Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Политика чистого рабочего стола и экрана должна учитывать классификации информации, правовые и нормативные требования, соответствующие риски и культурные аспекты организации. Необходимо рассмотреть следующие рекомендации:

– носители (бумажные или электронные), содержащие чувствительную или критичную бизнес-информацию, когда они не используются, следует запирать (лучше всего, в сейфе или кабинете), особенно, если в оффисе никого нет;

– компьютеры и терминалы, оставленные без присмотра, следует выключать или защищать механизмом блокировки экрана или клавиатуры, контролируемого паролем, токеном или схожим механизмом аутентификации пользователя;

– необходимо предотвратить несанкционированное использование фотокопировальной и другой воспроизводящей технологии (например, сканеров, цифровых камер);

– документы, содержащие чувствительную или классифицированную информацию, необходимо немедленно изымать из принтеров.

Рекомендуется использовать принтеры с функцией ПИН-кода, когда только инициаторы печатания могут забрать из принтера готовый документ и вставить следующий.

Безопасность операций определяют следующие составляющие:

– операционные процедуры;

– контроль системного ПО;

– защита от вредоносного ПО;

– мониторинг и логи.

– резервное копирование;

– управление техническими уязвимостями;

– проведение аудита ИС.

8.1. Операционные процедуры

Цель: Обеспечить правильное и безопасное использование средств обработки информации.

Операционные процедуры обеспечивают следующие мероприятия:

– документирование процедур;

– управление изменениями;

– управление мощностью;

– разделение сред разработки, тестирования и эксплуатации.

Документирование процедур

Меры и средства

Операционные процедуры должны быть задокументированы и доступны для всех пользователей, которые в них нуждаются.

Рекомендации по реализации

Задокументированные процедуры должны быть подготовлены для функциональных действий, связанных со средствами обработки и передачи информации, таких как компьютерные процедуры запуска и завершения, резервное копирование, техническое обслуживание, работа с носителями, управление обработкой почты и безопасность.

Операционные процедуры должны определять эксплуатационные инструкции, включающие:

– инсталляцию и конфигурацию систем;

– обработку и управление информацией, как автоматизированное, так и ручное;

– резервное копирование;

– требования в отношении графика работ, включая взаимозависимости с другими системами, время начала первой и время завершения последней процедуры;

– инструкции по обработке ошибок или других чрезвычайных ситуаций, которые могут возникнуть в процессе выполнения задач, включая ограничения на использование системного ПО;

– необходимые контакты поддержки, в том числе внешней, на случай неожиданных эксплуатационных или технических проблем;

– специальные инструкции по управлению выводом данных и работе с носителями информации, например, использование специальных бланков или управление выводом конфиденциальных данных, включая процедуры безопасного уничтожения выходных данных в случае невыполнения задач;

– перезапуск системы и процедуры восстановления на случай системного сбоя;

– управление информацией, содержащейся в контрольных и системных журналах;

– процедуры мониторинга.

Управление изменениями

Меры и средства

Изменения в организации, бизнес-процессах и средствах обработки информации, влияющих на ИБ, должны контролироваться.

Рекомендации по реализации

В частности, необходимо рассмотреть следующие аспекты:

– определение и регистрацию существенных изменений;

– планирование и тестирование изменений;

– оценку возможных влияний таких изменений, включая влияния на ИБ;

– формальную процедуру утверждения предлагаемых изменений;

– проверку соответствия требованиям ИБ;

– подробное информирование об изменениях всех заинтересованных лиц;

– процедуры возврата в исходный режим, включая прерывание и последующее восстановление в случае неудачных изменений и непредвиденных обстоятельств;

– процесс чрезвычайного изменения для активации быстрого и контролируемого внедрения изменений, необходимых для решения инцидента.

Необходимо следовать формальным процедурам и обязанностям управления для достаточного контроля всех изменений. Журнал аудита, содержащий всю соответствующую информацию, должен сохраняться.

Неадекватный контроль изменений в системах и средствах обработки информации является общей причиной нарушений системы и безопасности. Изменения эксплуатационной среды, особенно при переводе системы из стадии разработки в стадию эксплуатации, могут влиять на надежность приложений.

Управление мощностью

Меры и средства