Категоріювання інформації та інформаційних систем присвоєння категорії. Положення про категорірованіі ресурсів інформаційної банківської системи

Михайло Коптенко | © М. Коптенко

Інформаційна безпека - це стан захищеності інформаційного середовища. Інформаційна безпека повинна розглядатися як комплекс заходів, серед яких не можна виділити більш-менш важливі. Поняття інформаційної безпеки тісно пов'язане з поняттям захисту інформації, яке представляє собою діяльність щодо запобігання витоку інформації, що захищається, несанкціонованих і ненавмисних дій на неї, т. Е. Процес, спрямований на досягнення стану інформаційної безпеки. Однак, перш ніж захищати інформацію, необхідно визначити, яку саме інформацію слід захищати і в якій мірі. Для цього застосовується категорирование (класифікація) інформації, т. Е. Встановлення градацій важливості забезпечення безпеки інформації та віднесення конкретних інформаційних ресурсів до відповідних категорій. Таким чином, категорирование інформації можна назвати першим кроком на шляху до забезпечення інформаційної безпеки організації.

Історично склалося, що при класифікації інформації її відразу ж починають класифікувати за рівнем секретності (конфіденційності). При цьому вимоги щодо забезпечення доступності і цілісності часто не враховуються або враховуються нарівні із загальними вимогами до систем обробки інформації. Це неправильний підхід. У багатьох областях частка конфіденційної інформації порівняно мала. для відкритої інформації, Збиток від розголошення якої відсутній, найважливішими властивостями є: доступність, цілісність і захищеність від неправомірного копіювання. Як приклад можна привести інтернет-магазин, де важливо постійно підтримувати доступність до веб-сайту компанії. Виходячи з необхідності забезпечення різних рівнів захисту інформації можна ввести різні категорії конфіденційності, цілісності та доступності.

1. Категорії конфіденційності інформації, що захищається

Конфіденційність інформації - властивість інформації, що вказує на необхідність введення обмежень на коло осіб, що мають доступ до цієї інформації.
Вводяться наступні категорії конфіденційності інформації:
– - інформація, яка є конфіденційною відповідно до вимог законодавства, а також інформація, обмеження на поширення якої введені рішеннями керівництва організації, розголошення якої може привести до нанесення значного збитку діяльності організації.
– Конфіденційна інформація - інформація, яка не є строго конфіденційною, обмеження на поширення якої вводяться тільки рішенням керівництва організації, розголошення якої може привести до нанесення збитку діяльності організації.
– відкрита інформація - до цієї категорії відноситься інформація, забезпечення конфіденційності якої не потрібно.

2. Категорії цілісності інформації

Цілісність інформації - властивість, при виконанні якого дані зберігають заздалегідь певний вид і якість (залишаються незмінними по відношенню до деякого фіксованого стану).
Вводяться наступні категорії цілісності інформації:
– висока - до цієї категорії відноситься інформація, несанкціонована модифікація або підробка якої може привести до нанесення значного збитку діяльності організації.
– низька - до цієї категорії відноситься інформація, несанкціонована модифікація якої може привести до нанесення помірного або незначного збитку діяльності організації.
– немає вимог - до цієї категорії відноситься інформація, до забезпечення цілісності якої вимог не висувають.

3. Категорії доступності інформації

Доступність - стан інформації, при якому суб'єкти, які мають право доступу, можуть реалізовувати його безперешкодно.
Вводяться наступні категорії доступності інформації:
– - доступ до інформації повинен забезпечуватися в будь-який час (затримка отримання доступу до інформації не повинна перевищувати декількох секунд або хвилин).
– висока доступність - доступ до інформації має здійснюватися без істотних тимчасових затримок (затримка отримання доступу до інформації не повинна перевищувати декількох годин).
– Середня доступність - доступ до інформації може забезпечуватися з істотними тимчасовими затримками (затримка отримання інформації не повинна перевищувати декількох днів).
– низька доступність - тимчасові затримки при доступі до інформації практично не лімітовані (допустима затримка отримання доступу до інформації - кілька тижнів).

З перерахованого вище видно, що категорії конфіденційності та цілісності інформації безпосередньо залежать від величини збитку діяльності організації при порушенні цих властивостей інформації. Категорії доступності в меншій мірі, але також залежать від величини збитку діяльності організації. Для визначення величини збитку використовується його суб'єктивна оцінка і вводиться трирівнева шкала: значної шкоди, помірний збиток і низький збиток (або відсутність збитків).
низький, Якщо втрата доступності, конфіденційності та / або цілісності інформації має незначний негативний вплив на діяльність організації, її активи і персонал.
Незначність негативного впливу означає, що:
- організація залишається здатною виконувати свою діяльність, але ефективність основних функцій виявляється зниженою;
- активам організації наноситься незначний збиток;
- організація несе незначні фінансові втрати.
Збиток діяльності організації оцінюється як помірний, Якщо втрата доступності, конфіденційності та / або цілісності чинить серйозний негативний вплив на діяльність організації, її активи і персонал.
Серйозність негативного впливу означає, що:
- організація залишається здатною виконувати свою діяльність, але ефективність основних функцій виявляється істотно зниженою;
- активам організації заподіюється значної шкоди;
- компанія несе значні фінансові втрати.
Потенційний збиток для організації оцінюється як значний, Якщо втрата доступності, конфіденційності та / або цілісності надає важке (катастрофічне) негативний вплив на діяльність організації, її активи і персонал, т. Е .:
- організація втрачає здатність виконувати всі або деякі зі своїх основних функцій;
- активам організації заподіюється великий збиток;
- організація несе великі фінансові втрати.
Таким чином, оцінюючи шкоду діяльності організації при порушенні конфіденційності, цілісності та доступності інформації та на підставі цього визначаючи категорії інформації, можна виділити три її типи: найбільш критична, критична і некритична.

Визначення типу інформації здійснюється шляхом зіставлення категорій цієї інформації.
У таблиці 1 наведено визначення типу інформації.

Категорія конфіденційності інформації	Категорія цілісності інформації	Категорія доступності інформації	Тип інформації
Строго конфіденційна інформація	*	*
*	висока	*	Найбільш критична інформація
*	*	безперешкодна доступність	Найбільш критична інформація
Конфіденційна інформація	*	*	критична інформація
*	низька	*	критична інформація
*	*	висока доступність	критична інформація
відкрита інформація	немає вимог	Середня доступність	некритична інформація
відкрита інформація	немає вимог	низька доступність	некритична інформація

Таблиця 1: Визначення типу інформації

Таким чином, категорирование інформації є першим кроком до забезпечення інформаційної безпеки організації, так як, перш ніж щось захищати, в першу чергу, варто визначити, що саме потрібно захищати і в якій мірі. Категоризувати слід і призначену для користувача, і системну інформацію, представлену як в електронній формі, так і на матеріальному носії. Для визначення типу інформації, що захищається необхідно визначити, яких збитків організації буде завдано при втраті конфіденційності, цілісності і доступності такої інформації.
Надалі, визначивши, до якого типу яка інформація відноситься, можна застосовувати різні заходи щодо захисту кожного типу інформації. Це дозволить не тільки структурувати оброблювані в організації дані, але і найбільш ефективно впровадити і використовувати підсистему управління доступом до інформації, що захищається, а також оптимізувати витрати на забезпечення інформаційної безпеки.

Список літератури:
1. Безмалий В., Служба захисту інформації: перші кроки, 2008 г., http://www.compress.ru/Article.aspx?id\u003d20512
2. Гладких А. А., Дементьєв В. Є., Базові принципи інформаційної безпеки обчислювальних мереж. Ульяновськ: УлГТУ, 2009. - 156 с.

Захищається інформація (інформація, що підлягає захисту) - інформація (відомості), що є предметом власності і підлягає захисту відповідно до вимог законодавчих та інших нормативних документів або відповідно до вимог, що встановлюються власником інформації (Банком).

Захищаються ресурси інформаційної банківської системи (ресурси ІХС підлягають захисту) - інформація, функціональні завдання, канали передачі інформації, робочі місця, що підлягають захисту з метою забезпечення інформаційної безпеки Банку, його клієнтів і кореспондентів.

Захищається робоче місце (РМ) - об'єкт захисту ( персональний комп'ютер з відповідним набором програмних засобів і даних), для якого визнана необхідність встановлення регламентованого режиму обробки інформації і характеризується:

місцеположенням, а також ступенем його фізичної доступності для сторонніх осіб (клієнтів, відвідувачів, співробітників, що не допущені до роботи з РМ і т.п.);

складом апаратних засобів;

складом програмних засобів і розв'язуваних на ньому завдань (певних категорій доступності);

складом зберігається та обробляється на РМ інформації (певних категорій конфіденційності і цілісності).

формуляр РМ - документ встановленої форми (Додаток 3), що фіксує характеристики РМ (місце розташування, конфігурацію апаратних і програмних засобів, перелік вирішуваних на РМ завдань і ін.) І засвідчує можливість експлуатації даного РМ (що свідчить про виконання вимог щодо захисту оброблюваної на РМ інформації відповідно до категорією даного РМ).

захищається завдання - функціональне завдання, яке вирішується на окремому РМ, для якої визнана необхідність встановлення регламентованого режиму обробки інформації і характеризується:

сукупністю використовуваних при вирішенні ресурсів (програмних засобів, наборів даних, пристроїв);

періодичністю рішення;

максимально допустимим часом затримки отримання результату рішення задачі.

формуляр завдання - документ встановленої форми (Додаток 2), що фіксує характеристики завдання (її найменування, призначення, тип, використовувані при її вирішенні ресурси, групи користувачів даного завдання, їх права доступу до ресурсів завдання та ін.).

Захищається канал передачі інформації - шлях, по якому передається інформація, що захищається. Канали діляться на фізичні (від одного пристрою до іншого) і логічні (від однієї задачі до іншої).

Конфіденційність інформації - суб'єктивно визначається (приписувана) інформації характеристика (властивість), яка вказує на необхідність введення обмежень на коло суб'єктів (осіб), що мають доступ до цієї інформації, і забезпечується здатністю системи (середовища) зберігати вказану інформацію в таємниці від суб'єктів, які не мають повноважень на доступ до неї.

цілісність інформації - властивість інформації, яка полягає в її існуванні в неспотвореному вигляді (незмінному по відношенню до деякого фіксованого її стану).

Доступність інформації (завдання) - властивість системи обробки (середовища), в якій циркулює інформація, що характеризується здатністю забезпечувати своєчасний безперешкодний доступ суб'єктів до цікавить їх (при наявності у суб'єктів відповідних повноважень на доступ) і готовність відповідних автоматизованих служб (функціональних задач) до обслуговування надходять від суб'єктів запитів завжди , коли в зверненні до них виникає необхідність.

1. Загальні положення

1.1. Цим Положенням вводяться категорії (градації важливості забезпечення захисту) ресурсів і встановлюється порядок категорирования ресурсів інформаційної системи, які підлягають захисту (віднесення їх до відповідних категорій з урахуванням ступеня ризику нанесення шкоди Банку, її клієнтам і кореспондентам в разі несанкціонованого втручання в процес функціонування ІХС та порушення цілісності або конфіденційності оброблюваної інформації, блокування інформації або порушення доступності вирішуються ІХС завдань).

1.2. Категоріювання ресурсів (визначення вимог до захисту ресурсів) ІХС є необхідним елементом організації робіт із забезпечення інформаційної безпеки Банку та має своїми цілями:

створення нормативно-методичної основи для диференційованого підходу до захисту ресурсів автоматизованої системи (Інформації, завдань, каналів, РМ) на основі їх класифікації за ступенем ризику в разі порушення їх доступності, цілісності або конфіденційності;

типізацію прийнятих організаційних заходів і розподілу апаратно-програмних засобів захисту ресурсів по РМ ІХС та уніфікацію їх налаштувань.

2. Категорії, що захищається

2.1. Виходячи з необхідності забезпечення різних рівнів захисту різних видів інформації, що зберігається і оброблюваної в ІХС, а також з урахуванням можливих шляхів нанесення шкоди Банку, її клієнтам і кореспондентам вводиться три категорії конфіденційності інформації, що захищається і три категорії цілісності інформації, що захищається.

«ВИСОКА» - до цієї категорії відноситься несекретна інформація, яка є конфіденційною відповідно до вимог чинного законодавства Російської Федерації (банківська таємниця, персональні дані);

«НИЗЬКА» - до цієї категорії відноситься конфіденційна інформація, не віднесена до категорії «ВИСОКА», обмеження на поширення якої вводяться рішенням керівництва Банку відповідно до наданих їй як власнику (уповноваженому власником особі) інформації чинним законодавством правами;

«НІ ВИМОГ» - до цієї категорії відноситься інформація, забезпечення конфіденційності (введення обмежень на поширення) якої не потрібно.

«ВИСОКА» - до цієї категорії відноситься інформація, несанкціонована модифікація (спотворення, знищення) або фальсифікація якої може привести до нанесення значного прямого збитку Банку, її клієнтам і кореспондентам, цілісність і автентичність (підтвердження автентичності джерела) якої повинна забезпечуватися гарантованими методами (наприклад, засобами електронного цифрового підпису) відповідно до обов'язкових вимог чинного законодавства;

«НИЗЬКА» - до цієї категорії відноситься інформація, несанкціонована модифікація, видалення або фальсифікація якої може привести до нанесення незначного непрямих збитків Банку, її клієнтам і кореспондентам, цілісність (а при необхідності і автентичність) якої повинна забезпечуватися відповідно до рішення керівництва Банку (методами підрахунку контрольних сум, ЕЦП і т.п.);

«НІ ВИМОГ» - до цієї категорії відноситься інформація, до забезпечення цілісності (і автентичності) якої вимог не висувають.

2.2. З метою спрощення операцій з категорування завдань, каналів і РМ категорії конфіденційності та цілісності інформації, що захищається об'єднуються і встановлюються чотири узагальнених категорії інформації: «життєво важлива», «дуже важлива», «важлива» і «не важлива». Віднесення інформації до тієї чи іншої узагальненої категорії здійснюється на основі її категорій конфіденційності і цілісності відповідно до Таблиці 1.

Таблиця 1

1 - «Життєво важлива» інформація

2 - «Дуже важлива» інформація

3 - «Важлива» інформація

4 - «Не важлива» інформація

3. Категорії функціональних завдань

3.1. Залежно від періодичності рішення функціональних завдань і максимально допустимої затримки отримання результатів їх вирішення вводиться чотири необхідних ступеня доступності функціональних завдань.

Необхідні ступеня доступності функціональних завдань:

«Безперешкодно ДОСТУПНІСТЬ» - до задачі повинен забезпечуватися доступ в будь-який час (завдання вирішується постійно, затримка отримання результату не повинна перевищувати декількох секунд або хвилин);

«ВИСОКА ДОСТУПНІСТЬ» - доступ до задачі повинен здійснюватися без істотних тимчасових затримок (завдання вирішується щодня, затримка отримання результату не повинна перевищувати декількох годин);

«СЕРЕДНЯ ДОСТУПНІСТЬ» - доступ до задачі може забезпечуватися з істотними тимчасовими затримками (завдання вирішується раз в кілька днів, затримка отримання результату не повинна перевищувати декількох днів);

«НИЗЬКА ДОСТУПНІСТЬ» - тимчасові затримки при доступі до задачі практично не лімітовані (завдання вирішується за періодом в декілька тижнів або місяців, допустима затримка отримання результату - кілька тижнів).

