Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Политика чистого рабочего стола и экрана должна учитывать классификации информации, правовые и нормативные требования, соответствующие риски и культурные аспекты организации. Необходимо рассмотреть следующие рекомендации:

— носители (бумажные или электронные), содержащие чувствительную или критичную бизнес-информацию, когда они не используются, следует запирать (лучше всего, в сейфе или кабинете), особенно, если в оффисе никого нет;

— компьютеры и терминалы, оставленные без присмотра, следует выключать или защищать механизмом блокировки экрана или клавиатуры, контролируемого паролем, токеном или схожим механизмом аутентификации пользователя;

— необходимо предотвратить несанкционированное использование фотокопировальной и другой воспроизводящей технологии (например, сканеров, цифровых камер);

— документы, содержащие чувствительную или классифицированную информацию, необходимо немедленно изымать из принтеров.

Рекомендуется использовать принтеры с функцией ПИН-кода, когда только инициаторы печатания могут забрать из принтера готовый документ и вставить следующий.

Безопасность операций определяют следующие составляющие:

— операционные процедуры;

— контроль системного ПО;

— защита от вредоносного ПО;

— мониторинг и логи.

— резервное копирование;

— управление техническими уязвимостями;

— проведение аудита ИС.

8.1. Операционные процедуры

Цель: Обеспечить правильное и безопасное использование средств обработки информации.

Операционные процедуры обеспечивают следующие мероприятия:

— документирование процедур;

— управление изменениями;

— управление мощностью;

— разделение сред разработки, тестирования и эксплуатации.

Документирование процедур

Меры и средства

Операционные процедуры должны быть задокументированы и доступны для всех пользователей, которые в них нуждаются.

Рекомендации по реализации

Задокументированные процедуры должны быть подготовлены для функциональных действий, связанных со средствами обработки и передачи информации, таких как компьютерные процедуры запуска и завершения, резервное копирование, техническое обслуживание, работа с носителями, управление обработкой почты и безопасность.

Операционные процедуры должны определять эксплуатационные инструкции, включающие:

— инсталляцию и конфигурацию систем;

— обработку и управление информацией, как автоматизированное, так и ручное;

— резервное копирование;

— требования в отношении графика работ, включая взаимозависимости с другими системами, время начала первой и время завершения последней процедуры;

— инструкции по обработке ошибок или других чрезвычайных ситуаций, которые могут возникнуть в процессе выполнения задач, включая ограничения на использование системного ПО;

— необходимые контакты поддержки, в том числе внешней, на случай неожиданных эксплуатационных или технических проблем;

— специальные инструкции по управлению выводом данных и работе с носителями информации, например, использование специальных бланков или управление выводом конфиденциальных данных, включая процедуры безопасного уничтожения выходных данных в случае невыполнения задач;

— перезапуск системы и процедуры восстановления на случай системного сбоя;

— управление информацией, содержащейся в контрольных и системных журналах;

— процедуры мониторинга.

Управление изменениями

Меры и средства

Изменения в организации, бизнес-процессах и средствах обработки информации, влияющих на ИБ, должны контролироваться.

Рекомендации по реализации

В частности, необходимо рассмотреть следующие аспекты:

— определение и регистрацию существенных изменений;

— планирование и тестирование изменений;

— оценку возможных влияний таких изменений, включая влияния на ИБ;

— формальную процедуру утверждения предлагаемых изменений;

— проверку соответствия требованиям ИБ;

— подробное информирование об изменениях всех заинтересованных лиц;

— процедуры возврата в исходный режим, включая прерывание и последующее восстановление в случае неудачных изменений и непредвиденных обстоятельств;

— процесс чрезвычайного изменения для активации быстрого и контролируемого внедрения изменений, необходимых для решения инцидента.

Необходимо следовать формальным процедурам и обязанностям управления для достаточного контроля всех изменений. Журнал аудита, содержащий всю соответствующую информацию, должен сохраняться.

Неадекватный контроль изменений в системах и средствах обработки информации является общей причиной нарушений системы и безопасности. Изменения эксплуатационной среды, особенно при переводе системы из стадии разработки в стадию эксплуатации, могут влиять на надежность приложений.

Управление мощностью

Меры и средства