Библибоба

Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Управление информационной безопасностью. Стандарты СУИБ (СИ)

Вадим Викторович Гребенников

– в зависимости от того, насколько срочно необходимо рассмотреть техническую уязвимость, предпринимаемое действие следует осуществлять в соответствии с мерами по управлению изменениями или процедурами реагирования на инцидент ИБ;

– при наличии возможности установки легального патча следует оценить риски, связанные с его установкой (риски от уязвимости сравнить с риском установки патча);

– перед установкой патчи следует тестировать и оценивать на предмет их эффективности и отсутствия недопустимых побочных эффектов; если нет патчей, следует рассмотреть другие меры защиты, такие как:

• отключение сервисов или возможностей, связанных с уязвимостью;

• адаптирование или добавление средств контроля доступа, например, сетевые экраны или границы;

• расширенный мониторинг для выявления актуальных атак;

• повышение осведомленности об уязвимости;

– следует вести журнал аудита для всех предпринятых процедур;

– следует регулярно проводить мониторинг и оценку процесса управления техническими уязвимостями на предмет его эффективности и действенности;

– в первую очередь надо обращать внимание на системы с высоким уровнем риска;

– процесс управления техническими уязвимостями должен быть совмещен с действиями по управлению инцидентом ИБ, чтобы данные по уязвимостям передавались группе реагирования на инцидент и обеспечивались технические процедуры в случае появления инцидента;

– следует определить процедуру для случая, когда для выявленой уязвимости невозможно найти контрмеру. В этом случае организация должна оценить риски, связанные с этой уязвимостью и предпринять соответствующие поисковые и корректирующие действия.

Управление техническими уязвимостями может быть частью управления изменениями и таким образом взять на себя часть процедур и процессов управления изменениями.

Как правило, разработчики ПО вынуждены реализовывать патчи как можно быстрее. Поэтому иногда патчи могут неадекватно решать проблему и создавать побочные негативные эффекты. Также в некоторых случаях после установки патча бывает сложно ее отменить.

При невозможности адекватного тестирования патчей перед их установкой следует осуществить оценку связанных с этим рисков с учетом опыта, накопленного другими пользователями.

Ограничение на установку ПО

Меры и средства

Правила установки ПО пользователями должны быть разработаны и внедрены.

Рекомендации по реализации

Организация должна определить и внедрить строгую политику того, какие типы ПО могут устанавливать пользователи.

Следуе применить принцип наименьшей привилегии. При наличии определенных привилегий пользователи могут устанавливать ПО. Организация должна определить, какие типы установки ПО разрешены (например, обновления и безопасные патчи для существующего ПО) и какие запрещены (например, ПО для персонального использования и ПО, происхождение которого неизвестно или подозрительно). Такие привилегии должны предоставляться на основании ролей связанных с этим пользователей.

Неконтролируемая установка ПО на компьютерные устройства может привести к появлению уязвимостей и последующей утечке информации, потере целостности или другим инцидентам ИБ или нарушению прав интеллектуальной собственности.

8.7. Проведение аудита ИС

Цель: Минимизировать влияние аудиторских действий на действующие системы.

Контроль аудита систем

Меры и средства

Аудиторские требования и действия по проверке действующих систем должны быть тщательно спланированы и согласованы, чтобы минимизировать сбои в бизнес-процессах.

Рекомендации по реализации

Аудиторские действия при проверке эксплуатируемых ИС не должны приводить к сбоям бизнес-процессов. Для этого необходимо учесть следующие рекомендации:

– аудиторские требования в отношении доступа к системам и данным следует согласовать|согласиться| с соответствующим руководством;

– контекст технических аудиторских тестов следует согласовать|согласиться| и контролировать|управлять, контролировать|;

– аудиторские тесты должны| иметь ограничение доступа к ПО и данным в виде «только для чтения»;

– другие виды доступа, кроме «только для чтения», должны быть разрешены| только для изолированных копий системных файлов, которые следует стереть после завершения аудита|проверка, ревизия| или обеспечить|предоставляет| соответствующей защитой в случае обязательства их хранения согласно требований аудиторской документации;

– требования специальной или дополнительной|аддиционной| обработки следует определить|опознать| и согласовать|согласиться|;

– аудиторские тесты, которые могут повлиять на возможности системы|готовность|, нужно проводить|запустить| в нерабочее время;

– все факты доступа|подход, припадок, прирост, приступ, проход| нужно контролировать и протоколировать, чтобы остался документальный след|хвост|.

От автора

Перейти на страницу:
Читать далее

Похожие книги

Искусство обмана
Искусство обмана

Вильям Л Саймон , Вильям Саймон , Наталья Владимировна Макеева , Нора Робертс , Юрий Викторович Щербатых

Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Короткие любовные романы / Психология / Прочая справочная литература / Образование и наука / Книги по IT / Словари и Энциклопедии
Читать бесплатно
UNIX
UNIX

В книге американских авторов — разработчиков операционной системы UNIX — блестяще решена проблема автоматизации деятельности программиста, системной поддержки его творчества, выходящей за рамки языков программирования. Профессионалам открыт богатый "встроенный" арсенал системы UNIX. Многочисленными примерами иллюстрировано использование языка управления заданиями shell.Для программистов-пользователей операционной системы UNIX.

А. М. Березко , Брайан Керниган , Брайан Уилсон Керниган , Роб Пайк

ОС и Сети, интернет / Интернет / ОС и Сети / Книги по IT
Без регистрации
Основы AS/400
Основы AS/400

Фрэнк Солтис

ОС и Сети, интернет / ОС и Сети / Книги по IT
Полная версия
Веб-дизайн
Веб-дизайн

Книга автора бестселлера `Факс-модем: от покупки и подключения до выхода в Интернет` — Дмитрия Кирсанова — первый полный курс веб-дизайна на русском языке, написанный профессиональным дизайнером. От теоретических основ визуального дизайна до интернетовских технологий и приемов практической работы над сайтом — все это есть в книге, написанной понятно, подробно и увлекательно. Издание будет полезно не только начинающим создателям сайтов, но и дизайнерам, работающим в более традиционных областях, специалистам по рекламе и маркетингу, художникам, программистам, — и, конечно же, всем творческим и любознательным людям.

Дмитрий Михайлович Кирсанов

ОС и Сети, интернет / Интернет / Книги по IT
Читать Онлайн
Избранное