Please enable JavaScript.

Coggle requires JavaScript to display documents.

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ. МЕТОДИКИ БЕЗПЕКИ. ПРАКТИЧНІ ПРАВИЛА УПРАВЛІННЯ…

- - - - Необхідно, щоб у формулюваннях вимог бізнесу для нових інформаційних систем або при модернізації існуючих інформаційних систем були визначені вимоги до заходів і засобів контролю та управління безпеки.
      - У специфікаціях вимог до заходів і засобів контролю та управління слід враховувати як вбудовані в інформаційну систему автоматизовані заходи і засоби контролю і управління, так і необхідність підтримки ручного управління. Аналогічно слід підходити до оцінки пакетів прикладних програм, розроблених або придбаних для прикладних програм бізнесу.
      - Якщо визнано доцільним, наприклад з міркувань витрат, керівництво може побажати скористатися незалежною оцінкою і сертифікацією продуктів.
  - - - Вхідні дані для прикладних програм повинні проходити процедуру підтвердження з метою забезпечення впевненості в їх коректності та відповідності.
      - Перевірки слід проводити під час уведення транзакцій бізнесу, довідників (наприклад імена та адреси, кредитні ліміти, ідентифікаційні номери клієнтів) і таблиць параметрів (наприклад ціни продажів, курси валют, ставки податків).
      - Там, де це доцільно, можна розглянути автоматичну експертизу і перевірку вводяться даних, щоб знизити ріскошібок і запобігти стандартні атаки, включаючи переповнення буфера і внесення коду.
    - - Підтверджують перевірки повинні бути включені в прикладні програми з метою виявлення будь-якого спотворення інформації внаслідок помилок обробки або навмисних дій.
      - Розробка і реалізація прикладних програм повинні забезпечувати впевненість в тому, що ризики обробки збоїв, що ведуть до втрати цілісності, зведені до мінімуму.
      - Дані, які були введені правильно, можуть бути спотворені внаслідок апаратних помилок, помилок обробки або навмисних дій.
    - - Необхідно визначити вимоги щодо забезпечення автентичності та захисту цілісності повідомлень в прикладних програмах, а також ідентифікувати і впровадити відповідні заходи і засоби контролю і управління.
      - Необхідно провести оцінку ризиків безпеки для визначення необхідності забезпечення цілісності повідомлень, і ідентифікації відповідного способу реалізації.
    - - Дані, що виводяться з прикладної програми, повинні бути перевірені з метою забезпечення впевненості в коректності обробки інформації, що зберігається і відповідності вимогам.
      - Як правило, системи та прикладні програми побудовані на передумові, що при наявності відповідних підтверджень коректності, перевірок і тестування, що виводяться дані будуть завжди правильні.
  - - - Криптографічні заходи і засоби контролю і управління можуть використовуватися для досягнення різних цілей безпеки
      - З метою захисту інформації необхідно розробити і реалізувати політику щодо використання криптографічних заходів і засобів контролю та управління.
      - Процес прийняття рішення щодо використання криптографії слід розглядати в рамках більш загального процесу оцінки ризиків та вибору заходів та засобів контролю і управління. така оцінка може потім використовуватися для визначення того, чи є криптографічний міра і засіб контролю і управління підходящої, який тип заходів і засобів контролю та управління слід застосовувати, з якою метою і для яких процесів бізнесу.
    - - Для підтримки використання організацією криптографічних методів необхідно застосовувати управління ключами.
      - Всі криптографічні ключі слід захищати від модифікації, втрати і руйнування. Крім того, секретним і персональним ключам необхідний захист від несанкціонованого розкриття.
      - Для зменшення ймовірності компрометації ключів необхідно, щоб вони мали певні дати активації і деактивації. Даний період часу залежить від обставин, при яких використовуються криптографічні заходи і засоби контролю і управління, і від усвідомлюваного ризику.
  - - - Необхідно застосовувати процедури контролю установки програмного забезпечення в експлуатованих системах.
      - Необхідно, щоб поставляється постачальником програмне забезпечення, що використовується в діючій системі, підтримувалося на рівні, яке забезпечується постачальником.
      - Захист тестових даних системи
        
        Дані тестування слід ретельно відбирати, захищати і контролювати.
        
        Слід уникати використання діючих баз даних, що містять персональну або какуюлибо іншу чутливу інформацію, для цілей тестування.
        