3.2. Залежно від узагальненої категорії інформації, що захищається, використовуваної при вирішенні завдання, і необхідного ступеня доступності завдання встановлюються чотири категорії функціональних завдань: «перша», «друга», «третя» і «четверта» (відповідно до Таблиці 2).

Таблиця 2

Визначення категорії функціональної завдання
Узагальнена категорія інформації	Необхідна ступінь доступності завдання
Узагальнена категорія інформації	«Безперешкодна доступність»	«Висока доступність»	«Середня доступність»	«Низька доступність»
«Життєво важлива»	1	1	2	2
«Дуже важлива»	1	2	2	3
«Важлива»	2	2	3	3
«Не важлива»	2	3	3	4

4. Вимоги щодо забезпечення безпеки каналів передачі інформації, що захищається (категорії каналів)

4.1. Вимоги щодо забезпечення безпеки (категорії) логічного каналу передачі інформації, що захищається визначаються по максимальній категорії двох завдань, між якими даний канал встановлений.

5. Категорії РМ

5.1. Залежно від категорій вирішуваних на РМ завдань встановлюються чотири категорії РМ: «A», «B», «C» і «D».

5.3. До групи РМ категорії «B» відносяться РМ, на яких вирішується хоча б одна функціональна завдання другої категорії. Категорії інших завдань, що вирішуються на даному РМ, повинні бути не нижче третьої і не вище другого.

5.4. До групи РМ категорії «C» належать РМ, на яких вирішується хоча б одна функціональна завдання третьої категорії. Категорії інших завдань, що вирішуються на даному РМ, повинні бути не вище третьої.

Таблиця 3

5.6. Вимоги щодо забезпечення безпеки РМ різних категорій (щодо застосування відповідних заходів і засобів захисту) наведені в Додатку 5.

6. Порядок визначення категорій захищаються ресурсів ІХС

6.1. Категоріювання проводиться на основі інвентаризації ресурсів інформаційної банківської системи (РМ, завдань, інформації) і передбачає складання і подальше ведення (підтримка в актуальному стані) переліків (сукупностей формулярів) ресурсів ІХС, які підлягають захисту.

6.2. Відповідальність за складання та ведення переліків ресурсів ІХС покладається:

в частині складання і ведення переліку РМ (із зазначенням їх розміщення, закріплення за підрозділами Банку, складу і характеристик, що входять до його складу технічних засобів) - на Управління інформаційні технології (Далі УІТ);

в частині складання і ведення переліку системних і прикладних (спеціальних) завдань, що вирішуються на РМ (із зазначенням переліків при їх вирішенні ресурсів - пристроїв, каталогів, файлів з інформацією) - на відділ технічного забезпечення УІТ.

6.3. Відповідальність за визначення вимог до забезпечення конфіденційності, цілісності, доступності та привласнення відповідних категорій ресурсів конкретних РМ (інформаційних ресурсів і задачам) покладається на підрозділи Банку, які безпосередньо вирішують завдання на даних РМ (власників інформації), і відділ інформаційної безпеки.

6.4. Затвердження призначених відповідно до цього «Положенням про категорірованіі ресурсів ІХС» категорій інформаційних ресурсів ІХС здійснюється Головою Правління Банку.

6.6. Категоріювання ресурсів ІХС може здійснюватися послідовно для кожного РМ окремо з подальшим об'єднанням і формуванням єдиних переліків ресурсів ІХС підлягають захисту:

переліку інформаційних ресурсів ІХС, які підлягають захисту (Додаток 2);

переліку які підлягають захисту завдань (сукупності формулярів завдань);

переліку які підлягають захисту РМ (сукупності формулярів РМ).

На першому етапі робіт з категорування ресурсів конкретного РМ проводиться категорирование всіх видів інформації, використовуваної при вирішенні задач на даному РМ. Узагальнені категорії інформації визначаються на основі встановлених категорій конфіденційності і цілісності конкретних видів інформації. Що підлягають захисту інформаційні ресурси включаються в «Перелік інформаційних ресурсів, що підлягають захисту».

На другому етапі, з урахуванням узагальнених категорій інформації, використовуваної при вирішенні завдань, встановлених раніше, і вимог до ступеня доступності завдань відбувається категорирование всіх функціональних завдань, що вирішуються на даному РМ.

На четвертому етапі, на підставі категорій взаємодіючих завдань встановлюється категорія логічних каналів передачі інформації між функціональними завданнями (на різних РМ). 6.7. Переатестація (зміна категорії) інформаційних ресурсів ІХС проводиться при зміні вимог до забезпечення захисту властивостей (конфіденційності і цілісності) відповідної інформації.

Переатестація (зміна категорії) функціональних завдань проводиться при зміні узагальнених категорій інформаційних ресурсів, що використовуються при вирішенні даного завдання, а також при зміні вимог до доступності функціональних завдань.

Переатестація (зміна категорії) логічних каналів проводиться при зміні категорій взаємодіючих завдань.

Переатестація (зміна категорії) РМ проводиться при зміні категорій або складу розв'язуваних на даних РМ завдань.

6.8. Періодично (раз на рік) або на вимогу керівників структурних підрозділів Банку проводиться перегляд встановлених категорій захищаються ресурсів на предмет їх відповідності реальному стану справ.

7. Порядок перегляду Положення

7.1. У разі зміни вимог щодо захисту РМ різних категорій перегляду (з наступним затвердженням) підлягає Додаток 5.

7.2. У разі внесення змін та доповнень до "Переліку інформаційних ресурсів, що підлягають захисту» перегляду (з наступним затвердженням) підлягає Додаток 4.

Додаток 1 - Методика категорирования захищаються ресурсів

Справжня методика призначена для уточнення порядку проведення робіт з категорування захищаються ресурсів в ІХС Банку відповідно до «Положення про категорірованіі ресурсів інформаційної банківської системи». Категоріювання передбачає проведення робіт з обстеження підсистем ІХС та структурних підрозділів Банку та виявлення (інвентаризації) всіх ресурсів ІХС, які підлягають захисту. Приблизна послідовність і основний зміст конкретних дій по здійсненню цих робіт наведено нижче.

1. Для проведення інформаційного обстеження всіх підсистем інформаційної системи Банку і проведення інвентаризації ресурсів ІХС, які підлягають захисту, формується спеціальна робоча група. До складу цієї групи входять фахівці відділу інформаційної безпеки та Управління інформаційних технологій Банку (обізнані в питаннях технології автоматизованої обробки інформації). Для додання необхідного статусу робочій групі, Видається відповідне розпорядження Голови Правління Банку, в якому, зокрема, даються вказівки всім начальникам структурних підрозділів Банку про надання сприяння і необхідної допомоги робочій групі у проведенні робіт з обстеження ІХС. Для надання допомоги на час роботи групи в підрозділах начальниками цих підрозділів повинні виділятися співробітники, які володіють детальною інформацією з питань обробки інформації в даних підрозділах.

2. В ході обстеження конкретних підрозділів Банку та інформаційних підсистем виявляються і описуються всі функціональні завдання, які вирішуються з використанням ІХС, а також всі види інформації (відомостей), що використовуються при вирішенні цих завдань в підрозділах.

3. Складається загальний перелік функціональних завдань і по кожній задачі оформляється (заводиться) формуляр (Додаток 2). При цьому слід враховувати, що одна і та ж завдання в різних підрозділах може називатися по-різному, і навпаки, різні завдання можуть мати один і той же назву. Одночасно з цим ведеться облік програмних засобів (загальних, спеціальних), що використовуються при вирішенні функціональних завдань підрозділу.

4. При обстеженні підсистем і аналізі завдань виявляються всі види вхідної, вихідної, що зберігається, обробляється і т.п. інформації. Необхідно виявляти не тільки інформацію, яка може бути віднесена до конфіденційної (до банківської і комерційної таємниці, персональних даних), а й інформацію, що підлягає захисту в силу того, що порушення її цілісності (спотворення, фальсифікація) або доступності (знищення, блокування) може завдати відчутної шкоди Банкові, її клієнтам або кореспондентам.

5. При виявленні всіх видів інформації, що циркулює і оброблюваної в підсистемах бажано проводити оцінку серйозності наслідків, до яких можуть привести порушення її властивостей (конфіденційності, цілісності). Для отримання первинних оцінок серйозності таких наслідків доцільно проводити опитування (наприклад, у формі анкетування) фахівців, які працюють з цією інформацією. При цьому треба з'ясовувати, кого може цікавити дана інформація, Як вони можуть на неї впливати або незаконно використовувати, до яких наслідків це може призвести.

6. Інформація про оцінки можливої \u200b\u200bшкоди заноситься в спеціальні форми (Додаток 3). У разі неможливості кількісної оцінки ймовірного збитку проводиться його якісна оцінка (наприклад: низька, середня, висока, дуже висока).

7. При складанні переліку та формулярів функціональних завдань, що вирішуються в Банку необхідно з'ясовувати періодичність їх вирішення, максимально допустимий час затримки отримання результатів вирішення завдань і ступінь серйозності наслідків, до яких можуть привести порушення їх доступності (блокування можливості вирішення завдань). Оцінки ймовірного збитку заноситься в спеціальні форми (Додаток 3). У разі неможливості кількісної оцінки ймовірного збитку проводиться якісна оцінка.

8. Всі, виявлені в ході обстеження, різні види інформації заносяться в «Перелік інформаційних ресурсів, що підлягають захисту».

9. Визначається (і потім вказується в Переліку) до якого типу таємниці (банківська, комерційна, персональні дані, які не складова таємниці) належить кожен із виявлених видів інформації (на підставі вимог чинного законодавства та наданих їм прав).

10. Початкові пропозиції по оцінці категорій забезпечення конфіденційності і цілісності конкретних видів інформації з'ясовуються у керівників (провідних фахівців) структурного підрозділу Банку (на основі їх особистих оцінок можливої \u200b\u200bшкоди від порушення властивостей конфіденційності та цілісності інформації). Дані оцінки категорій інформації заносяться в «Перелік інформаційних ресурсів, що підлягають захисту» (в колонки 2 і 3).

11. Потім Перелік узгоджується з керівниками Управління безпеки, УІТ і Відділу інформаційної безпеки і висувається на розгляд Комітету з управління інформаційною безпекою.

12. При розгляді Переліку Комітетом з управління інформаційною безпекою в нього можуть вноситися зміни і доповнення. Підготовлений варіант «Переліку інформаційних ресурсів, що підлягають захисту» подається на затвердження Голові Правління Банку.

13. Відповідно до зазначених у затвердженому «Переліку інформаційних ресурсів, що підлягають захисту» категоріями конфіденційності і цілісності визначається узагальнена категорія кожного виду інформації (відповідно до таблиці 1 Положення про категорірованіі).

14. На наступному етапі відбувається категорирование функціональних завдань. На основі вимог по доступності, що пред'являються керівниками операційних підрозділів Банку і погоджених з Управлінням безпеки і УІТ, категоризується все спеціальні (прикладні) функціональні завдання, які вирішуються в підрозділах з використанням ІХС (Таблиця 2 Положення про категорірованіі ресурсів). Інформація про категорії спеціальних завдань заноситься в формуляри завдання. Категоріювання загальних (системних) завдань і програмних засобів поза прив'язкою до конкретних РМ не проводиться.

Надалі, за участю фахівців УІТ необхідно уточнити склад інформаційних і програмних ресурсів кожного завдання і внести в її формуляр відомості по групах користувачів завдання і вказівки з налаштування застосовуються при її вирішенні засобів захисту (повноваження доступу груп користувачів до перерахованих ресурсів завдання). Ці відомості будуть використовуватися в якості еталону налаштувань засобів захисту відповідних РМ, на яких буде вирішуватися це завдання, і для контролю правильності їх установки.

15. Потім проводиться категорирование всіх логічних каналів між функціональними завданнями. Категорія каналу встановлюється виходячи з максимальної категорії завдань, що беруть участь у взаємодії.

16. На останньому етапі відбувається категорирование РМ. Категорія РМ встановлюється, виходячи з максимальної категорії спеціальних завдань, що вирішуються на ньому (або категорії інформації, використовуваної при вирішенні спільних завдань). На одному РМ може вирішуватися будь-яку кількість завдань, категорії яких нижче максимально можливої \u200b\u200bна даному РМ, не більше ніж на одиницю. Інформація про категорії РМ заноситься в формуляр РМ.

від редакції

Будь-який вид діяльності людини можна уявити як процес, в результаті якого з'являється продукт, матеріальний або інтелектуальний, який має певну цінність, тобто вартість. Інформація є одним із різновидів таких цінностей, вартість її може виявитися настільки високою, що її втрата або витік, навіть часткова, здатна поставити під сумнів саме існування компанії. Тому захист інформації з кожним днем \u200b\u200bнабуває все більшого значення, практично у всіх більш-менш великих організаціях існують свої підрозділи ІБ.

На ринку ІТ зростає спектр пропозицій щодо забезпечення інформаційної безпеки. Як правильно зорієнтуватися в цьому потоці пропонованих продуктів? Як вибрати оптимальний по фінансових витрат варіант і врахувати всі потреби вашої компанії? Які критерії відбору застосувати? Адже хоча служба ІБ будь-якої організації чи підприємства сама по собі ні інтелектуальних, ні матеріальних цінностей не виробляє, в її необхідності та важливості вже ні у кого немає сумнівів, і на витратах на цю службу рідко економлять.

Що необхідно зробити, щоб витрати і рівень інформаційної безпеки компанії були в оптимальному співвідношенні - цим питанням присвячена дана публікація.

Вступ

Заходи щодо забезпечення інформаційної безпеки (ІБ), як відомо, не приносять доходів, з їх допомогою можна лише зменшити шкоду від можливих інцидентів. Тому дуже важливо, щоб витрати на створення і підтримку ІБ на належному рівні були відповідні цінності активів організації, пов'язаних з її інформаційною системою (ІС). Відповідність може бути забезпечена категорірованія інформації та інформаційної системи, а також вибором регуляторів безпеки на основі результатів категорирования.

Категоріювання інформації та інформаційних систем

Присвоєння категорій безпеки інформації та інформаційних систем проводиться на основі оцінки збитку, який може бути нанесений порушеннями безпеки. Подібні інциденти можуть перешкодити організації у виконанні покладеної на неї місії, скомпрометувати активи, поставити компанію в положення порушника чинного законодавства, створити загрозу повсякденній діяльності, наразити на небезпеку персонал. Категорії безпеки використовуються спільно з даними про уразливість і погрози на процесі аналізу ризиків, яким піддається організація.

Існують три основні аспекти ІБ:

доступність;
конфіденційність;
цілісність.

Взагалі кажучи, порушення ІБ можуть зачіпати лише частина цих аспектів, так само як і регулятори безпеки можуть бути специфічні для окремих аспектів. Тому доцільно оцінювати можливий збиток окремо для порушень доступності, конфіденційності та цілісності, а при необхідності можна отримати інтегральну оцінку.

Розмір збитку зручно оцінювати за трирівневою шкалою як низький, Помірний або високий ().

Малюнок 1. Шкала оцінки збитку при порушенні інформаційної безпеки

Потенційний збиток для організації оцінюється як низький, якщо втрата доступності, конфіденційності та / або цілісності робить обмежений шкідливий вплив на діяльність організації, її активи і персонал. Обмеженість шкідливого впливу означає, що:

організація залишається здатною виконувати покладену на неї місію, але ефективність основних функцій виявляється помітно зниженою;
активів організації наноситься незначний збиток;
організація несе незначні фінансові втрати;
персоналу наноситься незначної шкоди.

