Базове оцінювання

Огляд засобів безпеки, які можна реалізувати для підвищення безпеки. Деякі з цих засобів є механізмами, інші можуть розглядатися, як процедури, яких треба дотримуватись. Організаційні та фізичні засоби, що можуть бути застосовані в інформаційних системах. Засоби безпеки, специфічні для окремих інформаційних технологій систем. Треба зазначити, що засоби безпеки описані незалежно від способу, яким вони можуть бути вибрані, тобто деякі з цих засобів безпеки можуть бути вибрані одним способом, інші можуть бути визначені тільки після проведення детального аналізування ризиків.

Для полегшення опису різних типів засобів безпеки, вводяться категорії цих засобів.

Керування інформаційною безпекою та політика безпеки

Ця категорія засобів безпеки містить всі ті засоби, що стосуються керування інформаційною безпекою, планування якої повинно містити відповідальність за ці процеси, та іншу діяльність, що стосується безпеки. Мета цих засобів безпеки – досягнути прийнятного рівня безпеки в організації.

Політика інформаційної безпеки

Треба розробити письмовий документ, який має містити правила, вказівки та практичні рекомендації з керування цінностями, їх захист і поширення в організації. Він повинен містити відомості про необхідність документів з інформаційної безпеки та настанову щодо їх змісту.

Політика безпеки інформаційної системи

Для кожної інформаційної системи має бути розроблена політика її безпеки, що описує засоби захисту, які існують чи мають бути реалізовані. Також вона повинна містити процедури, що стосуються безпеки цієї системи, також, за потреби, виклад проблем безпеки та (або) ризиків, що обґрунтовують засоби безпеки.

Керування інформаційною безпекою

Керування інформаційною безпекою має бути формалізованим та скоординованим у межах організації відповідно до її розміру, наприклад, заснуванням комітету інформаційної безпеки та призначенням особи (часто керівник інформаційної безпеки), відповідальної за безпеку кожної інформаційної системи.

Розподіл обов’язків

Обов’язки стосовно інформаційної безпеки організації, повинні бути чітко задокументовані та розподілені відповідно до політики інформаційної безпеки та політики безпеки інформаційної системи.

Організація інформаційної безпеки

Всі ділові процеси, що можуть підтримати інформаційну безпеку (наприклад, закупки, співробітництво з іншими організаціями) повинні бути організовані так, щоб надійно забезпечити цю підтримку.

Визначення і оцінка цінностей

Мають бути визначені всі цінності в організації та в інформаційно технолгічній системі і оцінене їх значення для ведення бізнесу.

Затвердження інформаційних систем

Затвердження інформаційних систем повинне відбуватися відповідно до політики інформаційної безпеки. Процес затвердження має метою виявити, чи реалізовані засоби безпеки дійсно забезпечують відповідний рівень безпеки. Треба брати до уваги, що інформаційна система може охоплювати мережі та основні засоби зв’язку.

Перевірка узгодженості безпеки

Важливо, щоб підтримувалась узгодженість з всіма необхідними засобами безпеки, законами, правилами та нормами, оскільки будь-який засіб безпеки, правило чи політика можуть працювати до тих пір, поки користувачі їх застосовують, а системи узгоджуються з ними. Засоби захисту в цій сфері наведено нижче:

– узгодженість з політикою інформаційної безпеки та засобами безпеки. Треба проводити регулярні перевіряння для гарантування того, що всі засоби безпеки, впроваджені на місці, як зазначено в політиці безпеки та інших важливих документах, наприклад документах процедур безпеки та надзвичайних планах, реалізовані коректно і використовуються коректно та ефективно (кінцевими користувачами також), і за необхідності, проведено тестування;

– узгодженість з правовими та регуляторними вимогами. Перевірка узгодженості, згадані вище, повинні підтвердити, що виконуються всі правові та регуляторні вимоги в країні, чи країнах, де задіяна інформаційна система. Там, де це законодавство охоплює і відносно безпеки та недоторканності даних, копіювання програмного забезпечення, безпеки записів, що ведуться в організації, зловмисного використання інформаційних систем чи криптографії.