        Для здійснення системного або приймального тестування звичайно потрібно істотний обсяг тестових даних, які максимально наближені до дії (робочим) даними.
      - Управління доступом до вихідних текстів програм
        
        Доступ до вихідних текстів програм необхідно обмежувати
        
        З метою запобігання введенню несанкціонованих функціональних можливостей і щоб уникнути випадкових змін повинен бути забезпечений суворий контроль доступу до вихідних текстів програм і пов'язаних з ними документів
- - - - Про події інформаційної безпеки необхідно негайно повідомляти через відповідні канали управління.
      - Необхідно впровадити формальну процедуру оповіщення про події інформаційної безпеки разом з процедурою реагування та ескалації інциденту, що містить дію, яке потрібно вжити при отриманні повідомлення про подію інформаційної безпеки.
      - Середовище з високим рівнем ризику може бути оснащена сигналізацією про прінужденіі (сигналізація про примус - це спосіб, за допомогою якого можна непомітно показати, що дія відбувається «під примусом»)
    - - Від усіх співробітників, підрядників і представників третьої сторони, що мають справу з інформаційними системами та послугами, необхідно вимагати, щоб вони звертали увагу і повідомляли про будь-які помічені або передбачуваних вразливості в області безпеки в відношенні систем або послуг.
      - Співробітникам, підрядникам та представникам третьої сторони рекомендується не перевіряти передбачувані недоліки безпеки.
  - - - Необхідно встановлювати обов'язки посадових осіб щодо здійснення менеджменту та процедури для забезпечення швидкого, ефективного та належного реагування на інциденти інформаційної безпеки.
      - Цілі менеджменту інцидентів інформаційної безпеки слід узгодити з керівництвом, а також необхідно забезпечити впевненість у тому, що особи, відповідальні за здійснення менеджменту інцидентів інформаційної безпеки, розуміють пріоритети організації по обробці таких інцидентів.
    - - Повинні бути створені механізми, що дозволяють встановити типи, обсяги і збитки, викликані інцидентами інформаційної безпеки, які повинні бути виміряні і проконтрольовані.
      - Оцінка інцидентів інформаційної безпеки може вказувати на необхідність вдосконалення існуючих заходів або впровадження додаткових заходів і засобів контролю та управління, щоб знизити частоту, збиток і вартість можливих подій, або повинна бути прийнята до уваги
        при перегляді політики безпеки
    - - У тих випадках, коли наступні дії проти особи або організації після інциденту безпеки призводять до судового позову (як цивільного, так і кримінального), докази повинні бути зібрані, збережені і представлені відповідно до правил збору доказів, викладених у відповідних юрисдикціях.
      - При зборі і поданні докази для цілей дисциплінарних впливів, що розглядаються в рамках організації, необхідно розробити і забезпечити проходження внутрішніх процедур.
- - - - Слід розробляти та підтримувати керований процес для забезпечення безперервності бізнесу в усій організації, який враховує вимоги до інформаційної безпеки, необхідні для забезпечення безперервності бізнесу організації.
    - - Події, які можуть стати причиною переривань процесів бізнесу, необхідно визначати разом з ймовірністю і впливом таких переривань, а також їх наслідками для інформаційної безпеки.
      - Необхідно, щоб аспекти інформаційної безпеки в контексті забезпечення безперервності бізнесу грунтувалися на виявленні подій (або послідовності подій), які можуть стати причиною переривань бізнес-процесів організацій, наприклад відмова обладнання, помилки оператора, крадіжка, пожежа, стихійні лиха і тероризм.
      - Залежно від результатів оцінки ризиків, необхідно розробити стратегію, щоб визначити загальний підхід до забезпечення безперервності бізнесу. Після того як ця стратегія буде розроблена, необхідно, щоб вона була затверджена керівництвом, а також, щоб був розроблений і затверджений план реалізації даної стратегії.
    - - Слід розробити і впровадити плани забезпечення безперервності бізнесу з метою підтримки або відновлення операцій і забезпечення доступності інформації на необхідному рівні та в потрібні терміни після переривання або збою критичних процесів бізнесу.
      - Необхідно, щоб в процесі планування особливу увагу було звернуто на необхідні цілі бізнесу, наприклад відновлення певних послуг зв'язку для клієнтів в прийнятні терміни.
      - Якщо для зберігання використовуються різні тимчасові приміщення, то рівень реалізованих заходів і засобів контролю і управління безпеки в таких приміщеннях повинен відповідати рівню заходів, реалізованих в основній будівлі.