Потенційний збиток для компанії оцінюється як помірний, Якщо втрата доступності, конфіденційності та / або цілісності чинить серйозний шкідливий вплив на діяльність організації, її активи і персонал. Серйозність шкідливого впливу означає, що:

компанія залишається здатною виконувати покладену на неї місію, але ефективність основних функцій виявляється істотно зниженою;
активів організації заподіюється значної шкоди;
компанія несе значні фінансові втрати;
персоналу завдається значна шкода, що не створює загрози життю або здоров'ю.

Потенційний збиток для організації оцінюється як високий, Якщо втрата доступності, конфіденційності та / або цілісності надає важке або катастрофічно шкідливий вплив на діяльність організації, її активи і персонал, тобто:

компанія втрачає здатність виконувати всі або деякі зі своїх основних функцій;
активів організації заподіюється великий збиток;
організація несе великі фінансові втрати;
персоналу наноситься важкий або катастрофічний шкоду, що створює можливу загрозу життю або здоров'ю.

Категоризувати необхідно і призначену для користувача, і системну інформацію, представлену як в електронній формі, так і у вигляді "твердої" копії. Відкрита інформація може не мати категорії конфіденційності. Наприклад, відомості, що містяться на загальнодоступному web-сервері організації, не мають категорії конфіденційності, а їх доступність і цілісність оцінюються як помірні.

При категорірованіі інформаційної системи беруться до уваги категорії зберігається, обробляється і передається засобами ІС інформації, а також цінність активів самої ІС, тобто береться максимум категорій з усіх видів інформації та активів. Для отримання інтегральної оцінки слід взяти максимум категорій по основних аспектах інформаційної безпеки.

Мінімальні (базові) вимоги безпеки

Мінімальні (базові) вимоги безпеки формулюються в загальному вигляді, без урахування категорії, присвоєної ІС. Вони задають базовий рівень інформаційної безпеки, їм повинні задовольняти всі інформаційні системи. Результати категорирования важливі при виборі регуляторів безпеки, що забезпечують виконання вимог, сформульованих на основі аналізу ризиків (Рис. 2).

Малюнок 2. Рівні інформаційної безпеки

Мінімальні вимоги безпеки (Рис. 3) охоплюють адміністративний, процедурний та програмно-технічний рівні ІБ і формулюються наступним чином.

Малюнок 3. Базові вимоги безпеки до інформації та ІС.

Організація повинна розробити, задокументувати і оприлюднити офіційну політику безпеки і формальні процедури, спрямовані на виконання наведених нижче вимог, і забезпечити ефективну реалізацію політики та процедур.
У компанії необхідно періодично проводити оцінку ризиків, включаючи оцінку загроз місії, функціонуванню, іміджу та репутації організації, її активами та персоналу. Ці загрози є наслідком експлуатації ІС і здійснюваних при цьому обробки, зберігання та передачі даних.
Стосовно до закупівлі систем і сервісів в компанії необхідно:
- виділити достатній обсяг ресурсів для адекватного захисту ІС;
- при розробці систем враховувати вимоги ІБ;
- обмежувати використання і установку програмного забезпечення;
- забезпечити виділення зовнішніми постачальниками послуг достатніх ресурсів для захисту інформації, додатків і / або сервісів.
В області сертифікації, акредитації та оцінки безпеки в організації слід проводити:
- постійний моніторинг регуляторів безпеки, щоб мати довіру до їх ефективності;
- періодичну оцінку регуляторів безпеки, які застосовуються в ІС, щоб контролювати їх ефективність;
- розробку і втілення в життя плану дій щодо усунення недоліків і зменшення або усунення вразливостей в ІС;
- авторизацію введення в експлуатацію ІС і встановлення з'єднань з іншими інформаційними системами.
У сфері кадрової безпеки необхідно:
- забезпечити надійність (довіреність) посадових осіб, які займають відповідальні пости, а також відповідність цих осіб пред'являються до даних посад вимогам безпеки;
- забезпечити захист інформації та інформаційної системи при проведенні дисциплінарних акцій, таких як звільнення або переміщення співробітників;
- застосовувати відповідні офіційні санкції до порушників політики та процедур безпеки.
Організація повинна забезпечити інформування та навчання співробітників:
- щоб керівники і користувачі ІС знали про ризики, пов'язані з їх діяльністю, і про відповідні закони, нормативні акти, керівних документах, стандартах, інструкціях і т.п .;
- щоб персонал мав належну практичну підготовку для виконання обов'язків, пов'язаних з інформаційною безпекою.
В області планування необхідно розробити, задокументувати, періодично змінювати і реалізувати плани забезпечення безпеки ІС, що описують регулятори безпеки (наявні і плановані) і правила поведінки персоналу, що має доступ до ІС.
З метою планування безперебійної роботи в компанії слід встановити, підтримувати і ефективно реалізувати плани реагування на аварійні ситуації, резервного копіювання, відновлення після аварій, щоб забезпечити доступність критичних інформаційних ресурсів і безперервність функціонування в аварійних ситуаціях.
У плані реагування на порушення інформаційної безпеки організація повинна:
- створити діючу структуру для реагування на інциденти, маючи на увазі адекватні підготовчі заходи, Виявлення, аналіз і локалізацію порушень, відновлення після інцидентів і обслуговування звернень користувачів;
- забезпечити простежування, документування і повідомлення про інциденти відповідним посадовим особам організації та уповноваженим органам.
З метою фізичного захисту організація повинна:
- надавати фізичний доступ до ІС, обладнання, в виробничі приміщення тільки авторизованому персоналу;
- фізично захищати обладнання та підтримуючу інфраструктуру ІС;
- забезпечити належні технічні умови для функціонування ІС;
- захищати ІС від загроз з боку навколишнього середовища;
- забезпечити контроль умов, в яких функціонує ІС;
- забезпечити управління доступом, надавши доступ до активів ІВ тільки авторизованим користувачам, процесам, що діє від імені цих користувачів, а також пристроїв (включаючи інші ІС) для виконання дозволених користувачам транзакцій і функцій.
Для забезпечення протоколювання і аудиту необхідно:
- створювати, захищати і підтримувати реєстраційні журнали, що дозволяють відслідковувати, аналізувати, розслідувати і готувати звіти про незаконну, несанкціонованої або неналежної активності;
- забезпечити простежуваність дій в ІС з точністю до користувача (підзвітність користувачів).
У плані управління конфігурацією в компанії слід:
- встановити і підтримувати базові конфігурації;
- мати опис (карту) ІС, що актуалізується з урахуванням життєвого циклу, в яку входять апаратура, програмне забезпечення та документація;
- встановити і забезпечити практичне застосування налаштувань для конфігурації засобів безпеки в продуктах, що входять в ІС.
В області ідентифікації і аутентифікації необхідно забезпечити ідентифікацію та аутентифікацію користувачів ІС, процесів, що діють від імені користувачів, а також пристроїв як необхідна умова надання доступу до ІС.

Крім того, необхідно:

Стосовно до супроводу:
- здійснювати періодичне і своєчасне обслуговування ІС;
- забезпечити ефективні регулятори для засобів, методів, механізмів і персоналу, що здійснюють супровід.
Для захисту носіїв:
- захищати носії даних як цифрові, так і паперові;
- надавати доступ до даних на носіях тільки авторизованим користувачам;
- санувати або знищувати носії перед виведенням з експлуатації або перед передачею для повторного використання.
З метою захисту систем і комунікацій:
- відслідковувати, контролювати і захищати комунікації (тобто передані і прийняті дані) на зовнішніх і ключових внутрішніх кордонах ІС;
- застосовувати архітектурні та апаратно-програмні підходи, що підвищують діючий рівень інформаційної безпеки ІС.
Для забезпечення цілісності систем і даних:
- своєчасно ідентифікувати дефекти ІС і даних, доповідати про них і виправляти;
- захищати ІС від шкідливого програмного забезпечення;
- відслідковувати сигнали про порушення безпеки і повідомлення про нові загрози для інформаційної системи і належним чином реагувати на них.

Вибір базового набору регуляторів безпеки з метою виконання вимог безпеки

Необхідною умовою виконання вимог безпеки є вибір і реалізація відповідних регуляторів безпеки, тобто вироблення і застосування економічно виправданих контрзаходів і засобів захисту. Регулятори безпеки поділяються на адміністративні, процедурні та програмно-технічні і служать для забезпечення доступності, конфіденційності та цілісності інформаційної системи і оброблюваних, збережених і переданих нею даних.

Вибір регуляторів безпеки здійснюється на основі результатів категорирования даних та інформаційної системи. Крім того, слід врахувати, які регулятори безпеки вже реалізовані і для яких є конкретні плани реалізації, а також необхідний ступінь довіри до ефективності діючих регуляторів.

Адекватний вибір регуляторів безпеки можна спростити, якщо проводити його із зумовлених базових наборів, асоційованих з необхідним рівнем ІБ. Застосовуючи трирівневу шкалу, використовують три базових набору, відповідно, для мінімального (низького, базового), помірного і високого рівня інформаційної безпеки.

Регулятори безпеки для мінімального рівня ІБ

На мінімальному рівні інформаційної безпеки доцільно застосовувати такі адміністративні регулятори безпеки.

Малюнок 4. Регулятори безпеки за рівнями ІБ

Оцінка ризиків: політика і процедури.
- офіційної документованої політики оцінки ризиків, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальних документованих процедур, що сприяють проведенню в життя політики і асоційованих регуляторів оцінки ризиків.
Оцінка ризиків: категорирование за вимогами безпеки. Категоріювання даних та інформаційної системи, документування результатів, включаючи обґрунтування встановлених категорій; документ засвідчується керівництвом.
Оцінка ризиків: проведення. Оцінка ризиків і можливих збитків від несанкціонованого доступу, використання, розкриття, порушення роботи, модифікації і / або руйнування даних і / або інформаційної системи, включаючи ресурси, керовані зовнішніми організаціями.
Оцінка ризиків: перегляд результатів. Перегляд результатів оцінки ризиків проводиться або із заданою частотою, або після істотних змін в ІС або підтримуючої інфраструктурі, або після інших подій, здатних суттєво вплинути на рівень безпеки ІС або її статус акредитації.
Планування безпеки: політика і процедури.
- офіційної документованої політики планування безпеки, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальних документованих процедур, що сприяють проведенню в життя політики і асоційованих регуляторів планування безпеки.
Планування безпеки: план безпеки ІС. Розробка і реалізація для інформаційної системи плану, в якому описані вимоги безпеки для ІС та наявні і плановані регулятори безпеки, службовці для виконання цих вимог; документ засвідчується керівництвом.
Планування безпеки: зміна плану безпеки ІС. З заданою частотою переглядається план безпеки ІС. У нього вносяться зміни, що відображають зміни в компанії і в її інформаційній системі або проблеми, виявлені при реалізації плану чи при оцінці регуляторів безпеки.
Планування безпеки: правила поведінки. В організації встановлюється і доводиться до відома користувачів ІС набір правил, що описують обов'язки і очікуване поведінка по відношенню до використання інформації та інформаційної системи. Перш ніж отримати доступ до ІС і її інформаційних ресурсів, користувачі підписують підтвердження того, що вони прочитали, зрозуміли і згодні виконувати запропоновані правила поведінки.
Планування безпеки: оцінка приватності. У компанії проводиться оцінка виконання в ІС вимог приватності.
Закупівля систем і сервісів: політика і процедури.
- офіційна документована політика закупівлі систем і сервісів, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальні задокументовані методики, що сприяють проведенню в життя політики і асоційованих регуляторів закупівлі систем і сервісів.
Закупівля систем і сервісів: виділення ресурсів. Визначення, документування та виділення ресурсів, необхідних для адекватного захисту інформаційної системи в компанії, є частиною процесів капітального планування і управління інвестиціями.
Закупівля систем і сервісів: підтримка життєвого циклу. Організація управляє інформаційною системою, застосовуючи методологію підтримки життєвого циклу з урахуванням аспектів інформаційної безпеки.
Закупівля систем і сервісів: закупівлі. В контракти на закупівлю включаються вимоги і / або специфікації безпеки, засновані на результатах оцінки ризиків.
Необхідно забезпечити наявність, захист і розподіл авторизованим посадовим особам компанії адекватної документації на інформаційну систему та її складові частини.
Закупівля систем і сервісів: обмеження на використання програмного забезпечення. Організація забезпечує виконання існуючих обмежень на використання програмного забезпечення.
Закупівля систем і сервісів: програмне забезпечення, яке встановлюється користувачами. Необхідно проводити в життя явно сформульовані правила, що стосуються завантаження і установки користувачами програмного забезпечення.
Закупівля систем і сервісів: аутсорсинг інформаційних сервісів. Необхідно стежити, щоб зовнішні організації, що надають інформаційні послуги, застосовували адекватні регулятори безпеки, що відповідають чинному законодавству та умовам контракту, а також відстежувати адекватність регуляторів безпеки.
Сертифікація, акредитація та оцінка безпеки: політика і процедури. Розробка, поширення, періодичний перегляд і зміни:
- офіційної документованої політики оцінки безпеки, сертифікації та акредитації, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальних документованих процедур, що сприяють проведенню в життя політики і асоційованих регуляторів оцінки безпеки, сертифікації та акредитації.
Сертифікація, акредитація та оцінка безпеки: з'єднання з іншими ІС. Авторизація компанією всіх з'єднань своєї інформаційної системи з іншими ІС, що знаходяться поза межами акредитації, і постійне відстежування / контроль цих сполук; підписання уповноваженими посадовими особами угоди про встановлення з'єднань між системами.
Організація проводить оцінку застосовуваних в ІС регуляторів безпеки, щоб перевірити, наскільки коректно вони реалізовані, функціонують у відповідності зі специфікаціями і дають очікувані результати з точки зору виконання пропонованих до ІС вимог інформаційної безпеки.
Сертифікація, акредитація та оцінка безпеки: календарний план заходів. В організації розробляється і із заданою частотою змінюється календарний план заходів. У ньому описані заплановані, реалізовані і оцінені коригувальні дії, спрямовані на усунення всіх недоліків, виявлених в процесі оцінки регуляторів безпеки, і на зменшення або усунення відомих вразливостей ІС.
Сертифікація, акредитація та оцінка безпеки: акредитація. Компанія явно санкціонує (здійснює акредитацію) введення інформаційної системи в експлуатацію та із заданою частотою, але не рідше, ніж раз на три роки, проводить повторну акредитацію.
Сертифікація, акредитація та оцінка безпеки: постійний моніторинг. Постійний моніторинг регуляторів безпеки в ІС.

Малюнок 5. Підтримка необхідного рівня безпеки

процедурних регуляторів безпеки.

