)должны быть определены и документированы правила перевода программного обеспечения из статуса разработки в статус годности к эксплуатации;

b)среда разработки и рабочая среда должны быть запущены в разных системах или на разных компьютерах и в разных доменах или директориях;

c)изменения в рабочих системах и приложениях должны тестироваться в тестовой или промежуточной среде до того, как они будут применены к рабочим системам;

d)не должно проводиться тестирования на рабочих системах, кроме как в случае возникновения исключений;

e)компиляторы, редакторы и другой инструментарий для разработки или системные утилиты не должны быть доступны из рабочих систем, когда в этом нет необходимости;

f)пользователи должны использовать разные пользовательские профили для рабочих и тестовых систем и на экране должны отображаться соответствующие предупреждающие сообщения для снижения риска ошибки;

g)конфиденциальные данные не должны копироваться в среду тестирования систем, если только не обеспечены для тестируемой системы надлежащие средства контроля (см.

14.3).

например, нежелательное изменение файлов или системной среды, или системные сбои. Есть необходимость поддерживать понятную и стабильную среду для выполнения полноценного тестирования и предотвращения несанкционированного доступа разработчиков к рабочей среде.

Там, где персонал, выполняющий разработку и тестирование, имеет доступ к рабочей среде и ее информации, он может иметь возможность внедрить неавторизованный и не прошедший тестирование код или альтернативные рабочие данные. На некоторых системах такая возможность могла бы быть использована для совершения обмана или внедрения не протестированного или зловредного кода, что может вызвать серьезные проблемы в эксплуатации.

Персонал, выполняющий разработку и тестирование, также представляет угрозу для конфиденциальности рабочей информации. Действия в ходе разработки и тестирования могут вызывать ненамеренные изменения в программном обеспечении или информации, если они выполняются в одной вычислительной среде. Таким образом, желательно разделение среды разработки, тестирования и рабочей среды для снижения риска случайного изменения или неавторизованного доступа к рабочему программному обеспечению или рабочим данным (см. 14.3 о защите данных для тестирования).

12.2 Защита от вредоносного кода

Задача: гарантировать, что информация и средства обработки информации защищены от вредоносного кода.

12.2.1Меры защиты от вредоносного кода

Метод реализации

В отношении вредоносного кода должны применяться меры по обнаружению, предупреждению и восстановлению с соответствующим информированием пользователей.

Рекомендации по применению

Защита от вредоносного кода должна основываться на применении программ обнаружения вредоносного кода и восстановления, осведомленности об информационной безопасности и соответствующих средствах контроля доступа к системе и управлению изменениями. Должны быть приняты во внимание следующие рекомендации:

a)разработка официальной политики, запрещающей использование неавторизованного программного обеспечения (см. 12.6.2 и 14.2);

b)внедрение мер, которые предотвращают или выявляют применение неавторизованного программного обеспечения (например, ведение списка разрешенных программ);

c)внедрение мер, которые предотвращают или выявляют обращение к известным вредоносным или подозрительным веб-сайтам (например, ведение черных списков таких сайтов);

d)разработка официальной политики для защиты от рисков, связанных с получением файлов и программного обеспечения из или через внешние сети или любые иные среды, с указанием, какие защитные меры должны быть предприняты;

e)уменьшение уязвимостей, которые могли бы быть использованы вредоносным кодом, например, посредством управления техническими уязвимостями (см. 12.6);

f)проведение регулярных проверок программного обеспечения и данных систем, поддерживающих важные бизнес-процессы; присутствие любых несанкционированных файлов и изменений должно официально расследоваться;

g)установка и регулярное обновление программ обнаружения вредоносного кода и восстановления для сканирования компьютеров и носителей в качестве предупредительной меры или на постоянной основе; сканирование должно выполняться, включая:

1)сканирование на предмет вредоносного кода любых файлов, полученных по сети или через любые носители информации, до их использования;

2)сканирование на предмет вредоносного кода вложений к сообщениям электронной почты и загруженных файлов до их использования; такое сканирование должно проводиться в различных местах, например, на почтовых серверах, настольных компьютерах и на аппаратуре подключения организации к сети;

