Международный стандарт ISO 17799
В 1993 г. министерство торговли Великобритании опубликовало пособие о практических аспектах обеспечения информационной безопасности в коммерческих организациях и компаниях. Пособие оказалось удачным, его стали использовать администраторы безопасности многих организаций. Позже доработанная версия этого пособия была принята в качестве Британского стандарта BS 7799 «Практические правила управления информационной безопасностью» (1995 г.). Стандарт начали применять на добровольной основе не только в Великобритании, но и в других странах. В 1998 г. вышла вторая часть стандарта, относящаяся к вопросам аудита информационной безопасности. В 2000 г. был принят международный стандарт ISO 17799 [209], основанный на BS 7799. В сентябре 2002 г. главные положения ISO 17799 были пересмотрены и дополнены с учетом развития современных информационных технологий и требований к организации режима ИБ. В настоящее время это наиболее распространенный документ среди организаций и предприятий, которые пользуются подобными стандартами на добровольной основе, однако в нем отсутствует раздел, посвященный аудиту (аналог BS 7799, часть 2).
Обзор стандарта BS 7799
Часть 1: Практические рекомендации, 2000 г. Определяются и рассматриваются следующие аспекты организации режима ИБ:
– политика безопасности;
– организация защиты;
– классификация информационных ресурсов и управление ими;
– управление персоналом;
– физическая безопасность;
– администрирование компьютерных систем и сетей;
– управление доступом к системам;
– разработка и сопровождение систем;
– планирование бесперебойной работы организации;
– проверка системы на соответствие требованиям ИБ.
Часть 2: Спецификации, 2000 г. [208]. Посвящена тем же аспектам, но с точки зрения сертификации режима ИБ на соответствие требованиям стандарта.
Рассмотрим основные положения стандарта ISO 17799 (BS 7799). При этом будем придерживаться методологической схемы, предложенной Национальным институтом стандартов Великобритании, а именно: сначала сформулируем проблемную ситуацию стандарта, основные цели ее разрешения, а затем укажем рекомендации по управлению ИБ на предприятии.
Раздел 1. Политика ИБ
Цель. Сформулировать задачи и обеспечить поддержку мер в области информационной безопасности со стороны руководства организации.
Часть 1. Высшее руководство должно поставить четкую цель и показать свою поддержку и заинтересованность в вопросах ИБ и распространении политики безопасности среди сотрудников организации.
Необходимо, чтобы документ, в котором изложена политика ИБ, был доступен всем сотрудникам, отвечающим за обеспечение режима ИБ, и содержал рассмотрение следующих вопросов:
– определение ИБ;
– причины, по которым ИБ имеет большое значение для организации;
– цели и показатели ИБ, допускающие возможность измерения.
Часть 2. Обращается внимание на отсутствие специальных формальных требований к политике безопасности.
Раздел 2. Организация защиты
2.1. Инфраструктура ИБ
Цель. Управлять ИБ в организации.
Часть 1. Для обеспечения режима ИБ надо создать в организации соответствующую структуру управления. Должны проводиться регулярные совещания руководства, посвященные коррекции политики ИБ, распределению обязанностей по обеспечению защиты и координации действий, направленных на поддержание режима безопасности. В случае необходимости следует привлечь для консультаций специалистов в области защиты информации. Рекомендуется установить контакты с аналогичными специалистами других организаций, чтобы быть в курсе современных тенденций и стандартов, а также для рассмотрения случаев нарушения защиты. Надо всячески поощрять комплексный подход к проблемам ИБ, например совместную работу аудиторов, пользователей и администраторов, в целях более эффективного решения проблем.
Часть 2. Должно быть выполнено независимое тестирование. Возможно проведение тестирования внешней организацией либо внутренними аудиторами, не занимающимися данной системой управления ИБ.
2.2. Обеспечение безопасности при доступе сторонних пользователей и организаций
Цель. Обеспечить безопасность информационных ресурсов организации, к которым имеют доступ посторонние.
Часть 1. Следует провести анализ рисков нарушения защиты, чтобы определить требования к средствам контроля. Эти средства должны быть согласованы и определены в договоре, заключенном со сторонней организацией.
Часть 2. Анализ договорных требований и проверка их выполнения являются обязательными.
Раздел 3. Классификация ресурсов и их контроль
3.1. Ответственность за ресурсы
Цель. Обеспечить надлежащую защиту ресурсов организации.