Кадрова безпека: політика і процедури. Розробка, поширення, періодичний перегляд і зміна:
- офіційної документованої політики кадрової безпеки, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальних документованих процедур, що сприяють проведенню в життя політики і асоційованих регуляторів кадрової безпеки.
Кадрова безпека: категорирование посад. З кожною посадою асоціюється певний рівень ризику і встановлюються критерії відбору кандидатів на ці посади. Доцільно із заданою частотою переглядати встановлені рівні ризику.
Кадрова безпека: відбір персоналу. Перш ніж надати доступ до інформації та інформаційної системи, проводиться перевірка щодо осіб, які потребують подібному доступі.
Кадрова безпека: звільнення. Звільняється співробітник позбавляється доступу до ІС, з ним проводять заключну розмову, перевіряють здачу всього казенного майна, в тому числі ключів, ідентифікаційних карт, пропусків, і переконуються, що відповідні посадові особи мають доступ до офіційних даних, створеним звільняються співробітником і зберігаються в інформаційній системі .
Кадрова безпека: переміщення персоналу. При переході працівника на іншу посаду організація переглядає надані йому права доступу до ІС і її ресурсів, і здійснює відповідні дії, такі як виготовлення нових ключів, ідентифікаційних карт, пропусків, закриття старих і заклад нових системних рахунків, а також зміна прав доступу.
Кадрова безпека: угоди про доступ. Перш ніж надати доступ до інформації та інформаційної системи співробітнику, який потребує подібному доступі, складаються відповідні угоди (наприклад, про нерозголошення інформації, про належному використанні ІС), а також правила поведінки, компанія забезпечує підписання цих угод сторонами і з заданою частотою переглядає їх.
Кадрова безпека: вимоги безпеки до співробітників сторонніх організацій. Організація встановлює вимоги безпеки, в тому числі ролі та обов'язки, до співробітників сторонніх організацій ( сервісних служб, Підрядників, розробників, постачальників інформаційних послуг і послуг управління системами і мережами) і відстежує забезпечення сторонніми організаціями адекватного рівня інформаційної безпеки.
Кадрова безпека: санкції. У компанії застосовується формалізований процес покарання співробітників, які порушили встановлені політику і процедури безпеки.
Фізичний захист: політика і процедури. Розробляються, поширюються, періодично переглядаються і змінюються:
- офіційна документована політика фізичного захисту, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальні задокументовані методики, що сприяють проведенню в життя політики і асоційованих регуляторів фізичного захисту.
Фізичний захист: авторизація фізичного доступу. В організації складаються і підтримуються в актуальному стані списки співробітників, що мають доступ до приміщень, в яких розташовані компоненти інформаційної системи (крім приміщень, офіційно вважаються загальнодоступними), випускаються відповідні посвідчення (бейджі, ідентифікаційні карти, інтелектуальні карти); відповідні посадові особи із заданою частотою переглядають і затверджують списки та посвідчення.
Фізичний захист: управління фізичним доступом. Необхідно контролювати точки фізичного доступу, в тому числі офіційно певні точки входу / виходу, в приміщення, в яких розташовані компоненти інформаційної системи (крім приміщень, офіційно вважаються загальнодоступними). Слід перевіряти надані співробітникам права, перш ніж дозволити їм доступ. Крім того, контролюється доступ в приміщення, офіційно вважаються загальнодоступними, відповідно до проведеної оцінки ризиків.
Відстежується фізичний доступ до системи з метою виявлення та реагування на порушення.
Фізичний доступ до інформаційної системи контролюється аутентификацией відвідувачів перед дозволом увійти в приміщення, де розташовані компоненти ІС (крім приміщень, офіційно вважаються загальнодоступними).
У компанії підтримуються журнали відвідувань приміщень (крім тих, що офіційно вважаються загальнодоступними), де фіксуються:
- прізвище, ім'я відвідувача і назва організації;
- підпис відвідувача;
- подані документи (форму ідентифікації);
- дата і час доступу (входу і виходу);
- мета відвідування;
- прізвище, ім'я відвідуваного особи і його організаційна приналежність; відповідні посадові особи із заданою частотою переглядають журнали відвідувань.
Фізичний захист: аварійне освітлення. У компанії необхідно застосовувати і підтримувати автоматичні системи аварійного освітлення, які включаються при перебоях електроживлення і покривають аварійні виходи і шляхи евакуації.
Застосовуються і підтримуються пристрої / системи пожежогасіння і виявлення займань.
Фізичний захист: засоби контролю температури і вологості. Відслідковуються і підтримуються в допустимих межах температура і вологість у приміщеннях, що містять компоненти ІС.
Необхідно захищати ІС від затоплення і протікання, що виникають через пошкодження водопроводу або в силу інших причин, забезпечуючи доступність і справність кранів, що перекривають воду, і інформуючи відповідних посадових осіб про розташування цих кранів.
Фізичний захист: доставка і вивіз. В організації контролюються доставка і вивезення компонентів інформаційної системи (апаратне і програмне забезпечення) і підтримується інформація про місце знаходження цих компонентів.
Планування безперебійної роботи: політика і процедури. Розробляються, поширюються, періодично переглядаються і змінюються:
- офіційна документована політика планування безперебійної роботи, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальні задокументовані методики, що сприяють проведенню в життя політики і асоційованих регуляторів планування безперебійної роботи.
Розробляється та реалізується план забезпечення безперебійної роботи інформаційної системи, в якому описуються ролі, обов'язки відповідальних посадових осіб, вказуються їх контактні координати. Крім того, в плані прописуються дії, що виконуються при відновленні ІС після пошкоджень та аварій. Відповідні посадові особи переглядають і стверджують цей план і доводять його до відома співробітників, відповідальних за безперебійну роботу.
Планування безперебійної роботи: зміна плану забезпечення безперебійної роботи. З заданою частотою, але не рідше одного разу на рік, в організації переглядається план забезпечення безперебійної роботи інформаційної системи, щоб відобразити зміни в структурі ІС або організації і / або усунути проблеми, виявлені при реалізації, виконанні та / або тестуванні плану.
З заданою частотою проводиться резервне копіювання містяться в інформаційній системі призначених для користувача і системних даних (включаючи дані про стан ІС), резервні копії зберігаються в місцях, захищених належним чином.
В організації застосовуються механізми і підтримують процедури, що дозволяють відновити інформаційну систему після ушкоджень або аварій.
Управління конфігурацією: політика і процедури. Розробляються, поширюються, періодично переглядаються і змінюються:
- офіційна документована політика управління конфігурацією, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальні задокументовані методики, що сприяють проведенню в життя політики і асоційованих регуляторів управління конфігурацією.
У компанії розробляються, документуються і підтримуються актуальна базова конфігурація інформаційної системи, опис компонентів ІС і відповідні дані про їх власників.
В компанії:
- затверджуються обов'язкові налаштування для продуктів інформаційних технологій, застосовуваних в ІС;
- встановлюються настройки безпеки продуктів інформаційних технологій в найбільш обмежувальний режим, сумісний з експлуатаційними вимогами;
- документуються настройки;
- забезпечуються належні налаштування всіх компонентів інформаційної системи.
- Супровід: політика і процедури. Розробляються, поширюються, періодично переглядаються і змінюються:
- офіційна документована політика супроводу, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальні задокументовані методики, що сприяють проведенню в життя політики і асоційованих регуляторів супроводу.
Планування, здійснення і документування повсякденного, профілактичного і регулярного супроводу компонентів інформаційної системи у відповідності зі специфікаціями виробника або постачальника і / або організаційними вимогами.
Організація санкціонує, контролює і відслідковує віддалено здійснювану діяльність із супроводу та діагностиці.
Супровід: персонал супроводу. Необхідно підтримувати список осіб, авторизованих для здійснення супроводу інформаційної системи. Тільки авторизований персонал здійснює супроводження ІС.
Цілісність систем і даних: політика і процедури. Розробка, поширення, періодичний перегляд і зміна:
- офіційної документованої політики цілісності систем і даних, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальних документованих процедур, що сприяють проведенню в життя політики і асоційованих регуляторів цілісності систем і даних.
Цілісність систем і даних: усунення дефектів. Ідентифікація дефектів інформаційної системи, інформування про них і виправлення.
У компанії реалізується в інформаційній системі захист від шкідливого програмного забезпечення, включаючи можливість автоматичних оновлень.
Цілісність систем і даних: сигнали про порушення безпеки і повідомлення про нові загрози. Необхідно регулярно відслідковувати сигнали про порушення безпеки і повідомлення про нові загрози для ІС, доводити їх до відома відповідних посадових осіб та належним чином реагувати на них.
Захист носіїв: політика і процедури. Розробка, поширення, періодичний перегляд і зміна:
- офіційної документованої політики захисту носіїв, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальних документованих процедур, що сприяють проведенню в життя політики і асоційованих регуляторів захисту носіїв.
Необхідно забезпечити, щоб тільки авторизовані користувачі мали доступ до інформації в друкованій формі або на цифрових носіях, вилучених з інформаційної системи.
Захист носіїв: санація і виведення з експлуатації. організація:
- санує носії (як паперові, так і цифрові) перед виведенням з експлуатації або передачею для повторного використання;
- простежує, документує та верифікує діяльність по санації носіїв;
- періодично тестує сануючих обладнання та процедури, щоб переконатися в коректності їх функціонування.
Реагування на порушення інформаційної безпеки: політика і процедури. Розробка, поширення, періодичний перегляд і зміни:
- офіційної документованої політики реагування на порушення інформаційної безпеки, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальних документованих процедур, що сприяють проведенню в життя політики і асоційованих регуляторів реагування на порушення інформаційної безпеки.
У компанії формуються структури для реагування на порушення інформаційної безпеки (група реагування), включаючи підготовку, виявлення і аналіз, локалізацію, ліквідацію впливу і відновлення після порушень.
Необхідно своєчасно доводити інформацію про порушення ІБ до відома уповноважених посадових осіб.
Формування структури для видачі рекомендацій і надання допомоги користувачам ІС при реагуванні на порушення ІБ і доповідях про них; ця структура є невід'ємною складовою частиною групи реагування.
Інформування та навчання: політика і процедури. Розробка, поширення, періодичний перегляд і зміни:
- офіційної документованої політики інформування і навчання співробітників, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальних документованих процедур, що сприяють проведенню в життя політики і асоційованих регуляторів інформування і навчання співробітників.
Інформування та навчання: інформування про проблеми ІБ. Слід забезпечити, щоб до всіх користувачів, включаючи керівників, доводилася основна інформація з проблематики ІБ, перш ніж цим користувачам буде надано доступ до ІС; подібне інформування має продовжуватися і далі із заданою частотою, але не рідше, ніж раз на рік.
Інформування та навчання: навчання з проблематики ІБ. Необхідно визначити посадових осіб, які відіграють важливу роль і мають відповідальні обов'язки по забезпеченню інформаційної безпеки ІС, документувати ці ролі і обов'язки і забезпечити відповідне навчання зазначених осіб, перш ніж надати їм доступ до ІС. Подібне навчання має тривати і далі із заданою частотою.
Інформування та навчання: документування навчання з проблематики ІБ. У компанії документується і відстежується хід навчання кожного співробітника з проблематики ІБ, включаючи вступний курс і курси, специфічні для ІС.
Інформування та навчання: контакти з групами і асоціаціями інформаційної безпеки. Доцільно встановити і підтримувати контакти з групами, форумами і асоціаціями, що спеціалізуються в області інформаційної безпеки, щоб бути в курсі сучасного стану ІБ, передових рекомендованих захисних засобів, методів і технологій.

На мінімальному рівні інформаційної безпеки рекомендується застосування наступних програмно-технічних регуляторів безпеки.

Ідентифікація та аутентифікація: політика і процедури. Розробка, поширення, періодичний перегляд і зміни:
- офіційної документованої політики ідентифікації і аутентифікації, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальних документованих процедур, що сприяють проведенню в життя політики і асоційованих регуляторів ідентифікації і аутентифікації.
Інформаційна система однозначно ідентифікує і аутентифікує користувачів (або процеси, що діють від імені користувачів).
Ідентифікація та аутентифікація: управління ідентифікаторами. Організація управляє ідентифікаторами користувачів за допомогою:
- унікальної ідентифікації кожного користувача;
- верифікації ідентифікатора кожного користувача;
- отримання офіційної санкції від уповноважених посадових осіб на випуск ідентифікатора користувача;
- забезпечення випуску ідентифікатора для потрібного користувача;
- припинення дії ідентифікатора користувача після заданого періоду відсутності активності;
- архівування ідентифікаторів користувачів.
Ідентифікація та аутентифікація: управління аутентифікатор. Компанія управляє аутентифікатор в інформаційній системі (токенами, сертифікатами в інфраструктурі відкритих ключів, біометричними даними, паролями, ключовими картами і т.п.) за допомогою:
- визначення початкового вмісту аутентифікатор;
- регламентацією адміністративних процедур початкового поширення аутентифікатор, заміщення втрачених, скомпрометованих або ушкоджених аутентифікатор, а також відкликання аутентифікатор;
- зміни маються на увазі аутентифікатор після установки інформаційної системи.
Ідентифікація та аутентифікація: відгук аутентифікатор. Інформаційна система приховує луна-відображення аутентификационной інформації в процесі аутентифікації, щоб захистити цю інформацію від можливого використання неавторизованими особами.
Ідентифікація та аутентифікація: аутентифікація по відношенню до криптографічних модулів. Для аутентифікації по відношенню до криптографічних модулів інформаційна система застосовує методи, що задовольняють вимогам стандартів на подібні модулі.
Управління доступом: політика і процедури. Розробка, поширення, періодичний перегляд і зміни:
- офіційної документованої політики управління доступом, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальних документованих процедур, що сприяють проведенню в життя політики і асоційованих регуляторів управління доступом.
Організація управляє рахунками в інформаційній системі, включаючи їх створення, активацію, модифікацію, перегляд (із заданою частотою), відключення і видалення.
Інформаційна система проводить в життя присвоєні привілеї для управління доступом до системи відповідно до застосовної політикою.
Управління доступом: невдалі спроби входу. Інформаційна система проводить в життя ліміт на число послідовних невдалих спроб доступу з боку користувача протягом заданого проміжку часу, автоматично замикаючи рахунок або затримуючи за заданим алгоритмом видачу запрошення на вхід на заданий час при перевищенні максимально допустимого числа невдалих спроб.
Управління доступом: попередження про використання системи. Інформаційна система відображає офіційно схвалене попередження про використання системи, перш ніж надати доступ до неї, інформуючи потенційних користувачів:
- про організаційну приналежності системи;
- про можливе моніторингу, протоколюванні і аудиті використання системи;
- про заборону і можливе покарання за несанкціоноване використання системи;
- про згоду користувача на моніторинг і протоколювання в разі використання системи; попередження містить відповідні положення політики безпеки і залишається на екрані, поки користувач не зробить явних дій для входу в ІС.
Управління доступом: нагляд і перегляд. Організація наглядає і перевіряє дії користувачів щодо проведення в життя і використання наявних в ІС регуляторів доступу.
Управління доступом: дії, дозволені без ідентифікації і аутентифікації. Визначення конкретних дій користувачів, які можуть бути виконані в інформаційній системі без ідентифікації і аутентифікації.
Документування, відстеження і контроль всіх видів віддаленого доступу до ІС (наприклад, через модемні входи або через Інтернет), включаючи віддалений доступ для виконання привілейованих дій; відповідні посадові особи санкціонують застосування кожного виду віддаленого доступу і авторизують для його застосування тільки тих користувачів, яким він необхідний.
організація:
- встановлює обмеження на використання і керує реалізацією бездротових технологій;
- документує, відстежує і контролює бездротовий доступ до ІС; відповідні посадові особи санкціонують застосування бездротових технологій.
Управління доступом: персональні інформаційні системи. Обмеження застосування персональних інформаційних систем для виробничих потреб, включаючи обробку, зберігання та передачу виробничої інформації.
Протоколювання і аудит: політика і процедури. Розробка, поширення, періодичний перегляд і зміни:
- офіційної документованої політики протоколювання і аудиту, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальних документованих процедур, що сприяють проведенню в життя політики і асоційованих регуляторів протоколювання і аудиту.
Протоколювання і аудит: протоколюються події. Інформаційна система генерує реєстраційні записи для заданих подій.
Інформаційна система зберігає в реєстраційних записах достатньо інформації, щоб встановити, яка подія відбулася, що послужило джерелом події, яким виявився результат події.
Протоколювання і аудит: ресурси для зберігання реєстраційної інформації. Необхідно виділяти достатній обсяг ресурсів для зберігання реєстраційної інформації та конфігурувати протоколювання так, щоб не допустити вичерпання цих ресурсів.
У разі збою протоколювання або вичерпання ресурсів зберігання реєстраційної інформації інформаційна система попереджає відповідних посадових осіб і робить задані додаткові дії.
Протоколювання і аудит: захист реєстраційної інформації. Інформаційна система захищає реєстраційну інформацію і засоби протоколювання / аудиту від несанкціонованого доступу, модифікації і видалення.
Протоколювання і аудит: збереження реєстраційної інформації. Слід зберігати реєстраційну інформацію протягом заданого часу, щоб забезпечити підтримку розслідувань більш ранніх порушень інформаційної безпеки і виконання вимог чинного законодавства та організаційних вимог збереження інформації.
Захист систем і комунікацій: політика і процедури. Розробка, поширення, періодичний перегляд і зміна:
- офіційної документованої політики захисту систем і комунікацій, в якій представлені мета, охоплення, ролі, обов'язки, підтримка керівництва, координація серед організаційних структур і відповідність чинному законодавству;
- формальних документованих процедур, що сприяють проведенню в життя політики і асоційованих регуляторів захисту систем і комунікацій.
Захист систем і комунікацій: захист від атак на доступність. Інформаційна система захищає від атак на доступність заданих видів або обмежує їх вплив.
Інформаційна система відстежує і контролює комунікації на своїх зовнішніх і ключових внутрішніх кордонах ІС.
Захист систем і комунікацій: застосування узаконеної криптографії. Якщо в інформаційній системі застосовуються криптографічні засоби, Вони повинні задовольняти вимогам чинного законодавства, технічних регламентів, стандартів, керівних і нормативних документів, галузевих і організаційних стандартів.
Захист систем і комунікацій: захист загальнодоступних систем. Інформаційна система забезпечує цілісність даних і додатків для загальнодоступних систем.