Реагування на порушення

Кожен в організації має бути обізнаним з необхідністю звітувати про порушення безпеки, в тому числі і збої програмного забезпечення та виявлену недосконалість так швидко, як це можливо. Організація повинна забезпечити схему звітування, яка зробить це можливим. Реагування на порушення містить:

– звітування про порушення безпеки. Кожен працівник повинен усвідомлювати, що він зобов’язаний звітувати про порушення безпеки. Інструментальні засоби також можуть визначати порушення та звітувати про них. Для полегшення ефективного реагування на порушення, організація повинна впровадити схему звітування та точки контакту в організації;

– звітування про недосконалість безпеки. Якщо користувачі помічають будь-яку недосконалість системи, що стосується безпеки, вони повинні повідомити про неї відповідальній особі так швидко, наскільки це можливо;

– звітування про збої програмного забезпечення. Якщо користувачі помічають будь-які збої програмного забезпечення, що стосуються безпеки, вони повинні звітувати про них відповідальній особі так швидко, наскільки це можливо;

– керування інцидентами. Має бути процес керування, що забезпечує захист від інцидентів, їх виявлення та звітування, та відповідне реагування на інцидент. Інформація про порушення повинна збиратися і оцінюватись щоб унеможливити інциденти в майбутньому та зменшити збитки від них.

Персонал

Засоби безпеки в цій категорії повинні зменшувати ризики безпеки, що виникають від помилок або зловмисного чи незловмисного порушення правил безпеки персоналом (який працює постійно чи тимчасово). Засоби безпеки в цій сфері наведено нижче:

– засоби безпеки для постійного та тимчасового штату. Всі працівники мають знати про свої обов’язки стосовно безпеки. Усі процедури стосовно безпеки, яких слід дотримуватись персоналу, мають бути сформульовані у документі. Працівників треба перевіряти перед влаштуванням на роботу, та, за потреби, підписувати договір про нерозголошення інформації;

– засоби безпеки для договірного персоналу. Договірний персонал (наприклад прибиральниці чи обслуговуючий персонал) треба контролювати так само, як інших відвідувачів. Договірний, звичайно довгостроковий, персонал повинен підписувати договір про нерозголошення перед тим, як отримає доступ (фізичний чи логічний) до інформаційних систем організації;

– обізнаність у питаннях безпеки та навчання. Для підтримання поінформованості весь персонал, що використовує, розробляє, підтримує чи має доступ до інформаційних систем, повинен отримувати регулярні інструкції та інші матеріали, Це має забезпечити персоналу розуміння важливості для бізнесу оброблюваної інформації, пов’язаних з нею загроз, ризиків тощо, і, отже, розуміння того, для чого потрібні засоби безпеки. Користувачі також мають бути навчені використовувати обладнання коректно, щоб унеможливити помилки. Для вибраного персоналу, наприклад, керівників інформаційної безпеки, адміністраторів безпеки, можливо необхідно більш специфічне навчання безпеці;

– дисциплінарний процес. Всі працівники повинні знати про наслідки (зловмисних чи незловмисних) порушень політики безпеки організації в цілому та політик безпеки окремих інформаційних систем, або будь-яких Інших задокументованих домовленостей, пов’язаних з безпекою.

Питання експлуатації

Засоби безпеки в цій сфері охоплюють процедури підтримування безпечного, правильного та надійного функціонування інформаційних систем та пов’язаних з ним систем. Більшість цих засобів безпеки може бути реалізована шляхом запровадження організаційних процедур. Експлуатаційні засоби безпеки треба запроваджувати в поєднанні з іншими, наприклад, фізичними та технічними засобами. Засоби безпеки в сфері питань експлуатації наведено нижче:

– керування конфігурацією та змінами. Керування конфігурацією – це процес відстежування змін інформаційних систем. Основна його мета щодо безпеки – переконатися, що ці зміни в інформаційних технологічних системах не зменшують ефективність засобів захисту та безпеки в цілому. Керування змінами може сприяти визначенню нових включень засобів безпеки, коли трапляються зміни в інформаційних технологічних системах;

– керування навантаженнями. Керування навантаженнями треба використовувати, щоб уникнути збоїв через неадекватні потужності. Коли оцінюються необхідні навантаження для інформаційної системи, треба брати майбутні навантаження та поточні тенденції;

– документація. Всі аспекти конфігурацій та діяльності інформаційних технологій систем повинні документуватися для забезпечення неперервності та стабільності. Безпеку інформаційної системи також треба документувати в частині політики безпеки інформаційної системи, в документах процедур безпеки, та звітах і планах, що стосуються стратегії забезпечення неперервності бізнесу. Документація має бути актуалізованою та доступною;

– обслуговування. Інформаційні системи потрібно правильно обслуговувати для забезпечення постійної на­дійності, доступності та цілісності. Всі вимоги безпеки, що мають задовольнятись постачальниками обслуговування, повинні бути повністю задокументовані в договорах на обслуговування. Обслуговування треба виконувати відповідно до договору з постачальником та тільки уповноваженим персоналом;

– відствжування змін, що стосуються безпеки. Зміни впливів, загроз, вразливостей та ризиків, а також їхніх характеристик треба відстежувати. Відстежування має охоплювати як нові, так і старі аспекти. Навколишнє середовище, в якому розташована система, також треба відстежувати.