Часть 1. Все основные информационные ресурсы должны быть учтены и иметь ответственных. Кроме того, следует назначить ответственных за реализацию соответствующих защитных мер.
Часть 2. При проведении аудита необходимо проверить список ресурсов, в котором должны быть указаны:
– тип ресурса, серийный номер;
– ответственный;
– уровень секретности;
– местонахождение;
– носители информации (для данных);
– дата ввода и контрольной проверки.
3.2. Классификация информации
Цель. Обеспечить надлежащий уровень защиты информационных ресурсов.
Часть 1. Чтобы задать приоритеты в области обеспечения ИБ, надлежит классифицировать информацию по категориям критичности. Некоторые виды информации могут потребовать дополнительной защиты или специального обращения. Категории критичности информации позволяют определить уровни ее защиты и уведомить пользователей о необходимости специального обращения с этой информацией.
Часть 2. Аудиторы должны убедиться, что система классификации по категориям критичности является четкой и полной, соответствует политике ИБ, понимается сотрудниками и периодически пересматривается.
Раздел 4. Управление персоналом
4.1. Вопросы безопасности в должностных инструкциях по доступу к ресурсам
Цель. Уменьшить риск ошибок персонала, краж, мошенничества или незаконного использования ресурсов:
Часть 1. Аспекты, связанные с безопасностью, следует учитывать еще на стадии набора персонала, включать их в должностные инструкции и договоры, а также контролировать в течение всего времени работы данного сотрудника. Руководителям необходимо убедиться в том, что в должностных инструкциях отражена вся соответствующая данной должности ответственность за безопасность. Обязательно надлежащим образом проверить принимаемых на работу лиц, особенно если они будут иметь дело с критичной информацией. Весь персонал организации и пользователи информационных ресурсов из сторонних организаций должны подписать обязательство о конфиденциальности (неразглашении).
Часть 2. Аудиторам надо проверить должностные инструкции персонала и процедуру отбора кандидатов на должности, связанные с доступом к критически важной информации.
4.2. Обучение пользователей
Цель. Убедиться в том, что пользователи осведомлены об угрозах нарушения режима ИБ и понимают значение защиты, а также имеют навыки выполнения процедур, необходимых для нормального функционирования системы безопасности организации.
Часть 1. Пользователи должны быть обучены процедурам защиты и правильному обращению с информационными ресурсами. Необходимо также официально, в письменной форме, утвердить разрешенный пользователям доступ (права и ограничения).
Часть 2. Проверка выполнения требований, изложенных в части 1, обязательна.
4.3. Реагирование на события, таящие угрозу безопасности
Цель. Минимизировать ущерб от нарушений режима ИБ и не допускать повторений инцидентов.
Часть 1. О нарушениях режима ИБ необходимо немедленно довести до сведения руководства по административным каналам. Всех сотрудников следует ознакомить с процедурой уведомления о различных типах инцидентов (нарушение безопасности, угроза безопасности или сбои). Они обязаны сообщать обо всех случаях такого рода в соответствующую службу. В организации должна быть установлена формальная процедура наложения дисциплинарных взысканий на сотрудников, которые нарушают режим безопасности.
Часть 2. Аудиторам необходимо проверить, существует ли четкое определение того, что является нарушением режима ИБ, и знает ли персонал об этом.
Раздел 5. Физическая безопасность
5.1. Зоны безопасности
Цель. Предотвратить несанкционированный доступ к СВТ и сервисам, их повреждение и вмешательство в их работу.
Часть 1. Информационные системы, поддерживающие критически важные или уязвимые сервисы организации, должны быть размещены в защищенных местах. Для уменьшения риска несанкционированного доступа или повреждения бумажной документации и носителей информации рекомендуется установить правила использования рабочего стола.
Часть 2. Аудиторам следует удостовериться, что критически важные ресурсы размещены в зонах безопасности, имеющих соответствующий пропускной режим.
5.2. Защита оборудования
Цель. Предотвратить потерю, повреждение и компрометацию ресурсов, а также перебои в работе организации.
Часть 1. Необходимо обеспечить физическую защиту оборудования, чтобы не допустить его повреждения. Следует уделить внимание проблемам размещения оборудования и его утилизации. Могут потребоваться специальные меры для защиты от несанкционированного доступа и других угроз, а также для сохранности вспомогательного оборудования, например системы электропитания и кабельных сетей.
Часть 2. Аудиторы должны проверить состояние физической защиты оборудования, поддерживающей инфраструктуры, защиту от аварий электроснабжения, техническое обслуживание. Особое внимание уделяется обследованию оборудования, расположенного вне здания.