Додаткові і посилені регулятори безпеки для помірного рівня ІБ

Для помірного рівня інформаційної безпеки доцільно застосування таких додаткових і посилених (в порівнянні з мінімальним рівнем) регуляторів безпеки.

З заданою частотою або після появи відомостей про нові критичних для ІС вразливості необхідно сканувати уразливості в інформаційній системі.
Планування безпеки: планування діяльності, пов'язаної з безпекою. Забезпечення належного планування та координації діяльності, пов'язаної з безпекою і зачіпає інформаційну систему, з метою мінімізації негативного впливу на роботу і активи організації (в тому числі на її місію, функції, імідж і репутацію).
Закупівля систем і сервісів: документація. Необхідно включати в загальний пакет документів документацію від виробника / постачальника (при наявності такої), що описує функціональні властивості регуляторів безпеки, задіяних в інформаційній системі, досить детальну для того, щоб зробити можливим аналіз і тестування регуляторів.
Закупівля систем і сервісів: принципи проектування інформаційної безпеки. Проектування і реалізація інформаційної системи проводиться із застосуванням принципів проектування інформаційної безпеки.
Закупівля систем і сервісів: тестування безпеки розробником. Розробник інформаційної системи формує план тестування і оцінки безпеки, реалізує його і документує результати; останні можуть бути використані для підтримки сертифікації за вимогами безпеки та акредитації поставленої ІС.
Сертифікація, акредитація та оцінка безпеки: оцінка безпеки. З заданою частотою, але не рідше, ніж раз на рік, доцільно здійснювати оцінку регуляторів безпеки в інформаційній системі, щоб визначити, наскільки вони коректно реалізовані, функціонують у відповідності зі специфікаціями і дають очікувані результати з точки зору виконання пропонованих до ІС вимог інформаційної безпеки.
Сертифікація, акредитація та оцінка безпеки: сертифікація за вимогами безпеки. Оцінка регуляторів безпеки в інформаційній системі для цілей сертифікації за вимогами безпеки здійснюється незалежною сертифікує організацією.
Фізичний захист: контроль доступу до пристроїв відображення інформації. Контроль фізичного доступу до пристроїв відображення інформації з метою захисту останньої від перегляду неавторизованими особами.
Фізичний захист: моніторинг фізичного доступу. У режимі реального часу відслідковуються надходять сигнали про вторгнення і дані зі стежать пристроїв.
Фізичний захист: контроль відвідувачів. Забезпечення супроводу відвідувачів і, якщо потрібно, моніторингу їх активності.
Фізичний захист: електричне обладнання і проводка. захист електричного обладнання і проводки для інформаційної системи від пошкоджень і руйнувань.
Фізичний захист: аварійне відключення. Для певних приміщень, в яких концентруються ресурси інформаційної системи (центри обробки даних, серверні кімнати, машинні зали для мейнфреймів і т.п.), слід забезпечити можливість відключення електроживлення до будь-якого відмовив (наприклад, через короткого замикання) Або опинився під загрозою (наприклад, через розрив водопроводу) компоненту ІС, не піддаючи при цьому персонал небезпеки, пов'язаної з доступом до обладнання.
Забезпечення короткострокових джерел безперебійного живлення, Щоб дати можливість акуратно вимкнути інформаційну систему в разі порушення основного електроживлення.
Фізичний захист: протипожежний захист. Необхідно застосовувати і підтримувати пристрої / системи пожежогасіння і виявлення загорянь, автоматично спрацьовують в разі пожежі.
Фізичний захист: запасна виробничий майданчик. Співробітники організації на запасний виробничому майданчику застосовують відповідні регулятори безпеки для ІС.
Фізичний захист: розташування компонентів інформаційної системи. Слід мати у своєму розпорядженні компоненти інформаційної системи на відведених площах так, щоб мінімізувати потенційну шкоду від фізичних ризиків і загроз з боку навколишнього середовища, а також можливість несанкціонованого доступу.
Планування безперебійної роботи: план забезпечення безперебійної роботи. Організація координує розробку плану забезпечення безперебійної роботи зі структурами, відповідальними за родинні плани (наприклад, плани відновлення після аварій, реагування на порушення безпеки і т.п.).
У компанії організовується навчання співробітників їх ролям і обов'язків щодо забезпечення безперебійної роботи інформаційної системи, а також із заданою частотою, але не рідше, ніж раз на рік, проводяться тренування для підтримки практичних навичок.
З заданою частотою, але не рідше, ніж раз на рік, в організації тестується план забезпечення безперебійної роботи інформаційної системи. Для цього застосовуються задані тести і тренувальні процедури, щоб визначити ефективність плану і готовність організації до його виконання. Відповідні посадові особи перевіряють результати тестування плану і ініціюють коригувальні дії. Організація координує тестування плану забезпечення безперебійної роботи зі структурами, відповідальними за родинні плани (наприклад, плани відновлення після аварій, реагування на порушення безпеки і т.п.).
Необхідно визначити запасне місце зберігання і укласти необхідні угоди, щоб зробити можливим зберігання там резервних копій даних інформаційної системи; запасне місце зберігання територіально має бути віддалене від основного, щоб не наражати на його тим же небезпекам.
Визначається запасне місце обробки даних, і ініціюються необхідні угоди, щоб зробити можливим відновлення виконання інформаційною системою критично важливих виробничих функцій протягом заданого проміжку часу, якщо основні засоби обробки даних виявляються недоступними. Запасне місце обробки даних територіально віддалене від основного і, отже, не схильне до тим же небезпекам. Визначаються потенційні проблеми з доступом до запасного місця обробки даних в разі широкомасштабних аварій або стихійних лих, намічаються явні дії щодо пом'якшення виявлених проблем. Угода про запасний місці обробки даних містить зобов'язання пріоритетного обслуговування відповідно до вимог організації до доступності.
Визначаються основний і запасний джерела телекомунікаційних послуг, що підтримують інформаційну систему. Ініціюються необхідні угоди, щоб зробити можливим відновлення виконання інформаційною системою критично важливих виробничих функцій протягом заданого проміжку часу, якщо основне джерело телекомунікаційних послуг виявляється недоступним. Угоди про основне і запасному джерелах телекомунікаційних послуг містять зобов'язання пріоритетного обслуговування відповідно до вимог організації до доступності. Запасне джерело телекомунікаційних послуг не поділяє єдину точку відмови з основним джерелом.
Планування безперебійної роботи: резервне копіювання. З заданою частотою в організації тестуються резервні копії, щоб переконатися в надійності носіїв і цілісності даних.
Управління конфігурацією: базова конфігурація і опис компонентів інформаційної системи. При встановленні нових компонентів змінюються базова конфігурація інформаційної системи і опис компонентів ІС.
Документуються і контролюються зміни в інформаційній системі; відповідні посадові особи санкціонують зміни ІС відповідно до прийнятих в організації політикою і процедурами.
Управління конфігурацією: моніторинг змін конфігурації. Необхідно відстежувати зміни в інформаційній системі і здійснювати аналіз їх впливу на безпеку, щоб визначити ефект змін.
Організація проводить в життя фізичні і логічні обмеження доступу, пов'язаного зі змінами в інформаційній системі, і генерує, зберігає і переглядає записи, що відображають всі подібні зміни.
Слід конфігурувати інформаційну систему так, щоб забезпечити тільки необхідні можливості, і явно заборонити і / або обмежити використання певних функцій, портів, протоколів і / або сервісів.
Супровід: періодичне супровід. Підтримується реєстраційний журнал супроводу інформаційної системи, в якому фіксуються:
- дата і час обслуговування;
- прізвище та ім'я особи, яка провадила обслуговування;
- прізвище та ім'я супроводжуючого, якщо це необхідно;
- опис проведених дій з обслуговування ІС;
- список віддаленого або переміщеного обладнання (з ідентифікаційними номерами).
Організація санкціонує, контролює і відслідковує застосування засобів супроводу інформаційної системи і постійно підтримує ці кошти.
Супровід: своєчасне обслуговування. Організація отримує обслуговування і запчастини для заданих ключових компонентів інформаційної системи протягом заданого проміжку часу.
Цілісність систем і даних: захист від шкідливого програмного забезпечення. Централізоване управління механізмами захисту від шкідливого програмного забезпечення.
Цілісність систем і даних: засоби та методи моніторингу інформаційної системи. Застосування засобів і методів моніторингу подій в інформаційній системі, виявлення атак і ідентифікація несанкціонованого використання ІС.
В інформаційній системі реалізується захист від спаму.
Цілісність систем і даних: обмеження на введення даних. Організація надає право на введення даних в інформаційну систему тільки авторизованим особам.
Цілісність систем і даних: точність, повнота, достовірність та автентичність даних. Інформаційна система перевіряє дані на точність, повноту, достовірність і автентичність.
Цілісність систем і даних: обробка помилок. Інформаційна система явно виявляє і обробляє помилкові ситуації.
Цілісність систем і даних: обробка і збереження вихідних даних. Вихідні дані інформаційної системи обробляються і зберігаються відповідно до прийнятих в організації політикою і експлуатаційними вимогами.
Захист носіїв: мітки носіїв. Знімні носії даних і вихідні дані ІС забезпечуються зовнішніми мітками, що містять обмеження на поширення і обробку цих даних; задані типи носіїв або апаратних компонентів звільняються від міток, оскільки залишаються в межах контрольованої зони.
Захист носіїв: зберігання носіїв. Слід організувати фізичний контроль і безпечне зберігання носіїв даних, паперових і цифрових, грунтуючись на максимальній категорії, присвоєної даними, записаним на носії.
Захист носіїв: транспортування носіїв. Контроль носіїв даних, паперових і цифрових, і обмеження відправки, отримання, транспортування та доставки носіїв авторизованим особам.
Компанія навчає співробітників їх ролям і обов'язків, пов'язаних з реагуванням на порушення інформаційної безпеки ІС, і із заданою частотою, але не рідше, ніж раз на рік, проводить тренування для підтримки практичних навичок.
З заданою частотою, але не рідше, ніж раз на рік, тестуються засоби реагування на порушення інформаційної безпеки ІС, при цьому використовуються задані тести і тренувальні процедури, щоб визначити ефективність реагування. Результати документуються.
Реагування на порушення інформаційної безпеки: реагування. Для підтримки процесу реагування на порушення інформаційної безпеки застосовуються автоматичні механізми.
Необхідно постійно простежувати і документувати порушення інформаційної безпеки ІС.
Реагування на порушення інформаційної безпеки: доповіді про порушення. Застосування автоматичних механізмів для сприяння доповідям про порушення інформаційної безпеки.
Реагування на порушення інформаційної безпеки: допомога. Застосування автоматичних механізмів, щоб підвищити доступність інформації та підтримки, асоційованої з реагуванням на порушення інформаційної безпеки.
Ідентифікація та аутентифікація: ідентифікація і аутентифікація пристроїв. Інформаційна система ідентифікує і аутентифікує певні пристрої, перш ніж встановити з ними з'єднання.
Управління доступом: управління рахунками. Застосування автоматичних механізмів для підтримки управління рахунками в інформаційній системі; інформаційна система автоматично терминирующего тимчасові і аварійні рахунку після закінчення заданого для кожного типу рахунків проміжку часу; інформаційна система автоматично відключає неактивні рахунки після закінчення заданого проміжку часу.
Управління доступом: проведення в життя. Інформаційна система забезпечує, щоб доступ до функцій безпеки (реалізованим апаратно і / або програмно) і до захисних даними надавався тільки авторизованим особам (наприклад, адміністраторам безпеки).
Управління доступом: проведення в життя управління інформаційними потоками. Інформаційна система проводить в життя присвоєні привілеї для управління інформаційними потоками в системі і між взаємопов'язаними системами відповідно до прийнятої політики безпеки.
Управління доступом: поділ обов'язків. Інформаційна система проводить в життя поділ обов'язків у вигляді присвоєння привілеїв доступу.
Управління доступом: мінімізація привілеїв. Інформаційна система проводить в життя найбільш обмежувальний набір прав / привілеїв доступу, необхідних користувачам (або процесам, що діє від імені цих користувачів) для виконання їх завдань.
Управління доступом: блокування сеансів. Інформаційна система запобігає подальший доступ до ІС за допомогою блокування сеансу до тих пір, поки користувач не відновить доступ, застосовуючи відповідні процедури ідентифікації і аутентифікації.
Управління доступом: терминирование сеансів. Інформаційна система автоматично терминирующего сеанс після закінчення заданого періоду неактивності.
Управління доступом: дії, дозволені без ідентифікації і аутентифікації. Організація дозволяє виконання дій без ідентифікації і аутентифікації, тільки якщо вони необхідні для досягнення ключових цілей організації.
Управління доступом: віддалений доступ. Застосування автоматичних механізмів, щоб полегшити моніторинг і контроль методів віддаленого доступу, шифрування - для захисту конфіденційності сеансів віддаленого доступу. Необхідно контролювати весь віддалений доступ в керованої точці контролю доступу.
Управління доступом: обмеження на бездротовий доступ. Застосування аутентифікації і шифрування для захисту бездротового доступу до інформаційної системи.
Управління доступом: мобільні пристрої. організація:
- встановлює обмеження на застосування і розробляє керівництва з використання мобільних пристроїв;
- документує, відстежує і контролює доступ за допомогою подібних пристроїв до ІС; відповідні посадові особи санкціонують використання мобільних пристроїв; застосовуються знімні жорсткі диски або криптографія для захисту даних, що розташовуються в мобільних пристроях.
Протоколювання і аудит: вміст реєстраційних записів. Інформаційна система забезпечує можливість включення в реєстраційні записи додаткової, більш детальної інформації для протоколюються подій, ідентифікованих за типом, місцем або суб'єкту.
Необхідно регулярно вивчати / аналізувати реєстраційну інформацію з метою виявлення неналежної або нетипової активності, розслідувати випадки підозрілої активності або передбачуваних порушень, доповідати про результати відповідним посадовим особам та вживати необхідних дій.
Інформаційна система надає можливості редукції реєстраційної інформації та генерації звітів.
Протоколювання і аудит: мітки часу. Інформаційна система надає мітки часу для використання при генерації реєстраційних записів.
Захист систем і комунікацій: поділ додатків. Інформаційна система розділяє призначену для користувача функціональність (включаючи сервіси для користувача інтерфейсу) від функціональності управління ІС.
Захист систем і комунікацій: залишкова інформація. Інформаційна система запобігає несанкціоновану і ненавмисно передачу інформації через колективні системні ресурси.
Захист систем і комунікацій: захист кордонів. Доцільно фізично розміщувати загальнодоступні компоненти інформаційної системи (наприклад, загальнодоступні web-сервери) в окремих подсетях з окремими фізичними мережевими інтерфейсами, запобігти публічному доступ у внутрішню мережу, за винятком належним чином контрольованого доступу.
Інформаційна система захищає цілісність переданих даних.
Інформаційна система захищає конфіденційність даних.
Захист систем і комунікацій: розрив мережевих з'єднань. Інформаційна система терминирующего мережеве з'єднання в кінці сеансу або після закінчення заданого періоду неактивності.
Захист систем і комунікацій: вироблення криптографічних ключів і управління ними. Інформаційна система застосовує автоматичні механізми і допоміжні процедури або ручні процедури для вироблення криптографічних ключів і управління ключами.
Захист систем і комунікацій: колективні додатки. Інформаційна система забороняє віддалену активацію механізмів колективних додатків (наприклад, відео- або аудиоконференций) і надає явні свідчення їх використання для локальних користувачів (наприклад, індикацію використання відеокамер або мікрофонів).
Захист систем і комунікацій: сертифікати інфраструктури відкритих ключів. Організація розробляє і реалізує політику для сертифікатів і специфікацію сертифікаційної практики для випуску сертифікатів відкритих ключів, які використовуються в інформаційній системі.
Захист систем і комунікацій: мобільний код. організація:
- встановлює обмеження на застосування і розробляє керівництва з використання технологій мобільного коду, Виходячи з можливості нанесення шкоди інформаційній системі при зловмисне застосуванні цих технологій;
- документує, відстежує і контролює використання мобільного коду в інформаційній системі; відповідні посадові особи санкціонують використання мобільного коду.
Захист систем і комунікацій: протокол VoIP. організація:
- встановлює обмеження на застосування і розробляє керівництва з використання технологій VoIP, виходячи з можливості нанесення шкоди інформаційній системі при зловмисне застосуванні цих технологій;
- документує, відстежує і контролює використання VoIP в інформаційній системі; відповідні посадові особи санкціонують використання VoIP.
Захист систем і комунікацій: сервіс безпечного пошуку імен (уповноважені джерела). Інформаційні системи (уповноважені сервери доменних імен), що надають зовнішнім користувачам сервіс пошуку імен для доступу до інформаційних ресурсів організації через Інтернет, забезпечують атрибути для аутентифікації джерела даних і контролю цілісності даних, щоб дати користувачам можливість отримати гарантії автентичності та цілісності повідомлень при отриманні даних в рамках мережевих транзакцій.

