Регуляторы безопасности и реализуемые
Регуляторы группы "разработка и сопровождение информационных систем" охватывают весь жизненных цикл систем. Первым шагом является анализ и задание требований безопасности. Основу анализа составляют:
- необходимость обеспечения конфиденциальности, целостности и доступности информационных активов;
- возможность использования различных регуляторов для предотвращения и выявления нарушений безопасности и для восстановления нормальной работы после отказа или нарушения безопасности.
В частности, следует рассмотреть необходимость:
- управления доступом к информации и сервисам, включая требования к разделению обязанностей и ресурсов;
- протоколирования для повседневного контроля или специальных расследований;
- контроля и поддержания целостности данных на всех или избранных стадиях обработки;
- обеспечения конфиденциальности данных, возможно, с использованием криптографических средств;
- выполнения требований действующего законодательства, договорных требований и т.п.
- резервного копирования производственных данных;
- восстановления систем после отказов (особенно для систем с повышенными требованиями к доступности);
- защиты систем от несанкционированных модификаций;
- безопасного управления системами и их использования сотрудниками, не являющимися специалистами.
Подгруппа регуляторов, обеспечивающих безопасность прикладных систем, включает:
- проверку входных данных;
- встроенные проверки корректности данных в процессе их обработки;
- аутентификацию сообщений как элемент контроля их целостности;
- проверку выходных данных.
Третью подгруппу рассматриваемой группы составляют криптографические регуляторы. Их основой служит документированная политика использования средств криптографии. Стандартом предусматривается применение шифрования, электронных цифровых подписей, механизмов неотказуемости, средств управления ключами.
Четвертая подгруппа - защита системных файлов - предусматривает:
- управление программным обеспечением, находящимся в эксплуатации;
- защиту тестовых данных систем;
- управление доступом к библиотекам исходных текстов.
Регуляторы пятой подгруппы направлены на обеспечение безопасности процесса разработки и вспомогательных процессов. В нее входят следующие регуляторы:
- процедуры управления внесением изменений;
- анализ и тестирование систем после внесения изменений;
- ограничение на внесение изменений в программные пакеты;
- проверка наличия скрытых каналов и троянских программ;
- контроль за разработкой ПО, выполняемой внешними организациями.
Группа "управление бесперебойной работой организации" исключительно важна, но устроена существенно проще. Она включает пять регуляторов, направленных на предотвращение перерывов в деятельности предприятия и защиту критически важных бизнес-процессов от последствий крупных аварий и отказов:
- формирование процесса управления бесперебойной работой организации;
- выработка стратегии (на основе анализа рисков) обеспечения бесперебойной работы организации;
- документирование и реализация планов обеспечения бесперебойной работы организации;
- поддержание единого каркаса для планов обеспечения бесперебойной работы организации, чтобы гарантировать их согласованность и определить приоритетные направления тестирования и сопровождения;
- тестирование, сопровождение и регулярный пересмотр планов обеспечения бесперебойной работы организации на предмет их эффективности и соответствия текущему состоянию.
Процесс планирования бесперебойной работы организации должен включать в себя:
- идентификацию критически важных производственных процессов и их ранжирование по приоритетам;
- определение возможного воздействия аварий различных типов на производственную деятельность;
- определение и согласование всех обязанностей и планов действий в нештатных ситуациях;
- документирование согласованных процедур и процессов;
- подготовку персонала к выполнению согласованных процедур и процессов в нештатных ситуациях.
Для обеспечения бесперебойной работы организации необходимы процедуры трех типов:
- процедуры реагирования на нештатные ситуации;
- процедуры перехода на аварийный режим;
- процедуры возобновления нормальной работы.
Примерами изменений, которые могут потребовать обновления планов, являются:
- приобретение нового оборудования или модернизация систем;
- новая технология выявления и контроля проблем, например, обнаружения пожаров;
- кадровые или организационные изменения;
- смена подрядчиков или поставщиков;
- изменения, внесенные в производственные процессы;
- изменения, внесенные в пакеты прикладных программ;
- изменения в эксплуатационных процедурах;
- изменения в законодательстве.
Назначение регуляторов последней, десятой группы - контроль соответствия требованиям. В первую очередь имеется в виду соответствие требованиям действующего законодательства. Для этого необходимо:
- идентифицировать применимые законы, нормативные акты и т.п.
- обеспечить соблюдение законодательства по защите интеллектуальной собственности;
- защитить деловую документацию от утери, уничтожения или фальсификации;
- обеспечить защиту персональных данных;
- предотвратить незаконное использование средств обработки информации;
- обеспечить выполнение законов, касающихся криптографических средств;
- обеспечить сбор свидетельств на случай взаимодействия с правоохранительными органами.
Ко второй подгруппе отнесены регуляторы, контролирующие соответствие политике безопасности и техническим требованиям. Руководители всех уровней должны убедиться, что все защитные процедуры, входящие в их зону ответственности, выполняются должным образом и что все такие зоны регулярно анализируются на предмет соответствия политике и стандартам безопасности. Информационные системы нуждаются в регулярной проверке соответствия стандартам реализации защитных функций.
Регуляторы, относящиеся к аудиту информационных систем, объединены в третью подгруппу. Их цель - максимизировать эффективность аудита и минимизировать помехи, создаваемые процессом аудита, равно как и вмешательство в этот процесс. Ход аудита должен тщательно планироваться, а используемый инструментарий - защищаться от несанкционированного доступа.
На этом мы завершаем рассмотрение регуляторов безопасности, предусмотренных стандартом BS 7799.