– результати аудиту та ведення журналів. Можливості аудиту та ведення журналів серверів (наприклад, записування результатів аудиту та засоби аналізування), мереж (наприклад, засоби аудиту брандмауерів та маршрутизаторів) і програмного забезпечення (наприклад, засоби аудиту програм обміну повідомленнями чи програм оброблення транзакцій) треба використовувати для запису деталей подій, що стосуються безпеки. Вони охоплюють деталі подій, визнаних неповноважними чи помилковими, а також деталі звичайних подій, що мають бути проаналізовані пізніше. Результати аудиту та журнали треба регулярно переглядати для виявлення неповноважних дій, що дозволить приймати відповідні корегувальні заходи. Події, записані в журналах, треба аналізувати також з метою виявлення повторення схожих подій, що можуть вказувати наявність вражливостей чи загроз, засоби безпеки від яких є неадекватними. Такий аналіз може також виявити закономірності в непов’язаних, на перший погляд, подіях, що може дозволити ідентифікувати людей, що виконують неповноважні дії, чи кореневу причину проблеми з безпекою.

Примітка. В тексті «можливості аудиту» систем та програмного забезпечення, а також «можливості ведення журналі обліку» використовують для позначення одного й того ж. Доки такі можливості можна використовувати для підтримування аудиту фінансової цілісності, вони задовольняють тільки частині вимог для такої діяльності, і читач повинен усвідомлювати використання цієї термінології;

– тестування безпеки. Тестування безпеки треба використовувати, щоб всі інформаційні системи та всі пов’язані програмні компоненти працювали безпечно. Тестування безпеки здійснюють, щоб перевірити на відповідність вимогам безпеки, визначеним у політиці безпеки інформаційної системи та планах проведення тестування, а також має бути встановлено критерій прийняття для демонстрування того, що необхідний рівень безпеки досягнуто;

– контроль носіїв інформації. Контроль носіїв інформації охоплює низку засобів безпеки для забезпечення фізичної безпеки та безпеки, що стосується навколишнього середовища, і також обліку дисків, роздруківок та інших носіїв інформації. Вони містять маркування, ведення журналів, перевіряння цілісності, безпеку від фізичного доступу, від навколишнього середовища, передавання та безпечне знищення;

– гарантоване вилучення інформації. Конфіденційність інформації, попередньо записаної на запам’ятовувальний пристрій, має бути вилучена, якщо ця інформація більше не потрібна. Треба забезпечити, щоб файли, які містять конфіденційні матеріали, були стерті та фізично перезаписані, або ж знищені іншим способом – активація функцій вилучення не завжди це робить. Засоби, схвалені відповідальним персоналом (наприклад, керівником інформаційної безпеки) мають бути доступні всім користувачам для повного та безпечного вилучення даних;

– розподіл обов’язків. Для мінімізації ризиків та можливостей зловживання правами треба запроваджувати розподіл обов’язків там, де це потрібно та можливо. Зокрема, обов’язки та функції, що в поєднанні можуть призвести до обминання засобів безпеки чи аудиту, або надмірних привілеїв для працівника, потрібно тримати роздільно.

– вірне використання програмного забезпечення. Щоб матеріал не копіювався, треба забезпечити захист авторського права, через виконання ліцензійної угоди для використовування комерційного програмного забезпечення;

– контроль змін програмного забезпечення. Контроль змін може бути запроваджений для підтримування цілісності програмного забезпечення, коли вносять зміни (контроль змін програмного забезпечення застосовується тільки до програм, оскільки керування конфігурацією та змінами, що застосовується до інформаційних систем та їх оточення як цілого). Треба встановити процедури контролю змін до програмного забезпечення, що керують всіма змінами та гарантують, що безпека підтримується протягом всього процесу. Вони охоплюють авторизацію змін, розгляд безпеки про­міжних рішень та перевіряння безпеки остаточного рішення.

