Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Меры и средства

Группы информационных услуг, пользователей и ИС должны быть разделены в сетях.

Рекомендации по реализации

Одним из методов управления безопасностью больших сетей является их разделение на разные сетевые домены. Домены выбираются на базе доверенных уровней (например, домен публичного доступа, домен рабочего стола, домен сервера), среди объектов организации (например, кадры, финансы, маркетинг) и каких-то комбинаций (например, домен сервера, подключающийся к многим объектам организации). Для разделения также можно использовать разные физические сети и разные логические сети (например, виртуальные частные сети – англ. Virtual Private Network, VPN).

Периметр каждого домена следует хорошо определить. Доступ между сетевыми доменами допускается при условии наличия контроля периметра в виде «шлюза» (например, сетевой экран, фильтрующий маршрутизатор). Критерий разделение сетей внутри доменов и доступа через «шлюзы» должен базироваться на оценке требований безопасности каждого домена. Оценка должна проводиться в соответствии с правилами разграничения доступа, требованиями доступа, ценностью и классификацией информации и учитывать относительную стоимость и влияние на производительность применяемой технологии «шлюза».

Беспроводная сеть требует специального обращения из-за сложности определения ее периметра. Для чувствительных сред весь беспроводной доступ следует рассматривать как внешние подключения и отделить этот доступ от внутренних сетей «шлюзом», который в соответствии с политикой контроля сети будет предоставлять беспроводной доступ к внутренним сетям.

Аутентификации, шифрования и современных технологий контроля пользовательского уровня сетевого доступа, стандартов беспроводной сети может быть достаточно для осуществления прямого подключения к внутренней сети организации.

Сети часто выходят за пределы организации и как форма бизнес-сотрудничества требуют взаимосвязи и обмена устройствами сети и обработки информации. Такое распространение может повысить риск несанкционированного доступа к ИС организации, использующим сеть и требующим защиты от пользователей другой сети из-за чувствительности или критичности.

9.2. Передача информации

Цель: Поддерживать безопасность информации, передаваемой внутри организации и в любую стороннюю организацию.

Передачу информации определяют следующие составляющие:

– политика передачи информации;

– соглашения о передаче информации;

– электронный обмен информацией;

– соглашение о неразглашении.

Политики передачи информации

Меры и средства

Должны быть разработаны формальные политики, процедуры и меры безопасности для защиты передачи информации по всем типам средств связи.

Рекомендации по реализации

При использовании средств связи для передачи информации процедуры и меры безопасности должны содержать следущие элементы:

– процедуры защиты передаваемой информации от перехвата, копирования, модификации, ложной маршрутизации и разрушения:

– процедуры обнаружения вредоносного ПО, которое может передаваться при использовании электронных коммуникаций, и процедуры защиты от него;

– процедуры защиты передаваемой чувствительной электронной информации в форме прикрепленного файла;

– политику или руководящие принципы приемлемого использования средств связи;

– обязанности персонала, подрядчика или других пользователей не должны компрометировать организацию, например, дискредитация, запугивание, самозванство, пересылка письма «счастья», несанкционированная покупка и т.п.;

– использование средств криптографии, например, для защиты конфиденциальности, целостности и аутентичности информации;

– руководящие принципы сохранения и уничтожения всей бизнес-переписки, включая сообщения, в соответствии с национальным и региональным законодательством и нормативами;

– контроль и ограничения использования средств коммуникаций, например, автоматической пересылки электронной почты на внешние адреса;

– напоминание сотрудникам о принятии мер предосторожности, чтобы не раскрыть конфиденциальную информацию;

– неоставление сообщений, содержащих конфиденциальную информацию, на автоответчиках, поскольку они могут быть воспроизведены неуполномоченными лицами, храниться в общих системах или некорректно храниться из-за попадания не туда;

– напоминание сотрудникам о проблемах использования факсимильных аппаратов или сервисов, а именно:

• несанкционированный доступ к хранилищам встроенного сообщения для получения сообщения;

• умышленное и неумышленное программирование машин для отправки сообщения на специальные номера;

• отправка документов и сообщений на неправильный номер из-за попадания не туда или неправильно записанных номеров.

В дополнение сотрудникам следует напоминать, что они не должны вести конфиденциальные разговоры в публичных местах или незащищенных офисах и местах встреч и по незащищенным каналам связи.