Раздел 6. Администрирование информационных систем
6.1. Правила эксплуатации и ответственные за их соблюдение
Цель. Обеспечить правильную и надежную работу информационных систем.
Часть 1. Необходимо определить обязанности и процедуры по администрированию и обеспечению функционирования компьютеров и сетей. Все это должно быть зафиксировано в инструкциях и процедурах реагирования на инциденты. Для уменьшения риска некорректных или несанкционированных действий следует применять принцип разделения обязанностей.
Часть 2. Аудиторам надо проверить наличие правил по эксплуатации, разработке, сопровождению, тестированию и убедиться, что все необходимые операции должным образом документированы.
6.2. Проектирование информационных систем и их приемка
Цель. Свести риск отказов информационных систем к минимуму.
Часть 1. Доступность ресурсов и требуемая производительность информационных систем обеспечивается предварительным планированием и подготовкой. Чтобы уменьшить риск перегрузки систем, необходимо оценить будущие потребности и нужную производительность. Эксплуатационные требования к новым системам следует определить, документировать и проверить до их приемки. Должны быть выработаны требования к переходу на аварийный режим для сервисов, поддерживающих несколько приложений.
Часть 2. Аудиторам надлежит проверить критерии приемки информационных систем и оценки их производительности, а также планы восстановительных работ по каждому сервису.
6.3. Защита от вредоносного программного обеспечения
Цель. Обеспечить целостность данных и программ.
Часть 1. Предотвращение и выявление случаев внедрения вредоносного программного обеспечения достигается путем принятия соответствующих мер предосторожности. В настоящее время существует целый ряд вредоносных программ («компьютерные вирусы», «сетевые черви», «троянские кони» и «логические бомбы»), которые используют уязвимость программного обеспечения по отношению к несанкционированной модификации. Администраторы информационных систем должны быть всегда готовы к проникновению вредоносного программного обеспечения в информационные системы и принимать специальные меры, позволяющие предотвращать или обнаруживать его внедрение. В частности, важно принять меры предосторожности, чтобы не допускать появления компьютерных вирусов на персональных компьютерах или выявлять их.
Часть 2. Аудиторам следует убедиться, что процедуры, препятствующие внедрению вредоносного программного обеспечения, должным образом документированы, приняты адекватные меры предосторожности, случаи заражения регистрируются.
6.4. Обслуживание систем
Цель. Обеспечить целостность и доступность информационных сервисов.
Часть 1. Поддерживать целостность и доступность сервисов позволяет выполнение некоторых служебных процедур. Должны быть сформированы стандартные процедуры резервного копирования, регистрации событий и сбоев, а также контроля условий функционирования оборудования.
Часть 2. Аудиторам необходимо убедиться, что процедуры резервного копирования соответствуют требованиям организации, операторы ведут протоколы всех производимых операций, неисправности регистрируются и принимаются меры по их устранению.
6.5. Сетевое администрирование
Цель. Обеспечить защиту информации в сетях.
Часть 1. Управление безопасностью сетей, отдельные сегменты которых находятся за пределами организации, требует особого внимания. Для защиты конфиденциальных данных, передаваемых по открытым сетям, могут понадобиться специальные меры.
Часть 2. Аудиторы должны проверить защитные меры, применяемые в организации.
6.6. Защита носителей информации
Цель. Предотвратить повреждение информационных ресурсов и перебои в работе организации.
Часть 1. Необходимо контролировать носители информации и обеспечивать их физическую защиту. Следует определить процедуры для защиты носителей информации (магнитных лент, дисков, кассет), входных/выходных данных и системной документации от повреждения, хищения и несанкционированного доступа.
Часть 2. Аудиторы должны проверить установленные процедуры контроля, режим хранения носителей информации.
6.7. Обмен данными и программным обеспечением
Цель. Предотвратить потери, модификацию и несанкционированное использование данных.
Часть 1. Обмены данными и программами между организациями необходимо осуществлять на основе формальных соглашений. Должны быть установлены процедуры и стандарты для защиты носителей информации во время их транспортировки. Необходимо уделять внимание обеспечению безопасности при использовании электронного обмена данными и сообщениями электронной почты.
Часть 2. Аудиторам надлежит проверить существующие меры защиты электронного обмена данными и меры ИБ внутреннего электронного документооборота.
Раздел 7. Управление доступом
7.1. Управление доступом к служебной информации
Цель. Обеспечить контроль доступа к информации.