Планування безперервності бізнесу

Для безпеки бізнесу, особливо критичних ділових процесів, від наслідків збоїв чи катастроф та для мінімізації пошкоджень, спричинених такими подіями, має існувати чинник ефективної неперервності бізнесу, охоплюючи планування непередбачуваних обставин/відновлення після катастроф, стратегію і план(и). Він містить такі засоби безпеки:

– стратегія неперервності бізнесу. Стратегія безперервності бізнесу, охоплюючи планування непередбачуваних обставин/відновлення після катастроф, повинна бути сформульована та задокументована відповідно до інформаційної системи, що розглядається, на основі визначених потенційних ударів спричинених недоступністю, модифікаціями та знищенням, нанесених недружнім бізнесом;

– план неперервності бізнесу. На основі стратегії неперервності бізнесу, треба розробити та задокументувати план(и) неперервності бізнесу, охоплюючи плани непередбачуваних обставин та відновлення після катастроф;

– тестування та оновлення плану неперервності бізнесу. Перед прийняттям план безперервності бізнесу має бути ретельно відтестований для гарантування того, що він працює в «реальних» обставинах, та доведено до відома всіх відповідних працівників. Оскільки плани безперервності бізнесу можуть швидко старіти, важливо їх регулярно обновляти. Стратегію безперервності бізнесу треба за необхідності обновляти;

– резервування. Для всіх важливих файлів та інших ділових даних, важливих системних програм та документації потрібно робити резервні копії. Частоту резервування треба узгоджувати з важливістю інформації та плану безперервності бізнесу. Резервні копії треба зберігати у безпечному та віддаленому місці, а відновлення перевіряти регулярно для надійності.

Фізична безпека

Засоби безпеки в цій сфері пов’язані з фізичним захистом. їх треба розглядати в поєднанні з визначенням навколишнього середовища. Положення поширюються на будівлі, безпечні зони, кімнати та офіси. Вибір засобів безпеки залежить від того, яка частина будівлі розглядається. Засоби безпеки в цій сфері наведено нижче:

– матеріальна безпека. Фізичні засоби для безпеки будівлі охоплюють паркани, фізичний контроль доступу, міцні стіни, двері та вікна. Зони будівлі, які підлягають безпеки, треба захищати від несанкціонованого доступу за допомогою системи контролю фізичного доступу, охорони тощо. Зони безпеки можуть бути необхідними для обладнання, такого, як сервери, з відповідним програмним забезпеченням та даними, що підтримують важливі ділові операції. Доступ до таких зон безпеки повинен обмежуватись мінімальною кількістю необхідного персоналу, а подробиці треба записувати в журналі обліку. Все обладнання для діагностування та контролю треба надійно зберігати та ретельно контролювати під час використання;

– протипожежна безпека. Обладнання та прилеглі зони, охоплюючи підхід до них, треба захищати від поширення вогню з будь-якого місця в будівлі чи з суміжних будівель. Небезпека загоряння поблизу кімнат/зон, де розміщено обладнання, має бути мінімізована. Також треба забезпечити захист від вогню, що займається та (або) поширюється на всі кімнати/зони, де розташоване ключове обладнання. Засоби мають умикати сигналізацію на виявлення вогню та диму і систему гасіння. Потрібно потурбуватися про те, щоб захист від пожежі не призвів до пошкодження систем від води чи інших засобів гасіння;

– захист від води/рідини. Цінне обладнання не треба розташовувати на майданчиках, де можливі значні затоплення та витоки води чи іншої рідини. Відповідний захист має бути забезпечений там, де є значна загроза затоплення;

– захист від стихійних лих. Будівлі, де розміщено ключове обладнання треба захищати від ударів блискавки. Також це обладнання безпосередньо треба захищати від цих ударів. Безпека від інших стихійних лих можна досягти, уникаючи районів, де вони можуть статися (якщо це можливо), а також запроваджуючи стратегії та планування неперервності бізнесу;

– захист від крадіжок. Для контролю запасів кожна одиниця обладнання має бути ретельно облікована та занесена до опису майна. Охоронцям/реєстраторам треба перевіряти обладнання чи носії інформації на предмет винесення їх з кімнати/зони чи будівлі без авторизації. Інформація з грифом секретності та патентоване програмне забезпечення, що зберігається на портативних носіях інформації (наприклад, дискетах), треба захищати відповідно;

– електричне живлення та кондиціювання повітря. За потреби обладнання треба захищати від збоїв живлення. Треба забезпечити придатне електропостачання, а також за потреби впровадити безперебійне живлення. Інша мета безпеки – забезпечити необхідну температуру та вологість;

– прокладання кабелю. Кабелі електричного живлення та зв’язку, які передають дані чи підтримують інформаційні послуги, потребують захисту від перехвату, пошкодження чи перевантаження. Кабелі мають бути фізично захищені від випадкового чи зловмисного пошкодження, вибрані та прокладені відповідно до їх призначення; ретельне планування, що передбачає майбутні розроблення, дозволяє уникнути багатьох проблем. Там, де це обґрунтовано і можливо, кабелі треба захищати від прослуховування.