Додаткові і посилені регулятори безпеки для високого рівня ІБ

Для високого рівня інформаційної безпеки рекомендується застосування таких додаткових і посилених (в порівнянні з помірним рівнем) регуляторів безпеки.

Оцінка ризиків: сканування вразливостей. Засоби сканування вразливостей включають можливість оперативного зміни списку сканованих вразливостей інформаційної системи.

З заданою частотою або після появи відомостей про нові критичних для ІС вразливості організація змінює список сканованих вразливостей інформаційної системи.

Закупівля систем і сервісів: документація. Слід включити в загальний пакет документів документацію від виробника / постачальника (при наявності такої), що описує деталі проектування і реалізації регуляторів безпеки, задіяних в інформаційній системі, зі ступенем подробиці, достатньою для того, щоб зробити можливим аналіз і тестування регуляторів (включаючи функціональні інтерфейси між компонентами регуляторів).
Закупівля систем і сервісів: управління конфігурацією розробником. Розробник інформаційної системи створює і реалізує план управління конфігурацією, який контролює зміни системи в процесі розробки, простежує дефекти безпеки, що вимагає авторизації змін, і надає документацію плану і його реалізації.
Фізичний захист: контроль доступу до каналів передачі даних. Контролюється фізичний доступ до ліній поширення і передачі даних, що належить ІС і розташованим в межах охоронюваних кордонів, щоб запобігти ненавмисне пошкодження, прослуховування, модифікацію в процесі передачі, розрив або фізична спотворення ліній.
Фізичний захист: моніторинг фізичного доступу. Застосовуються автоматичні механізми, щоб забезпечити виявлення потенційних вторгнень і ініціювання реакції на них.
Фізичний захист: протоколювання доступу. Застосовуються автоматичні механізми, щоб полегшити підтримку та перегляд реєстраційних журналів.
Фізичний захист: аварійне електроживлення. Необхідно забезпечити довгострокові альтернативні джерела електроживлення для інформаційної системи, здатні підтримувати мінімальні необхідні експлуатаційні можливості в разі довготривалого виходу з ладу первинного джерела електроживлення.
Фізичний захист: протипожежний захист. Застосовуються і підтримуються пристрої / системи пожежогасіння і виявлення загорянь, автоматично сповіщають про свою активації організацію і аварійні служби.
Фізичний захист: захист від затоплення. Автоматичні механізми застосовуються, щоб автоматично перекрити воду в разі її інтенсивної витоку.
Планування безперебійної роботи: навчання. Моделювання подій включається в навчальні курси, щоб сприяти ефективному реагуванню співробітників на можливі кризові ситуації.
Планування безперебійної роботи: тестування плану забезпечення безперебійної роботи. План забезпечення безперебійної роботи тестується на запасний виробничому майданчику, щоб ознайомити співробітників з наявними можливостями і ресурсами і оцінити здатність майданчика підтримувати безперервність функціонування.
Планування безперебійної роботи: запасні місця зберігання. Запасне місце зберігання конфигурируется так, щоб полегшити своєчасні і ефективні відновлювальні дії; визначаються потенційні проблеми з доступом до запасного місця зберігання в разі широкомасштабних аварій або стихійних лих і намічаються явні дії щодо пом'якшення виявлених проблем.
Планування безперебійної роботи: запасні місця обробки даних. Запасне місце обробки даних повністю конфігурується для підтримки мінімальних необхідних експлуатаційних можливостей і готовності до використання в якості виробничого майданчика.
Планування безперебійної роботи: телекомунікаційні послуги. Запасне джерело телекомунікаційних послуг повинен бути в достатній мірі віддалений територіально від основного, щоб не піддаватися тим же небезпекам; основний і запасний джерела телекомунікаційних послуг мають адекватні плани забезпечення безперебійної роботи.
Планування безперебійної роботи: резервне копіювання. Для відновлення функцій інформаційної системи вибірково використовуються резервні копії як частина тестування плану забезпечення безперебійної роботи. Резервні копії операційної системи та іншого критичного для ІС програмного забезпечення зберігаються в окремому місці або в вогнетривкому контейнері, розташованому окремо від експлуатаційного ПО.
Планування безперебійної роботи: відновлення інформаційної системи. організація включає повне відновлення інформаційної системи як частина тестування плану забезпечення безперебійної роботи.
Управління конфігурацією: базова конфігурація і опис компонентів інформаційної системи. Застосовуються автоматичні механізми, щоб підтримувати актуальну, повну, точну і легко доступну базову конфігурацію інформаційної системи і опис компонентів ІС.
Управління конфігурацією: контроль змін конфігурації. Автоматичні механізми застосовуються, щоб:
- документувати пропоновані зміни інформаційної системи;
- сповіщати відповідних посадових осіб;
- привертати увагу до не отримання вчасно стверджують візами;
- відкладати зміни до отримання необхідних стверджують віз;
- документувати зроблені зміни інформаційної системи.
Управління конфігурацією: обмеження доступу для змін. Щоб проводити в життя обмеження доступу і підтримувати протоколювання обмежують дій, застосовуються автоматичні механізми.
Управління конфігурацією: настройки. Автоматичні механізми застосовуються для централізованого управління, застосування і веріфіцірованія налаштувань.
Управління конфігурацією: мінімізація функціональності. З заданою частотою переглядається інформаційна система, щоб ідентифікувати і ліквідувати функції, порти, протоколи та інші сервіси, які не є необхідними.
Супровід: періодичне супровід. Застосовуються автоматичні механізми, щоб забезпечити планування і проведення періодичного супроводу відповідно до встановленими вимогами, А також актуальність, точність, повноту і доступність реєстраційних записів про необхідні і вироблених діях по супроводу.
Супровід: кошти супроводу. Необхідно оглядати всі засоби супроводу (наприклад, діагностичне та тестове обладнання), що вносяться на територію організації обслуговуючим персоналом, на предмет видимих \u200b\u200bненалежних модифікацій. Слід перевіряти всі носії, які містять діагностичні тестові програми (наприклад, програмне забезпечення, що використовується для супроводу і діагностики систем), на предмет наявності шкідливого ПО, перш ніж носії будуть застосовані в інформаційній системі. Перевірці піддається все обладнання, що застосовується з метою супроводу та здатне зберігати інформацію, щоб упевнитися, що в устаткуванні не записана належить організації інформація або що воно належним чином санувати перед повторним використанням. Якщо обладнання не може бути санувати, воно залишається на території організації або знищується, за винятком випадків, явно санкціонованих відповідними посадовими особами.
Супровід: віддалене супровід. Протоколюються всі сеанси віддаленого супроводу, а відповідні посадові особи переглядають реєстраційний журнал віддалених сеансів. Установка і використання каналів дистанційної діагностики відображаються в плані безпеки інформаційної системи. Сервіси дистанційної діагностики або супроводу допустимі тільки в тому випадку, якщо обслуговуюча організація підтримує в своїй ІС принаймні той же рівень безпеки, що і яку обслуговує.
Цілісність систем і даних: захист від шкідливого програмного забезпечення. Інформаційна система автоматично змінює механізми захисту від шкідливого програмного забезпечення.
Цілісність систем і даних: верифікація функціональності безпеки. Інформаційна система в рамках технічних можливостей, при старті або перезавантаження системи, по команді уповноваженого користувача і / або періодично із заданою частотою верифікує коректність роботи функцій безпеки і сповіщає системного адміністратора і / або вимикає або перезапускає систему в разі виявлення будь-яких аномалій.
Цілісність систем і даних: цілісність програмного забезпечення та даних. Інформаційна система виявляє і захищає від несанкціонованого зміни програмного забезпечення і даних.
Цілісність систем і даних: захист від спаму. Організація централізовано управляє механізмами захисту від спаму.
Захист носіїв: доступ до носіїв. Застосовуються або пости охорони, або автоматичні механізми для управління доступом до місць зберігання носіїв, забезпечення захисту від несанкціонованого доступу, а також реєстрації спроб доступу та доступу наданого.
Реагування на порушення інформаційної безпеки: навчання. У навчальні курси включається моделювання подій, щоб сприяти ефективному реагуванню співробітників на можливі кризові ситуації.
Реагування на порушення інформаційної безпеки: тестування. Для більш ретельного та ефективного тестування можливостей реагування застосовуються автоматичні механізми.
Реагування на порушення інформаційної безпеки: моніторинг. Автоматичні механізми застосовуються, щоб сприяти простежуванню порушень безпеки, а також збору та аналізу інформації про порушення.
Ідентифікація та аутентифікація: ідентифікація і аутентифікація користувачів. Інформаційна система застосовує многофакторную аутентифікацію.
Управління доступом: управління рахунками. Застосовуються автоматичні механізми, щоб забезпечити протоколювання і, при необхідності, повідомлення відповідних осіб про створення, модифікації, відключенні і терминировании рахунків.
Управління доступом: управління паралельними сеансами. Інформаційна система обмежує число паралельних сеансів для одного користувача.
Управління доступом: нагляд і перегляд. Автоматичні механізми застосовуються, щоб полегшити перегляд для користувача активності.
Управління доступом: автоматична маркування. Інформаційна система маркує вихідні дані, використовуючи стандартні угоди про іменування, щоб ідентифікувати всі спеціальні інструкції щодо поширення, обробці і розподілу даних.
Протоколювання і аудит: вміст реєстраційних записів. Інформаційна система забезпечує можливість централізованого керування вмістом реєстраційних записів, що генеруються окремими компонентами ІС.
Протоколювання і аудит: обробка реєстраційної інформації. Інформаційна система забезпечує видачу попереджувального повідомлення, коли частка зайнятого простору, відведеного для зберігання реєстраційної інформації, досягає заданого значення.
Протоколювання і аудит: моніторинг, аналіз і звіт про реєстраційної інформації. Застосування автоматичних механізмів, щоб інтегрувати моніторинг, аналіз і звіт про реєстраційної інформації в загальний процес виявлення і реагування на підозрілу активність.
Протоколювання і аудит: редукція реєстраційної інформації та генерація звітів. Інформаційна система надає можливість автоматичної обробки реєстраційної інформації про які потребують уваги події, грунтуючись на заданих критеріях вибору.
Захист систем і комунікацій: ізоляція функцій безпеки. Інформаційна система ізолює функції безпеки від інших функцій.
Захист систем і комунікацій: цілісність переданих даних. Застосування криптографічних механізмів для забезпечення розпізнавання змін до даних в процесі передачі, якщо дані не захищені альтернативними фізичними заходами (наприклад, захисною системою розподілу).
Захист систем і комунікацій: конфіденційність даних. Застосування криптографічних механізмів для запобігання несанкціонованого розкриття інформації в процесі передачі, якщо вона не захищена альтернативними фізичними заходами (наприклад, захисною системою розподілу).
Захист систем і комунікацій: сервіс безпечного пошуку імен (дозвіл імен). Інформаційні системи (уповноважені сервери доменних імен), що надають внутрішнім користувачам сервіс пошуку імен для доступу до інформаційних ресурсів, забезпечують механізми для аутентифікації джерела даних і контролю цілісності даних, а також здійснюють ці дії за запитом клієнтських систем.

Мінімальні вимоги довіри для регуляторів безпеки

Мінімальні вимоги довіри для регуляторів безпеки пред'являються до певних процесів і дій. Фахівці, які розробляють і реалізують регулятори, визначають і застосовують (виконують) ці процеси і дії для підвищення ступеня впевненості в тому, що регулятори реалізовані коректно, функціонують у відповідності зі специфікаціями і дають очікувані результати з точки зору виконання пропонованих до ІС вимог інформаційної безпеки.

На мінімальному рівні інформаційної безпеки необхідно, щоб регулятори безпеки були задіяні і задовольняли явно заданим в їх визначенні функціональним вимогам.

На помірному рівні інформаційної безпеки додатково повинні виконуватися наступні умови. Фахівці, які розробляють (реалізують) регулятори, надають опис їх функціональних властивостей, досить детальне, щоб було можливо виконувати аналіз і тестування регуляторів. Як невід'ємна складова частина регуляторів розробниками документуються та надаються розподіл обов'язків і конкретні дії, завдяки яким після завершення розробки (реалізації) регулятори повинні задовольняти пропонованим до них функціональним вимогам. Технологія, за якою розробляються регулятори, повинна підтримувати високий ступінь впевненості в їх повноті, несуперечності і коректності.