Часть 1. В организации должны быть установлены правила распространения информации и разграничения доступа. Доступ к сервисам и данным в системе необходимо контролировать в соответствии с требованиями организации.
Часть 2. Аудиторам следует проверить соответствие установленных правил доступа к информации существующей производственной необходимости.
7.2 Управление доступом пользователей
Цель. Предотвратить несанкционированный доступ к информационной системе.
Часть 1. Для управления процессом предоставления прав доступа к информационным системам требуются формальные процедуры. Эти процедуры должны включать все стадии жизненного цикла управления доступом пользователей - от начальной регистрации до удаления учетных записей пользователей, для которых доступ закрывается. Особое внимание следует уделить процессу предоставления прав суперпользователя, позволяющих обойти средства системного контроля.
Часть 2. Аудиторы должны проверить формальные процедуры регистрации и соответствие фактического положения вещей установленным процедурам. Необходимо проконтролировать предоставление особых привилегий.
7.3. Обязанности пользователей
Цель. Предотвратить несанкционированный доступ пользователей.
Часть 1. Важным условием поддержания режима ИБ является помощь зарегистрированных пользователей. Пользователи должны знать свои обязанности по обеспечению контроля доступа, особенно в части использования паролей и защиты пользовательского оборудования.
Часть 2. Аудиторам надлежит проверить знание пользователями своих обязанностей и фактическое их выполнение.
7.4. Управление доступом к сети
Цель. Предотвратить несанкционированный доступ к сервисам, включенным в сеть.
Часть 1. Подключение сервисов в сеть следует контролировать, чтобы защитить другие сетевые сервисы. К числу средств контроля должны относиться:
– интерфейсы между сетевыми сервисами;
– механизмы аутентификации удаленных пользователей и оборудования;
– контроль доступа пользователей к информационным системам.
Часть 2. Аудиторы должны убедиться, что пользователи имеют доступ только к тем сервисам, которые им необходимы. Если проводится политика управления маршрутизацией, требуется выяснить, как она реализуется на практике.
7.5. Управление доступом к компьютерам
Цель. Предотвратить несанкционированный доступ к компьютерам.
Часть 1. Доступ следует предоставлять только зарегистрированным пользователям. Многопользовательские системы должны:
– идентифицировать и проверять подлинность пользователей, а также, если это потребуется, терминал и/или местонахождение пользователя;
– фиксировать удачные и неудачные попытки входа;
– предоставить систему управления паролями, которая обеспечивает выбор надежных паролей;
– в случае надобности ограничивать длительность сеансов работы пользователей.
Существуют также более мощные и дорогостоящие системы управления доступом, обращение к которым оправдано в ситуации высокого риска нарушения режима безопасности.
Часть 2. Аудиторы должны проверить как минимум применение парольной защиты: периодичность смены паролей, использование общих паролей, длину и структуру паролей. При необходимости контролируются прочие механизмы: идентификация терминалов для некоторых соединений, система сигнализации о попытках несанкционированного доступа.
7.6. Управление доступом к приложениям
Цель. Предотвратить несанкционированный доступ к информации, хранимой в информационных системах.
Часть 1. Для управления доступом к прикладным системам и данным нужны средства логического контроля доступа. Доступ к программам и данным следует предоставлять только зарегистрированным пользователям. Прикладные системы должны:
– контролировать доступ пользователей к данным и приложениям в соответствии с политикой управления доступом, принятой в организации;
– обеспечивать защиту от несанкционированного доступа утилит, которые способны обойти средства системного контроля;
– не нарушать защиту других систем, с которыми они разделяют информационные ресурсы.
Часть 2. Аудиторам следует проверить существующие ограничения на доступ.
7.7. Слежение за доступом к системам и их использованием
Цель. Выявить несанкционированные действия.
Часть 1. Чтобы выяснить, как осуществляется политика управления доступом, необходимо проводить текущий контроль системы. Это требуется для определения эффективности принятых мер и установления соответствия политики управления доступом существующей практике.
Часть 2. Аудиторам следует убедиться, что политика управления доступом отвечает существующей практике.
Раздел 8. Разработка и сопровождение информационных систем
8.1. Требования к ИБ систем
Цель. Обеспечить встраивание средств защиты в информационные системы.
