Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

– в зависимости от того, насколько срочно необходимо рассмотреть техническую уязвимость, предпринимаемое действие следует осуществлять в соответствии с мерами по управлению изменениями или процедурами реагирования на инцидент ИБ;

– при наличии возможности установки легального патча следует оценить риски, связанные с его установкой (риски от уязвимости сравнить с риском установки патча);

– перед установкой патчи следует тестировать и оценивать на предмет их эффективности и отсутствия недопустимых побочных эффектов; если нет патчей, следует рассмотреть другие меры защиты, такие как:

• отключение сервисов или возможностей, связанных с уязвимостью;

• адаптирование или добавление средств контроля доступа, например, сетевые экраны или границы;

• расширенный мониторинг для выявления актуальных атак;

• повышение осведомленности об уязвимости;

– следует вести журнал аудита для всех предпринятых процедур;

– следует регулярно проводить мониторинг и оценку процесса управления техническими уязвимостями на предмет его эффективности и действенности;

– в первую очередь надо обращать внимание на системы с высоким уровнем риска;

– процесс управления техническими уязвимостями должен быть совмещен с действиями по управлению инцидентом ИБ, чтобы данные по уязвимостям передавались группе реагирования на инцидент и обеспечивались технические процедуры в случае появления инцидента;

– следует определить процедуру для случая, когда для выявленой уязвимости невозможно найти контрмеру. В этом случае организация должна оценить риски, связанные с этой уязвимостью и предпринять соответствующие поисковые и корректирующие действия.

Управление техническими уязвимостями может быть частью управления изменениями и таким образом взять на себя часть процедур и процессов управления изменениями.

Как правило, разработчики ПО вынуждены реализовывать патчи как можно быстрее. Поэтому иногда патчи могут неадекватно решать проблему и создавать побочные негативные эффекты. Также в некоторых случаях после установки патча бывает сложно ее отменить.

При невозможности адекватного тестирования патчей перед их установкой следует осуществить оценку связанных с этим рисков с учетом опыта, накопленного другими пользователями.

Ограничение на установку ПО

Меры и средства

Правила установки ПО пользователями должны быть разработаны и внедрены.

Рекомендации по реализации

Организация должна определить и внедрить строгую политику того, какие типы ПО могут устанавливать пользователи.

Следуе применить принцип наименьшей привилегии. При наличии определенных привилегий пользователи могут устанавливать ПО. Организация должна определить, какие типы установки ПО разрешены (например, обновления и безопасные патчи для существующего ПО) и какие запрещены (например, ПО для персонального использования и ПО, происхождение которого неизвестно или подозрительно). Такие привилегии должны предоставляться на основании ролей связанных с этим пользователей.

Неконтролируемая установка ПО на компьютерные устройства может привести к появлению уязвимостей и последующей утечке информации, потере целостности или другим инцидентам ИБ или нарушению прав интеллектуальной собственности.

8.7. Проведение аудита ИС

Цель: Минимизировать влияние аудиторских действий на действующие системы.

Контроль аудита систем

Меры и средства

Аудиторские требования и действия по проверке действующих систем должны быть тщательно спланированы и согласованы, чтобы минимизировать сбои в бизнес-процессах.

Рекомендации по реализации

Аудиторские действия при проверке эксплуатируемых ИС не должны приводить к сбоям бизнес-процессов. Для этого необходимо учесть следующие рекомендации:

– аудиторские требования в отношении доступа к системам и данным следует согласовать|согласиться| с соответствующим руководством;

– контекст технических аудиторских тестов следует согласовать|согласиться| и контролировать|управлять, контролировать|;

– аудиторские тесты должны| иметь ограничение доступа к ПО и данным в виде «только для чтения»;

– другие виды доступа, кроме «только для чтения», должны быть разрешены| только для изолированных копий системных файлов, которые следует стереть после завершения аудита|проверка, ревизия| или обеспечить|предоставляет| соответствующей защитой в случае обязательства их хранения согласно требований аудиторской документации;

– требования специальной или дополнительной|аддиционной| обработки следует определить|опознать| и согласовать|согласиться|;

– аудиторские тесты, которые могут повлиять на возможности системы|готовность|, нужно проводить|запустить| в нерабочее время;

– все факты доступа|подход, припадок, прирост, приступ, проход| нужно контролировать и протоколировать, чтобы остался документальный след|хвост|.

От автора