3)сканирование на предмет вредоносного кода веб-страниц;

h)определение обязанностей и процедур для обеспечения защиты от атак вредоносного кода, обучение их применению, составлению отчетов и восстановлению после атак вредоносного кода;

i)подготовка соответствующих планов обеспечения непрерывности бизнеса для восстановления после атак вредоносного кода, включая все необходимые данные и программы резервного копирования, а также мероприятия по восстановлению (см. 12.3);

j)выполнение процедур регулярного сбора информации, таких как подписка на рассылки или посещение ресурсов с информацией о новых вредоносных программах;

k)выполнение процедур проверки информации, связанной с вредоносными программами, и гарантирование того, что предупредительные сообщения точны и информативны; руководители должны гарантировать, что для отделения реальных вредоносных программ от ложных используются квалифицированные источники, например, авторитетные журналы, надежные Интернет-сайты или поставщики, производящие программное обеспечение для защиты от вредоносных программ; все пользователи должны быть извещены о проблеме ложных вредоносных программ и что необходимо делать при их получении;

l)изолирование сред, в которых последствия могут быть катастрофическими. Дополнительная информация

Применение двух или более программных продуктов, защищающих от вредоносных программ в системах обработки информации, от разных производителей и реализующих разные технологии может повысить результативность защиты от вредоносного кода.

Необходимо озаботиться тем, чтобы вредоносный код не был внедрен в ходе обслуживания и действий в аварийной ситуации, которые могут производиться в обход обычных мер по защите от вредоносного кода.

Применение в качестве средства защиты от вредоносного кода только обнаруживающих и восстанавливающих программ обычно недостаточно и требуются дополнительные рабочие процедуры, которые предотвращают внедрение вредоносного кода.

12.3 Резервное копирование

Задача: обеспечить защиту от потери данных.

12.3.1Резервное копирование информации

Метод реализации

Должно выполняться и регулярно тестироваться резервное копирование информации, программного обеспечения и образов системы в соответствии с принятой политикой

резервного копирования. Рекомендации по применению

Должна быть установлена политика резервного копирования, чтобы определить требования организации к резервному копированию информации, программного обеспечения и систем.

Политика резервного копирования должна определять требования по защите и срокам хранения.

Должны быть предоставлены соответствующие устройства для резервного копирования с гарантией того, что существенная информация и программное обеспечение могут быть восстановлены после аварийной ситуации или сбоя носителя.

При формировании плана резервного копирования должно быть учтено следующее:

a)должны делаться точные и полные записи резервных копий и быть разработаны документированные процедуры восстановления;

b)объем (например, полное или частичное копирование) и частота резервного копирования должны соответствовать бизнес-требованиям организации, требованиям по безопасности сохраняемой информации, и важности этой информации для обеспечения непрерывности деятельности организации;

c)резервные копии должны храниться в удаленных местах, на существенном расстоянии для избежания повреждения в случае аварийных ситуаций в основном офисе;

d)резервируемой информации должен быть обеспечен соответствующий уровень защиты, как физической, так и от угроз внешнего воздействия (см. раздел 11), согласно стандартам, применяемым в основном офисе;

e)носители для резервных копий должны регулярно тестироваться для гарантии того, что на них можно положиться при применении в случае экстренной необходимости; это должно совмещаться с тестами процедур восстановления и проверкой на соответствие требуемому времени восстановления. Тестирование возможности восстановить сохраненные данные на выделенных для тестирования носителях, а не перезаписью информации на оригинальные носители в случае, если в процессе резервного копирования или восстановления произошел сбой или обнаружились невосстановимое повреждение или потеря данных;

f)в тех случаях, когда важна конфиденциальность, резервируемые данные должны быть защищены криптографическими средствами.

Рабочие процедуры должны предусматривать контроль выполнения резервного копирования и обработку сбоев в ходе производимого по графику резервного копирования, чтобы гарантировать завершение всех операций резервного копирования в соответствии с политикой резервного копирования.

Мероприятия по резервному копированию для конкретных систем или служб должны регулярно тестироваться для гарантии того, что они соответствуют требованиям плана по обеспечению непрерывности бизнеса. Для систем и служб, имеющих критически важное значение, мероприятия по резервному копированию должны охватывать всю системную информацию, приложения и данные, необходимые для восстановления всей системы в случае аварийной ситуации.

Должен быть определен срок хранения существенной для бизнеса информации с учетом любых требований к архивированию копий, которые должны постоянно сохраняться.

12.4 Ведение журналов и мониторинг

Задача: регистрировать события и обеспечивать свидетельства

12.4.1Регистрация событий

Метод реализации

Должны вестись, сохраняться и регулярно анализироваться журналы, содержащие записи активности пользователей, возникновения исключений, сбоев и событий, связанных с информационной безопасностью.