Малюнок 6. Забезпечення інформаційної безпеки. Процесний підхід.

На високому рівні інформаційної безпеки, крім усього вищевказаного, необхідно надати опис проекту та реалізації регуляторів, включаючи функціональні інтерфейси між їх компонентами. Від розробників потрібні свідчення того, що після завершення розробки (реалізації) виконання пропонованих до регуляторів вимог буде безперервним і несуперечливим в масштабах всієї інформаційної системи, і буде підтримуватися можливість підвищення ефективності регуляторів.

висновок

Забезпечення інформаційної безпеки - складний, багатоаспектний процес, що вимагає прийняття безлічі рішень, аналізу безлічі чинників і вимог, часом суперечливих. Наявність категорій і мінімальних вимог безпеки, а також визначеного каталогу регуляторів безпеки, здатне служити базою для системного підходу до забезпечення ІБ, підходу, що вимагає розумних трудових і матеріальних витрат і здатного дати практично прийнятні результати для більшості організацій.

Проблему захисту інформації складно назвати надуманою. З усіх боків ми чуємо про зломи, віруси, шкідливі програми програмному забезпеченні, Атаках, погрози, вразливості ...

Інформаційна безпека як система

Інформаційна безпека - комплекс заходів, серед яких не можна виділити важливіші. Інформаційну безпеку не можна сприймати інакше як комплекс. Тут важливо все! Потрібно дотримуватись заходів захисту в усіх точках мережі, при будь-якій роботі будь-яких суб'єктів з вашою інформацією (під суб'єктом в даному випадку розуміється користувач системи, процес, комп'ютер або програмне забезпечення для обробки інформації). Кожен інформаційний ресурс, будь то комп'ютер користувача, сервер організації або мережеве обладнання, повинен бути захищений від усіляких загроз. Захищені повинні бути файлові системи, Мережа і т.д. Способи реалізації захисту ми в цій статті розглядати не будемо через їх величезного розмаїття.

Однак слід розуміти, що забезпечити стовідсотковий захист неможливо. Разом з тим потрібно пам'ятати: чим вище рівень захищеності, тим дорожче система, тим більш незручною у використанні вона виходить для користувача, що відповідно веде до погіршення захисту від людського фактора. Як приклад згадаємо, що надмірне ускладнення пароля веде до того, що користувач змушений записувати його на папірець, яку приклеює до монітора, клавіатурі тощо.

існує широкий спектр програмного забезпечення, спрямованого на вирішення завдань захисту інформації. Це антивірусні програми, брандмауери, вбудовані засоби операційних систем і багато іншого. Однак варто пам'ятати, що найбільш уразливим ланкою в захисті завжди залишається людина! Адже працездатність будь-якого програмного забезпечення залежить від якості його написання і грамотності адміністратора, який налаштовує той чи інший засіб захисту.

Багато організацій в зв'язку з цим створюють служби (відділи) захисту інформації або ставлять відповідні завдання перед своїми ІТ-відділами. Разом з тим потрібно розуміти, що не можна звалювати на службу ІТ невластиві їй функції. Про це не раз вже говорилося і писалося. Отже, припустимо, у вашій організації створено відділ інформаційної безпеки. Що робити далі? З чого почати?

Починати потрібно з навчання співробітників! І в подальшому зробити цей процес регулярним. Навчання персоналу основам захисту інформації повинно стати постійним завданням відділу захисту інформації. І робити це потрібно не рідше двох разів на рік.

Багато керівників намагаються відразу ж отримати від відділу захисту інформації документ під назвою «Політика безпеки організації». Чи це правильно? На мій погляд - ні. Перед тим як ви сядете писати цей величезний труд, вам потрібно визначитися з наступними питаннями:

яку інформацію ви обробляєте?
як її класифікувати за властивостями?
якими ресурсами ви володієте?
як розподілена обробка інформації по ресурсах?
як класифікувати ресурси?

Класифікація інформації

Історично склалося так, що як тільки піднімається питання про класифікацію інформації (в першу чергу це відноситься до інформації, що належить державі), її відразу ж починають класифікувати за рівнем секретності (конфіденційності). Про вимоги щодо забезпечення доступності, цілісності, спостережливості якщо і згадують, то побіжно, в ряду загальних вимог до систем обробки інформації.

Якщо такий погляд ще можна якось виправдати необхідністю забезпечення державної таємниці, то перенесення його в іншу предметну область виглядає просто безглуздо. Наприклад, згідно з вимогами українського законодавства, власник інформації сам визначає рівень її конфіденційності (в разі, якщо ця інформація не належить державі).

У багатьох областях частка конфіденційної інформації порівняно мала. Для відкритої інформації, збиток від розголошення якої невеликий, найважливішими можуть бути такі властивості, як доступність, цілісність або захищеність від неправомірного копіювання. Розглянемо як приклад веб-сайт інтернет-видання. На першому місці буде стояти, на мій погляд, доступність і цілісність інформації, а не її конфіденційність. Оцінювати і класифікувати інформацію тільки з позиції і секретності щонайменше непродуктивно.

І пояснити це можна тільки вузькістю традиційного підходу до захисту інформації, відсутністю досвіду в плані забезпечення доступності, цілісності і спостережливості інформації, яка не є секретною (конфіденційною).

Категорії захищається

Виходячи з необхідності забезпечення різних рівнів захисту інформації (які не містять відомостей, що становлять державну таємницю), зберігається та обробляється в організації, назвемо кілька категорій конфіденційності і цілісності інформації, що захищається.

абсолютно конфіденційно - інформація, визнана конфіденційною відповідно до вимог закону, або інформація, обмеження на поширення якої введено рішенням керівництва внаслідок того, що її розголошення може призвести до тяжких фінансово-економічних наслідків для організації аж до банкрутства;
конфіденційно - в цю категорію входить інформація, не віднесена до категорії «абсолютно конфіденційно», обмеження на поширення якої введені рішенням керівництва відповідно до наданих йому як власнику інформації чинним законодавством правами внаслідок того, що її розголошення може призвести до значних збитків і втрати конкурентоспроможності організації ( нанесення істотної шкоди інтересам його клієнтів, партнерів або співробітників);
відкрита - до цієї категорії відноситься інформація, забезпечення конфіденційності якої не потрібно.

висока - інформація, несанкціонована модифікація або підробка якої може привести до нанесення значного збитку організації;
низька - до цієї категорії відноситься інформація, несанкціонована модифікація якої може привести до нанесення незначного збитку організації, її клієнтам, партнерам або співробітникам;
немає вимог - до цієї категорії відноситься інформація, до забезпечення цілісності та автентичності якої вимог не висувають.

За ступенем доступності введемо чотири категорії в залежності від періодичності рішення функціональних завдань і максимально допустимої затримки отримання результатів їх вирішення:

реальний час - доступ до задачі повинен забезпечуватися в будь-який час;
година - доступ до задачі повинен здійснюватися без істотних временн их затримок (завдання вирішується кожен день, затримка не перевищує кілька годин);
день - доступ до задачі може забезпечуватися з істотними временн ими затримками (завдання вирішується раз в декілька днів);
тиждень - временн ие затримки при доступі до задачі не встановлені (період вирішення завдання становить кілька тижнів або місяців, допустима затримка отримання результату - кілька тижнів).

Категоріювання інформації

Категоріювання всіх видів інформації, використовуваної при вирішенні задач на конкретних комп'ютерах (установка категорій конфіденційності, цілісності та доступності конкретних видів інформації).
Категоріювання всіх завдань, які вирішуються на даному комп'ютері.
Виходячи з максимальних категорій оброблюваної інформації встановлюється категорія комп'ютера, на якому вона обробляється.

інвентаризація ресурсів

Перш ніж говорити про захист інформації в організації, потрібно зрозуміти, що ви збираєтеся захищати і якими ресурсами володієте. Для цього необхідно провести роботи з інвентаризації та аналізу всіх ресурсів автоматизованої системи організації, які підлягають захисту:

Для проведення інвентаризації та категорирования ресурсів, що підлягають захисту, формується спеціальна робоча група. До її складу включаються фахівці підрозділу комп'ютерної безпеки та інших підрозділів організації, які можуть надати допомогу при розгляді питань технології автоматизованої обробки інформації в організації.
Для того щоб створена група володіла необхідним організаційно-правовим статусом, видається відповідне розпорядження керівництва організації, в якому вказується, що всі керівники відповідних підрозділів організації повинні сприяти і необхідну допомогу робочій групі в аналізі ресурсів всіх комп'ютерів.
Для надання допомоги на час роботи групи в підрозділах їх керівниками повинні виділятися співробітники, які володіють детальною інформацією з питань автоматизованої обробки інформації в даних підрозділах.
Дане розпорядження доводиться під розпис всім керівникам відповідних підрозділів.
В ході обстеження (аналізу) організації та автоматизованих підсистем виявляються і описуються всі функціональні завдання, які вирішуються з застосуванням комп'ютерів, а також всі види інформації, що використовуються для вирішення цих завдань в підрозділах.
Після закінчення обстеження складається формуляр завдань, що вирішуються в організації. Слід розуміти, що одна і та ж завдання в різних підрозділах може називатися по-різному і, навпаки, різні завдання можуть мати один і той же назву. Одночасно з цим ведеться облік програмних засобів, що застосовуються при вирішенні функціональних завдань підрозділу.

Слід врахувати, що в ході обстеження виявляються всі види інформації (що входить, що виходить, що зберігається, обробляється і т.д.). Необхідно враховувати, що виявляти необхідно не тільки конфіденційну інформацію, а й ту, порушення цілісності або доступності якої може завдати відчутної шкоди організації.

При аналізі інформації, що обробляється в організації, необхідно оцінювати серйозність наслідків, які можуть бути викликані порушенням її властивостей. Для цього потрібно проводити опитування (тестування, анкетування) працюють з нею фахівців. При цьому в першу чергу варто з'ясувати, кому вигідно незаконно використовувати або впливати на цю інформацію. Якщо не виходить провести кількісну оцінку можливого збитку, слід дати йому якісну оцінку (низький, високий, дуже високий).

Для розуміння категорій доступності при аналізі завдань, що вирішуються в організації, необхідно виявляти максимально допустимий час затримки результатів, періодичність їх вирішення і серйозність наслідків при порушенні їх доступності (блокуванні завдань).

В ході аналізу кожен з видів інформації має бути віднесений до певної міри (грифу) конфіденційності (на підставі вимог чинного законодавства та наданих організації прав).

При цьому для оцінки категорії конфіденційності конкретних видів інформації у керівників (провідних фахівців) структурного підрозділу з'ясовуються особисті оцінки можливої \u200b\u200bшкоди від порушення властивостей конфіденційності та цілісності інформації.

Після закінчення аналізу складається «Список інформаційних ресурсів, що підлягають захисту».

потім даний список узгоджується з керівниками відділів підрозділів ІТ та комп'ютерної безпеки і висувається на розгляд керівництва організації.

Після закінчення даного етапу необхідно провести категорирование функціональних завдань. На основі вимог по доступності, що пред'являються керівниками підрозділів організації та узгоджених зі службою ІТ, категоризується (в плані доступності) все прикладні завдання, які вирішуються в підрозділах.

Надалі за допомогою фахівців служби ІТ та підрозділи захисту інформації необхідно уточнити склад ресурсів (інформаційних, програмних) кожного завдання і внести в формуляр (конкретного завдання) відомості по групах користувачів даного завдання і вказівки з налаштування застосовуються при її вирішенні засобів захисту (наприклад, повноваження доступу груп користувачів до перерахованих ресурсів завдання). Надалі на підставі цих відомостей буде проводитися настройка засобів захисту комп'ютерів, на яких буде вирішуватися це завдання.

На наступному етапі відбувається категорирование комп'ютерів. Категорія комп'ютера встановлюється виходячи з максимальної категорії завдань, що вирішуються на ньому, і максимальних категорій конфіденційності та цілісності інформації, використовуваної при вирішенні цих завдань. Інформація про категорії комп'ютера заноситься в його формуляр.

У поняття інвентаризації ресурсів входить не тільки звірка наявних активних і пасивних мережевих ресурсів зі списком обладнання (і його комплектності), закупленого організацією. Ця процедура реалізується за допомогою відповідного програмного забезпечення, наприклад Microsoft Sysytems Management Server. Сюди ж можна віднести створення карти мережі з описом всіх можливих точок підключення, складання списку використовуваного програмного забезпечення, формування фонду еталонів ліцензійного програмного забезпечення, використовуваного в організації, створення фонду алгоритмів і програм власної розробки.

Слід врахувати, що програмне забезпечення може бути допущено до роботи лише після його перевірки відділом захисту інформації на відповідність поставленим завданням і відсутність всіляких закладок і «логічних бомб».

У зв'язку з цим хотілося б окремо згадати про тенденції до використання в нашій країні програмного коду Open Source. Не сперечаюся, це забезпечує істотну економію ресурсів. Однак, на мій погляд, в такому випадку проблема безпеки стає питанням довіри вже не тільки до розробника системи, але і до вашого адміністратора. А якщо згадати, скільки він отримує, то неважко зробити висновок, що купити ваші секрети в даному випадку набагато простіше і дешевше, ніж здійснювати пряму зовнішню атаку. Варто нагадати і про те, що більшу частину успішних атак здійснили інсайдери, тобто свої ж співробітники компанії.

На мій погляд, застосовувати вільне програмне забезпечення при наявності потенційної можливості нанесення серйозного збитку можна лише в разі, якщо воно буде поставлятися вам в відкомпілювався вигляді і з цифровим підписом організації, яка гарантує відсутність в ньому логічних бомб, усілякого роду закладок і «чорних ходів» . Причому організація-гарант має нести матеріальну відповідальність за свою гарантію, що, по-моєму, неможливо. Однак вибір за вами.

Після перевірки еталонне програмне забезпечення заноситься в фонд алгоритмів і програм (еталонна копія повинна супроводжуватися файлом контрольної суми, А найкраще - електронним підписом розробника). Надалі при зміні версій і появі оновлень перевірка програмного забезпечення проводиться в звичайному порядку.

Надалі в формуляр кожного комп'ютера заносяться відомості про встановлене програмне забезпечення, дату встановлення, цілі, що вирішуються за допомогою даного забезпечення завданнях, прізвища та підпису особи, яка провадила установку і настройку програм. Після створення подібних формулярів служба інформаційної безпеки повинна забезпечувати регулярну перевірку відповідності реального стану формуляру.

Наступним етапом в побудові служби захисту інформації є аналіз ризиків організації, який повинен стати основою для створення політики безпеки.

Сьогодні навряд чи вдасться знайти організацію, в якій ніхто і ніколи не замислювався б про захист інформації. Разом з тим не завжди можна зустріти правильне розуміння інформаційної безпеки як комплексу організаційних і технічних заходів. Найважливішим елементом її забезпечення є людина, і він же - основний фактор її порушення.

Інформаційна безпека повинна сприйматися як комплекс організаційно-технічних заходів, оскільки забезпечити конфіденційність, цілісність і доступність не можна ні окремо взятими технічними заходами, ні тільки організаційними.