Часть 1. Требования к безопасности должны быть сформулированы и согласованы до разработки информационных систем. Средства защиты оказываются более дешевыми и эффективными, если их встроить на стадиях задания требований и проектирования. Все требования к безопасности, включая необходимость перехода на аварийный режим для продолжения обработки информации, следует определить на стадии формирования требований к проекту, обосновать, согласовать и документировать в рамках общего плана работ по созданию информационной системы.
Часть 2. Аудиторы должны убедиться, что на стадии проектирования был проведен анализ вопросов безопасности.
8.2. Средства обеспечения ИБ в прикладных системах
Цель. Предотвратить потерю, модификацию и несанкционированное использование данных в прикладных системах. При проектировании прикладных систем необходимо встроить в них надлежащие средства управления безопасностью, в том числе средства протоколирования и аудита.
Часть 1. Проектирование и эксплуатация систем должны соответствовать стандартам базового уровня защищенности.
Системы, которые поддерживают исключительно уязвимые, ценные или критически важные информационные ресурсы организации или оказывают на них влияние, могут потребовать принятия дополнительных мер противодействия. Такие меры следует определить исходя из рекомендаций специалиста по безопасности с учетом идентифицированных угроз и возможных последствий их реализации.
Часть 2. Аудиторам надлежит убедиться, что обеспечивается базовый уровень защищенности при вводе данных, информация большой степени секретности шифруется, используются механизмы проверки подлинности сообщений.
8.3. Защита файлов
Цель. Обеспечить информационную безопасность при разработке и поддержке информационных систем.
Часть 1. Доступ к системным файлам необходимо контролировать. Поддержание целостности прикладных систем должно быть обязанностью пользователя или группы разработки, которой принадлежит данная прикладная система или программное обеспечение.
Часть 2. Аудиторам следует выяснить, как устанавливаются и тестируются новые версии, регистрируются изменения, хранятся рабочие версии ПО.
8.4. Безопасность в среде разработки и эксплуатационной среде
Цель. Обеспечить информационную безопасность прикладного ПО и данных.
Часть 1. Среду разработки и эксплуатационную среду необходимо жестко контролировать. Администраторы, отвечающие за прикладные системы, должны анализировать изменения, которые предлагаются для внесения в системы, чтобы убедиться, что они не нарушат безопасность среды разработки или эксплуатационной среды.
Часть 2. Аудиторам надо проверить наличие процедур контроля на всех этапах жизненного цикла.
Раздел 9. Планирование бесперебойной работы организации
9.1. Вопросы планирования бесперебойной работы организации
Цель. Составить планы предотвращения перебоев в работе организации.
Часть 1. Для защиты критически важных производственных процессов от последствий крупных аварий и катастроф требуются планы обеспечения бесперебойной работы организации. Должен существовать процесс разработки и реализации планов быстрого восстановления критически важных производственных процессов и сервисов. В процесс планирования бесперебойной работы необходимо включать меры по идентификации и уменьшению рисков, ликвидации последствий реализации угроз и быстрому восстановлению основных производственных процессов и сервисов.
Часть 2. Аудиторам следует проверить общие принципы имеющихся планов обеспечения бесперебойной работы организации и практику их реализации.
Раздел 10. Проверка системы на соответствие требованиям ИБ
10.1. Выполнение требований действующего законодательства
Цель. Избежать нарушений договорных обязательств и требований действующего законодательства при поддержании режима ИБ.
Часть 1. При разработке, сопровождении и эксплуатации информационных систем должны учитываться правовые и договорные требования к безопасности. Их необходимо сформулировать в явном виде и документировать. То же самое относится и к выбранным средствам контроля.
Часть 2. Аудиторы должны убедиться в соблюдении норм действующего законодательства, а также мер по защите важных документов и личной информации.
10.2. Проверка режима ИБ на соответствие политике безопасности
Цель. Обеспечить соответствие режима ИБ политике и стандартам безопасности организации.
Часть 1. Состояние режима ИБ требует регулярной проверки.
Следует удостовериться, что режим ИБ отвечает декларированной политике безопасности и принятым стандартами обеспечения безопасности.
Часть 2. Должны регулярно контролироваться все стороны деятельности, имеющие отношение к безопасности, и степень их соответствия политике безопасности.
10.3. Меры безопасности при тестировании
Цель. Минимизировать вмешательство в процесс тестирования и воздействие тестирования на штатную работу.
Часть 1. Необходимо иметь средства для защиты рабочих и тестируемых систем.
Часть 2. Аудиторы проверяют наличие планов тестирования и организацию доступа к инструментальным средствам тестирования.