Рекомендации по применению Записи о событиях должны включать, насколько применимо:

a)идентификатор пользователя;

b)действия в системе;

c)даты, время и детали ключевых событий, например, входа в систему и выхода из нее;

d)обозначение устройства или размещение, если есть такая возможность, а также системный идентификатор;

e)записи успешных и отклоненных системой попыток доступа;

f)записи успешных и отклоненных системой попыток доступа к данным и иным ресурсам;

g)изменения в системной конфигурации;

h)использование привилегий;

i)использование системных утилит и приложений;

j)файлы, к которым осуществлялся доступ и вид доступа;

k)сетевые адреса и протоколы;

l)предупреждения, выданные системой контроля доступа;

m)активация и деактивация систем защиты, таких как антивирусы и системы обнаружения проникновения;

n)записи транзакций, выполненных пользователем в приложениях.

Регистрация событий служит источником данных для автоматизированных систем мониторинга, которые способны генерировать консолидированные отчеты и предупреждения системы безопасности.

Дополнительная информация

Журналы могут содержать важные данные и персональную информацию. Должны быть предприняты соответствующие меры защиты конфиденциальности (см. 18.1.4).

Там, где это возможно, системные администраторы не должны иметь разрешения для стирания или отключения записи их собственных действий (см. 12.4.3).

12.4.2Защита информации в журналах

Метод реализации

Средства для ведения журналов и внесенная в них информация должны быть защищены от несанкционированного вмешательства и несанкционированного доступа.

Рекомендации по применению

Меры защиты должны быть нацелены на предотвращение неавторизованных изменений информации в журналах и проблем функционирования устройств ведения журналов, включая:

a)изменение типов сообщений, которые были записаны;

b)удаление или редактирование лог-файлов;

c)недостаток необходимого свободного объема для записи на носителе, приводящего либо к сбою в записи события, либо перезаписи информации о предыдущих событиях.

Может потребоваться сохранять в архиве некоторые контрольные журналы в рамках политики сохранения записей или в силу наличия требования собирать и сохранять свидетельства (см. 16.1.7).

Дополнительная информация

Системные журналы часто содержат большой объем информации, значительная часть которой не связана с мониторингом информационной безопасности. Для выявления значимых с точки зрения мониторинга информационной безопасности события необходимо предусмотреть либо копирование записей соответствующего типа в другой журнал, либо использование подходящих системных утилит или инструментов аудита для контрольного считывания и удаления лишних записей из файла.

Системные журналы должны быть защищены, потому как если будет возможность изменять или удалять в них данные, то наличие таких измененных журналов может создавать ложное чувство безопасности. Для защиты журналов может применяться их копирование в режиме реального времени в систему, находящуюся вне контроля системного администратора или оператора.

12.4.3Журналы действий администратора и оператора

Метод реализации

Должны быть зафиксированы действия системных администраторов и операторов, журналы должны быть защищены и регулярно просматриваться.

Рекомендации по применению

Пользователи, обладающие привилегированными учетными записями, могут иметь возможность манипулировать журналами устройств обработки информации, находящимися под их непосредственным управлением, следовательно, необходимо защитить и просматривать журналы для обеспечения контроля за привилегированными пользователями.

Дополнительная информация

Для контроля вмешательств системных и сетевых администраторов может применяться система обнаружения вмешательств, которая находится вне контроля системных и сетевых администраторов.

12.4.4Синхронизация часов

Метод реализации

Время у всех информационных систем, обрабатывающих важную информацию, в пределах организации или домена безопасности должно быть синхронизировано с единым источником эталонного времени.

Рекомендации по применению

Должны быть документированы внутренние и внешние требования к представлению времени, синхронности и точности. Такие требования могут быть законодательными, нормативными, контрактными требованиями, стандартами соответствия или требованиями для внутреннего мониторинга. Должен быть определен стандартный эталон времени для применения в организации.

Дополнительная информация

Правильная установка компьютерных часов является важной для обеспечения точности контрольных записей, которые могут потребоваться в ходе расследования или как свидетельства в рамках судебного или дисциплинарного разбирательства. Неточные контрольные записи могут затруднять такие расследования и подрывать доверие к подобного рода свидетельствам. В качестве эталонного времени в системах регистрации могут быть использованы сигналы точного времени, передаваемые по радио и синхронизированные с национальным атомным эталоном времени. Для синхронизации всех серверов с эталонным временем может быть использован сетевой протокол синхронизации времени (NTP).