Скажімо, ви вирішили забезпечувати захист тільки технічними заходами, при цьому організаційні документи у вас повністю відсутні. Так часто буває, якщо захистом займається відділ ІТ або начальник відділу інформаційної безпеки (ІБ) - колишній представник ІТ-структур. Що в цьому випадку відбудеться? Припустимо, що один зі співробітників компанії систематично передає конфіденційну інформацію по електронній пошті конкурентам. Ви виявили витік, але документів у вас немає, отже, покарати співробітника (наприклад, звільнити його) ви просто не маєте права. А якщо ви це зробите, розумний зловмисник подасть на вас до суду за порушення його конституційних прав на особисту переписку. Найсумніше в тому, що юридично він буде абсолютно правий: всередині вашої організації не документовано, що вся інформація, передана засобами електронної пошти з адрес, що належать вашій організації, є власністю фірми.

Розглянемо другу крайність. Вона, як правило, характерна для колишніх військовослужбовців і співробітників спецслужб. У вас підготовлені чудові документи, але абсолютно відсутній їх технічна підтримка. Що станеться в такому випадку? Ваші співробітники рано чи пізно порушать положення організаційних документів і, побачивши, що їх ніхто не контролює, будуть робити це систематично.

Таким чином, інформаційна безпека - гнучка система, що включає в себе як організаційні, так і технічні заходи. При цьому потрібно розуміти, що тут не можна виділити більш значимі заходи або менш значущі. Важливо все. Потрібно дотримуватись заходів захисту в усіх точках мережі, при роботі будь-яких суб'єктів з вашою інформацією. (Під суб'єктом в даному випадку розуміється користувач системи, процес, комп'ютер або програмне забезпечення для обробки інформації). Кожен інформаційний ресурс, будь то комп'ютер користувача або сервер організації, повинен бути повністю захищений. Захищені повинні бути файлові системи, мережу і т. Д. Способи реалізації ми тут обговорювати не будемо.

Існує величезна кількість програмного забезпечення, спрямованого на вирішення завдання захисту інформації. Це і антивірусні програми, і мережеві екрани, і вбудовані засоби операційних систем. Однак найбільш уразливим фактором завжди залишається людина. Працездатність будь-якого програмного забезпечення залежить від якості його написання, від грамотності адміністратора, який його настроїв.

Багато організацій в зв'язку з цим створюють відділи захисту інформації або ставлять завдання по забезпеченню безпеки інформації перед своїми ІТ-відділами. Але не раз вже говорилося, що не можна звалювати на ІТ-службу невластиві їй функції. Припустимо, що у вашій організації створено відділ ІТ-безпеки. Що робити далі? З чого починати його діяльність?

Перші кроки відділу ІБ

На мій погляд, починати потрібно з навчання співробітників! І в подальшому робити це не рідше двох разів на рік. Навчання звичайного персоналу основам захисту інформації повинно стати постійною справою співробітників відділу захисту інформації!

Багато керівників намагаються відразу ж отримати від відділу захисту інформації документ під назвою «Політика безпеки». Це помилка. Перед тим як ви сядете за написання цього серйозного документа, який визначатиме надалі всі ваші зусилля щодо забезпечення інформаційної безпеки вашої організації, потрібно задати собі наступні питання:

Яку інформацію ви обробляєте?

Як її класифікувати?

Якими ресурсами ви володієте?

Як розподілена обробка інформації по ресурсах?

Як класифікувати ресурси?

Постараємося відповісти на ці питання.

Класифікація інформації

В нашій країні історично склався підхід до класифікації інформації (в першу чергу державної) за рівнями вимог до її захищеності виходячи з одного її властивості - конфіденційності (секретності).

Вимоги до забезпечення цілісності і доступності інформації, як правило, лише побічно згадуються серед загальних вимог до систем обробки даних.

Якщо такий підхід в якійсь мірі виправданий для забезпечення безпеки інформації, що становить державну таємницю, то це не означає, що перенесення його в іншу предметну область (з іншими суб'єктами і їхніми інтересами) буде правильним.

У багатьох областях частка конфіденційної інформації порівняно мала. Для відкритої інформації, збиток від розголошення якої є несуттєвим, найважливішими є зовсім інші властивості, скажімо такі, як доступність, цілісність або захищеність від неправомірного тиражування. Наприклад, для платіжних (фінансових) документів найважливішим є їх цілісність (достовірність). Потім слід властивість доступності (втрата платіжного документа або затримка платежів може обходитися дуже дорого). Вимоги до забезпечення конфіденційності платіжних документів, як правило, знаходяться на третьому місці.

Для сайту Internet-газети на першому місці буде стояти доступність і цілісність інформації, а не її конфіденційність. Спроби підійти до вирішення питань захисту такої інформації з позицій традиційного забезпечення тільки конфіденційності, терплять провал. Основними причинами цього є вузькість традиційного підходу до захисту інформації, відсутність у вітчизняних фахівців досвіду і відповідних напрацювань в плані забезпечення цілісності та доступності інформації, яка не є конфіденційною.

Для удосконалення класифікації інформації в залежності від вимог до її захищеності слід ввести кілька ступенів (градацій, категорій) вимог щодо забезпечення кожного з властивостей безпеки інформації: доступності, цілісності, конфіденційності.

Кількість градацій і вкладений в них сенс можуть відрізнятися.

Виходячи з необхідності забезпечити різні рівні захисту різних видів інформації (яка не містить відомостей, що становлять державну таємницю), зберігається та обробляється в організації, введемо кілька категорій конфіденційності і цілісності інформації, що захищається.

«Строго конфіденційна» - інформація, яка є конфіденційною відповідно до вимог чинного законодавства (банківська таємниця, персональні дані), а також інформація, обмеження на поширення якої введені рішеннями керівництва організації (комерційна таємниця), розголошення якої може привести до тяжких фінансово-економічних наслідків для організації, аж до банкрутства (нанесення тяжкого шкоди життєво важливим інтересам клієнтів, кореспондентів, партнерів або співробітників).

«Конфіденційна» - інформація, не віднесена до категорії «строго конфіденційна», обмеження на поширення якої вводяться рішенням керівництва організації відповідно до наданих йому як власнику (уповноваженому власником особі) інформації чинним законодавством правами, розголошення якої може привести до значних збитків і втрати конкурентоспроможності організації (нанесення відчутного збитку інтересам клієнтів, кореспондентів, партнерів або співробітників).

«Відкрита» - інформація, забезпечення конфіденційності (введення обмежень на поширення) якої не потрібно.

«Висока» - до цієї категорії відноситься інформація, несанкціонована модифікація (спотворення, підміна, знищення) або фальсифікація (підробка) якої може привести до нанесення значного прямого збитку організації, цілісність і автентичність (підтвердження автентичності джерела) якої повинна забезпечуватися гарантованими методами (засобами електронного цифрового підпису, ЕЦП) відповідно до обов'язкових вимог чинного законодавства, наказів, директив та інших нормативних актів.

«Низька» - до цієї категорії відноситься інформація, несанкціонована модифікація, підміна або видалення якої може привести до нанесення незначного непрямих збитків організації, її клієнтам, партнерам або співробітникам, цілісність якої повинна забезпечуватися відповідно до рішення керівництва (методами підрахунку контрольних сум, хеш-функцій).

«Немає вимог» - до цієї категорії відноситься інформація, до забезпечення цілісності (і автентичності) якої вимог не висувають.

Залежно від періодичності рішення функціональних завдань і максимально допустимої затримки отримання результатів вводиться чотири необхідних ступеня (категорії) доступності інформації.

«Безперешкодна доступність» - доступ до задачі повинен забезпечуватися в будь-який час (завдання вирішується постійно, затримка отримання результату не повинна перевищувати декількох секунд або хвилин).

«Висока доступність» - доступ повинен здійснюватися без істотних затримок за часом (задача вирішується щодня, затримка отримання результату не повинна перевищувати декількох годин).

«Середня доступність» - доступ може забезпечуватися з істотними затримками за часом (задача вирішується раз в кілька днів, затримка отримання результату не повинна перевищувати декількох днів).

«Низька доступність» - затримки по часу при доступі до задачі практично не лімітовані (завдання вирішується за періодом в декілька тижнів або місяців, допустима затримка отримання результату - кілька тижнів).

На першому етапі робіт проводиться категорирование всіх видів інформації, використовуваної при вирішенні завдань на конкретному комп'ютері (встановлення категорій конфіденційності і цілісності конкретних видів інформації). Складається «Перелік інформаційних ресурсів, що підлягають захисту».

На другому етапі відбувається категорирование всіх функціональних завдань, що вирішуються на даному комп'ютері. В ході третього етапу встановлюється категорія комп'ютера, виходячи з максимальних категорій оброблюваної інформації і завдань, що вирішуються на ньому.

Після того як ви розподілили оброблювану у вас інформацію за відповідними категоріями, слід провести інвентаризацію ресурсів.

Категоріювання ресурсів має на увазі виявлення (інвентаризацію) і аналіз всіх ресурсів інформаційної системи організації, які підлягають захисту. Ось приблизна послідовність і основний зміст цих робіт.

Перш за все для аналізу всіх підсистем інформаційної системи організації, інвентаризації та категорирования ресурсів, що підлягають захисту, формується спеціальна робоча група. До її складу включаються фахівці (обізнані в питаннях технології автоматизованої обробки інформації) підрозділу комп'ютерної безпеки та інших підрозділів організації.

Видається розпорядження керівництва організації, в якому, зокрема, даються вказівки всім керівникам структурних підрозділів надавати сприяння і допомогу робочій групі у проведенні аналізу ресурсів всіх комп'ютерів.

Для надання допомоги повинні виділятися співробітники, які володіють детальною інформацією з питань автоматизованої обробки інформації в підрозділах.

В ході обстеження конкретних підрозділів організації і підсистем інформаційної системи підприємства виявляються і описуються всі функціональні завдання, які вирішуються з використанням комп'ютерів, а також всі види відомостей, що використовуються при вирішенні цих завдань в підрозділах.

Після цього складається загальний перелік функціональних завдань і для кожного завдання оформляється формуляр. Слід враховувати, що одна і та ж завдання в різних підрозділах може називатися по-різному, і навпаки, різні завдання можуть мати один і той же назву. Одночасно ведеться облік програмних засобів, які використовуються при вирішенні функціональних завдань підрозділу.

При обстеженні підсистем і аналізі завдань виявляються всі види вхідної, вихідної, що зберігається, обробляється і т. П. Інформації. Необхідно виявляти не тільки інформацію, яка може бути віднесена до конфіденційної (до банківської і комерційної таємниці, персональних даних), а й інформацію, що підлягає захисту в силу того, що порушення її цілісності або доступності може завдати відчутної шкоди організації.

Виявляючи всі види інформації, що циркулює і оброблюваної в підсистемах, необхідно оцінювати наслідки, до яких можуть привести порушення її властивостей. Для отримання первинних оцінок доцільно проводити опитування (наприклад, у формі анкетування) фахівців, які працюють з цією інформацією. При цьому треба з'ясовувати, кого може цікавити дана інформація, як можна на неї впливати або незаконно використовувати, до яких наслідків це може призвести.

Якщо неможливо кількісно оцінити ймовірний збиток, то дається його якісна оцінка (наприклад: дуже низька, низька, середня, висока, дуже висока).

При складанні переліку та формулярів функціональних завдань, що вирішуються в організації, необхідно з'ясовувати періодичність їх вирішення, максимально допустимий час затримки отримання результатів і ступінь серйозності наслідків, до яких можуть привести порушення їх доступності (блокування можливості вирішення завдань).

Всі виявлені в ході обстеження види інформації заносяться до відповідного документу.

Далі необхідно визначити, до якого типу таємниці (банківська, комерційна, персональні дані, які не складова таємниці) належить кожен із виявлених видів інформації (на підставі вимог чинного законодавства та наданих організації прав).

Початкові пропозиції по оцінці категорій забезпечення конфіденційності і цілісності конкретних видів інформації з'ясовуються у керівників (провідних фахівців) структурного підрозділу (на основі їх особистих оцінок можливої \u200b\u200bшкоди внаслідок порушення властивостей конфіденційності та цілісності інформації). Потім перелік узгоджується з керівниками відділів підрозділів автоматизації та комп'ютерної безпеки і виноситься на розгляд керівництва організації.

На наступному етапі відбувається категорирование функціональних завдань. На основі вимог по доступності, що пред'являються керівниками підрозділів організації та узгоджених зі службою ІТ, категоризується все прикладні функціональні завдання, які вирішуються в підрозділах з використанням комп'ютерної техніки. Інформація заноситься в формуляри завдань. Не слід проводити категорирование системних задач і програмних засобів поза прив'язкою до конкретних комп'ютерів і прикладних задач.

Надалі за участю ІТ-фахівців і підрозділи ІБ необхідно уточнити склад інформаційних і програмних ресурсів кожного завдання і внести в її формуляр відомості по групах користувачів завдання і вказівки з налаштування застосовуються при її вирішенні засобів захисту. Ці дані будуть використовуватися в якості еталону налаштувань засобів захисту відповідних комп'ютерів, а також для контролю правильності їх установки.

На останньому етапі встановлюється категорирование комп'ютерів, виходячи з максимальної категорії спеціальних завдань, що вирішуються на ньому, і максимальних категорій конфіденційності та цілісності інформації, використовуваної при вирішенні цих завдань. Інформація про категорії комп'ютера заноситься в його формуляр.

У поняття інвентаризації ресурсів входить не тільки звірка активних і пасивних мережевих ресурсів, якими ви володієте, зі списком обладнання (і його комплектності), закупленого організацією. Для звірки обладнання та його комплектності можна скористатися відповідним програмним забезпеченням (наприклад, Microsoft SMS Server) і т. П.

Сюди ж можна віднести створення карти мережі з описом всіх можливих точок підключення, складання списку використовуваного програмного забезпечення, формування фонду еталонів ліцензійного програмного забезпечення, використовуваного в організації, а також фонду алгоритмів і програм власної розробки.

Слід врахувати, що програмне забезпечення може бути допущено до роботи лише після його перевірки відділом захисту інформації на відповідність поставленим завданням, відсутність всіляких закладок і «логічних бомб».

Хотілося б сказати про що з'явилася у нас тенденції до використання додатків з відкритими кодами. Безперечно, вони приносять істотну економію ресурсів. Однак, думається, в цьому випадку безпека визначається довірою вже не тільки до розробника системи, але і до вашого адміністратора. А якщо взяти до уваги зарплату адміністратора, то неважко зробити висновок, що купити ваші секрети набагато простіше і дешевше, ніж здійснювати пряму зовнішню атаку. Варто згадати і про те, що більшу частину успішних атак здійснили інсайдери (службовці самої компанії).

Здається, що застосовувати вільно розповсюджується, якщо існує ризик заподіяння серйозної шкоди, можна лише за умови, що воно буде поставлятися вам в відкомпілювався вигляді і з цифровим підписом організації, яка гарантує відсутність логічних бомб, усілякого роду закладок і «чорних ходів». Причому організація-гарант має нести матеріальну відповідальність. Однак на сьогодні така пропозиція варто віднести до розряду нереальних.

Після перевірки еталонне програмне забезпечення заноситься в фонд алгоритмів і програм (еталонна копія повинна супроводжуватися файлом контрольної суми, а краще - електронним підписом розробника). Надалі, при зміні версій, появі оновлень, перевірка програмного забезпечення проводиться встановленим порядком.

У формуляр кожного комп'ютера заносяться відомості про встановлене програмне забезпечення, вказується дата установки, цілі, які вирішуються за допомогою даного ПЗ, завдання, ставиться прізвище і підпис особи, яка провадила установку і настройку ПО. Після створення подібних формулярів служба інформаційної безпеки повинна забезпечувати регулярну перевірку відповідності реального стану формуляру.

Наступним етапом в побудові служби захисту інформації повинен стати аналіз ризиків організації, на основі якого буде створюватися політика безпеки.