    - - Слід підтримувати єдину структуру планів безперервності бізнесу, щоб забезпечити впевненість у тому, що всі плани узгоджені відповідно до розглянутими вимогами інформаційної безпеки і встановлених пріоритетів для тестування і обслуговування.
      - У кожному плані забезпечення безперервності бізнесу повинен описуватися підхід до забезпечення безперервності, наприклад підхід до забезпечення впевненості в доступності та безпеки інформації або інформаційних систем.
    - - Плани безперервності бізнесу необхідно регулярно тестувати та оновлювати з метою забезпечення впевненості в їх актуальності та ефективності.
      - Зазначені тести повинні забезпечувати впевненість в тому, що всі члени групи ліквідації наслідків надзвичайних ситуацій та інший персонал, що має доцього відношення, обізнані про плани і про свої обов'язки, що стосуються забезпечення безперервності бізнесу та інформаційної безпеки.
      - Зазначені методи можуть використовуватися будь-якою організацією. Вони повинні застосовуватися відповідно до специфіки конкретного плану з відновлення.
- - - - Все застосовні правові, нормативні та договірні вимоги та підхід організації до виконання цих вимог слід чітко визначити, документально оформити і підтримувати на актуальному рівні по відношенню до кожної інформаційної системи та організації.
      - Конкретні заходи і засоби контролю і управління, а також обов'язки конкретних осіб щодо виконання цих вимог необхідно визначити і документально оформити.
    - - Необхідно впровадити відповідні процедури для забезпечення впевненості в дотриманні законодавчих, нормативних та договірних вимог по використанню матеріалів, відносно яких можуть бути права на інтелектуальну власність, і по використанню пропрієтарних програмних продуктів.
      - Права на інтелектуальну власність охоплюють авторське право на програмне забезпечення або документи, права на проекти, торгові марки, патенти і ліцензії на вихідні тексти програм.
    - - Важливі документи організації необхідно захищати від втрати, руйнування і фальсифікації в відповідно до законодавчих, нормативних та договірними вимогами, а також вимогами бізнесу.
      - Необхідно враховувати можливість зниження якості носіїв, які використовуються для зберігання документів.
    - - Повинна бути забезпечена впевненість у захисті даних та персональних даних відповідно до вимогами відповідних законодавчих і нормативних актів і, в разі необхідності, умов договорів.
      - Повинна бути забезпечена впевненість у захисті даних та персональних даних відповідно до вимогами відповідних законодавчих і нормативних актів і, в разі необхідності, умов договорів.
    - - Користувачів слід утримувати від застосування засобів обробки інформації для несанкціонованих цілей.
      - Користувачів слід утримувати від застосування засобів обробки інформації для несанкціонованих цілей.
    - - Криптографічні заходи і засоби контролю і управління повинні використовуватися з дотриманням всіх відповідних угод, законів і нормативних актів.
  - - - Керівники повинні забезпечити впевненість у тому, що всі процедури безпеки в межах їх зони відповідальності виконуються правильно, для того щоб досягти відповідності політикам та стандартам безпеки.
      - Керівники повинні регулярно аналізувати відповідність обробки інформації в межах їх зони відповідальності політикам і стандартам безпеки, а також будь-яким іншим вимогам безпеки.
    - - Інформаційні системи слід регулярно перевіряти на відповідність стандартам безпеки безпеки.
      - Перевірка відповідності технічним вимогам включає обстеження експлуатованих систем на предмет забезпечення впевненості в тому, що апаратні і програмні засоби управління були правильно реалізовані. Цей тип перевірки відповідності вимагає спеціальних технічних знань.
  - - - Вимоги і процедури аудиту, що включають перевірки експлуатованих систем, необхідно ретельно планувати і погоджувати, щоб звести до мінімуму ризик порушення процесів бізнесу.
    - - Доступ до інструментальним кошти, що застосовуються при проведенні аудиту інформаційних систем, необхідно захищати, щоб запобігти будь-яке можливе їх неправильне використання або компрометацію.
      - Інструментальні засоби, що застосовуються при проведенні аудиту інформаційних систем, наприклад програмне забезпечення або файли даних, необхідно відокремлювати від систем розробки і експлуатованих систем, а також, якщо не забезпечений відповідний рівень додаткового захисту, їх не слід зберігати в бібліотеках на магнітних стрічках або в області користувачів.