12.5 Контроль эксплуатируемого программного обеспечения

Задача: гарантировать целостность эксплуатируемых систем.

12.5.1Установка программ в эксплуатируемых системах

Метод реализации

Должны быть внедрены процедуры для управления установкой программного обеспечения в эксплуатируемых системах.

Рекомендации по применению

Должны быть приняты во внимание следующие рекомендации по контролю изменений программного обеспечения в эксплуатируемых системах:

a)обновление эксплуатируемого программного обеспечения, приложений и программных библиотек должно выполняться только обученными администраторами при наличии соответствующего разрешения руководства (см.

9.4.5);

b)эксплуатируемые системы должны содержать только одобренный исполнимый код, но не отладочный код или компиляторы,

c)приложения и программное обеспечение операционной системы должны устанавливаться только после проведения тщательного и успешного тестирования; тесты должны охватывать такие области, как удобство применения, безопасность, влияние на другие системы и дружественность интерфейса и должны выполняться на отдельных системах (см. 12.1.4); при этом должно быть гарантировано, что все соответствующие исходные программные библиотеки были обновлены;

d)должна применяться система управления конфигурациями и системное документирование для сохранения контроля над всем устанавливаемым программным обеспечением;

e)должна быть разработана стратегия отката до того, как изменения будут внедрены;

f)должен вестись контрольный журнал всех обновлений рабочих программных библиотек;

g)должны сохраняться предыдущие версии приложений как мера страховки;

h)устаревшие версии программного обеспечения должны архивироваться вместе с необходимой информацией и переменными, процедурами, параметрами конфигурации и вспомогательными программами и храниться в архиве тот же срок, что и данные.

Поставляемое программное обеспечение, используемое в эксплуатируемых системах, должно быть обеспечено поддержкой на уровне производителя. Спустя какое-то время

продавцы программного обеспечения прекратят поддержку устаревших версий. Организация должна принимать во внимание риски, связанные с этим обстоятельством.

Любое решение об обновлении до новой версии должно основываться на требованиях изменений, исходящих от бизнеса, и защищенности новой версии, например, введении новой функциональности, связанной с информационной безопасностью, или количестве и серьезности проблем информационной безопасности, влияющих на эту версию. Патчи к программному обеспечению должны устанавливаться в тех случаях, когда они могут помочь устранить или уменьшить уязвимости в информационной безопасности (см. 12.6).

Любой вид доступа поставщикам в целях обеспечения поддержки должен даваться только тогда, когда это необходимо, и с разрешения руководства. Действия поставщиков должны контролироваться (см. 15.2.1).

Компьютерное программное обеспечение может зависеть от извне поставляемых программ и модулей, которые должны контролироваться во избежание неавторизованных изменений, способных породить уязвимости в защите.

12.6 Управление техническими уязвимостями

Задача: предотвратить использование технических уязвимостей.

12.6.1Управление техническими уязвимостями

Метод реализации

Должна своевременно получаться информация о технических уязвимостях в используемых информационных системах, должно оцениваться влияние этих уязвимостей на организацию и приниматься соответствующие меры для обработки связанных с этих рисков.

Рекомендации по применению

Ведение актуального и полного учета активов (см. раздел 8) – это необходимое условие для результативного управления техническими уязвимостями. Информация, необходимая для поддержки управления техническими уязвимостями, включает в себя наименование поставщика программного обеспечения, номер версии, текущее состояние (например, какое программное обеспечение установлено на какой системе) и лиц, ответственных в организации за это программное обеспечение.

Должны предприниматься соответствующие и своевременные действия в случае выявления потенциальных технических уязвимостей. Необходимо выполнять следующие рекомендации для разработки результативного процесса управления техническими уязвимостями:

a)организация должна определить и установить должности и обязанности, связанные с управлением техническими уязвимостями, включая мониторинг, оценку рисков, исправление, отслеживание активов и любые необходимые обязанности по координации;

b)для программного обеспечения и других технических систем (включенных в реестр активов, см. 8.1.1) должны быть определены информационные ресурсы, которые будут использованы для выявления существенных технических уязвимостей и поддержки осведомленности о них; эти информационные ресурсы должны обновляться в соответствии с изменениями в реестре или когда обнаруживаются другие новые или полезные ресурсы;

c)должен быть определен срок реагирования на уведомление о возможных существенных технических уязвимостях;

d)как только выявлена техническая уязвимость, организация должна определить