Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

В 1969 году была основана Ассоциация аудита и контроля ИС «ISACA» (Information System Audit and Control Association), которая в настоящее время объединяет около 20 тысяч членов из более чем 100 стран. Ассоциация координирует деятельность более чем 12 тысяч аудиторов ИС. Официальный сайт: www.isaca.org.

Основная декларируемая цель ассоциации – это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами ИС.

В помощь профессиональным аудиторам, администраторам и заинтересованным пользователям ассоциацией и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт «CoBiT».

«CoBiT» (Control оbjectives for information and related technologies – Контрольные объекты информационных и смежных технологий) – это открытый стандарт, первое издание которого в 1996 году было продано в 98 странах по всему миру и облегчило работу профессиональных аудиторов в сфере информационных технологий.

Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно, на современном уровне получить представление и управлять целями и задачами, решаемыми ИС. Стандарт учитывает все особенности информационных систем любого масштаба и сложности.

Основополагающее правило, положенное в основу «CoBiT»: ресурсы ИС должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией. Версию 4.1 стандарта на украинском языке можно скачать на сайте «ISACA».

Безопасность связи обеспечивают следующие мероприятия:

– управление сетевой безопасностью;

– передача информации.

9.1. Управление сетевой безопасностью

Цель: Обеспечить защиту информации в сетях и поддерживающих средствах обработки информации.

Управление сетевой безопасностью определяют следующие составляющие:

– сетевые меры защиты;

– безопасность сетевых сервисов;

– разделение в сетях.

Сетевые меры защиты

Меры и средства

Сети должны управляться и контролироваться для защиты информации в системах и приложениях.

Рекомендации по реализации

Следует внедрить меры защиты для обеспечения безопасности информации в сетях и защиты подключенных сервисов от несанкционированного доступа. В частности, необходимо рассмотреть следующие вопросы:

– следует установить обязанности и процедуры управления сетевым оборудованием;

– следует разделить, при необходимости, ответственность за сетевые операции и компьютерные операции;

– специальные меры защиты следует внедрить для обеспечения конфиденциальности и целостности данных, передаваемых по общедоступным сетям или беспроводным сетям, а также для поддержки подключенных систем и приложений, доступности сетевых сервисов и подключенных компьютеров;

– соответствующее протоколирование и мониторинг должны применяться для записи и определения действий, связанных или имеющих значение для ИБ;

– управляющие действия должны тщательно координироваться для оптимизации сервиса и согласованного внедрения мер защиты в инфраструктуру обработки информации;

– системы должны проходить в сети аутентификацию;

– подключения системы к сети должны ограничиваться.

Безопасность сетевых сервисов

Меры и средства

Механизмы безопасности, уровни сервиса и управленческие требования должны быть определены и включены в соответствующие соглашения.

Рекомендации по реализации

Следует определить и регулярно мониторить способность провайдера сетевого сервиса безопасно управлять согласованными сервисами, а также согласовать право на аудит.

Следует определить меры безопасности, необходимые для особых сервисов, таких как особенности безопасности, уровни сервиса и управленческие требования. Организация должна удостовериться, что провайдеры сетевого сервиса выполнили эти меры.

Сетевые сервисы включают обеспечение подключений, личные сетевые сервисы и сети платных услуг (англ. value added network, VON) и управленческие решения по сетевой безопасности, такие как сетевые экраны и системы обнаружения вторжения. Диапазон таких сервисов простирается от простого неуправляемого траффика до комплексных платных услуг.

Особенностями безопасности сетевых сервисов могут быть:

– технология безопасности сетевых сервисов, такая как аутентификация, шифрование, контроль сетевого подключения;

– технические параметры безопасного подключения к сетевым сервисам в соответствии с правилами безопасности и сетевого подключения;

– при необходимости, процедуры использования сетевого сервиса, ограничивающие доступ к сетевым сервисам и приложениям.

Разделение в сетях