Ідентифікація та автентифікація

Ідентифікація є засобом, яким користувач надає системі заявлену ідентичність. Автентифікація – це метод визначення дійсності цієї заявки. Нижченаведені способи – це приклади, як досягнути автентифікація (можливі інші способи класифікації механізмів автентифікації.

1. Автентифікація на основі інформації, якою володіє користувач

Паролі є найтиповішим способом забезпечення автентифікації на основі того, чим володіє користувач і що пов’язано з процесом ідентифікації користувача. Призначення паролів та їхню регулярну зміну треба контролювати. Якщо користувачі вибирають паролі самостійно, вони повинні знати про загальні правила створення і поводження з паролями. В цьому питанні може допомогти програмне забезпечення, наприклад, для обмеження використання простих чи шаблонних паролів та символів. Якщо необхідно чи бажано, копи паролів слід захищати, щоб дозволити авторизований доступ, якщо користувач не має в розпорядженні чи забув свій пароль. Автентифікації на основі інформації, якою володіє користувач, також може використовувати криптографічні методи чи протоколи автентифікаціт. Цей тип ідентифікації та автентифікації також може бути використаний для віддаленої автентифікації.

2. Автентифікація на основі того, чим володіє користувач

Об'єктами, якими володіє користувач для цілей автентифікації, можуть бути модулі пам’яті та інтелектуальні модулі. Звична реалізація таких модулів пам’яті – магнітний матеріал на звороті кредитної картки. Автентифікація забезпечується на основі того, чим володіє користувач (картка) та того, що він знає (РІN-код). Типовими прикладами інтелектуальних модулів є смарт-картки.

3. Автентифікація на основі того, ким є користувач

Технології біометричної автентифікації використовують унікальні характеристики чи риси людини для визначення її особистості. Це можуть бути відбитки пальців, форма руки, знімок сітківки ока, а також голос чи письмовий підпис. Відповідні деталі треба безпечно зберігати на смарт-картках чи в системі.

Контролювання логічного доступу та аудит

Засоби захисту в цій області реалізують для:

– обмеження доступу до інформації, інформаційних систем, мереж, додатків, системних ресурсів, файлів та програм;

– запису деталей помилок та дій користувача в журнали аудиту та аналізування записаних деталей для виявлення порушень безпеки і реагування на них відповідним чином.

Звичний метод для впровадження контролю доступу – це використання списків контролю доступу, що визначають, до яких файлів, ресурсів тощо користувачу дозволено доступ, і які форми цей доступ може мати. Засоби безпеки в сфері контролю логічного доступу та аудиту наведено нижче.

1. Політика контролю доступу

Для кожного користувача чи групи користувачів треба чітко визначити політику контролю доступу. Ця політика має надавати права доступу відповідно до ділових потреб, таких як доступність, продуктивність та принцип «необхідного знання». Загальна ідея така: «максимальна кількість прав, яка вважається необхідною, мінімальна кількість прав, яка вважається можливою». Під час призначення прав доступу потрібно брати до уваги підхід організації до безпеки (наприклад, відкритий чи обмежувальний) та способи забезпечення потреб організації і прийнятності системи для користувача.

2. Доступ користувачів до інформаційних систем

Контроль доступу до інформаційних систем застосовують для запобігання будь-якого неавторизованого доступу до інформаційних систем. Має бути можливою ідентифікація та перевіряння ідентичності кожного авторизованого користувача та ведення журналів успішності чи неуспішності спроби. Контроль доступу до інформаційних систем можна посилити паролями чи будь-яким іншим методом автентифікації.

3. Доступ користувачів до даних, служб та програм

Контроль доступу треба застосовувати для захисту даних чи служб на інформаційній системі чи в мережі від несанкціонованого доступу. Це може бути зроблено за допомогою відповідних механізмів ідентифікації та автентифікації, відповідних інтерфейсів між мережними службами та конфігурації мережі, яка гарантує лише авторизований доступ до інформаційних служб (обмежувальний розподіл прав). Для запобігання несанкціонованому доступу до програм потрібно запроваджувати рольовий контроль доступу, що дозволяє доступ відповідно до ділових обов’язків користувача.

4. Перегляд і оновлення прав доступу

Усі права доступу, що надаються користувачам, мають регулярно переглядатися та оновлюватись, якщо потреби безпеки чи ділові потреби доступу змінились. Права привілейованого доступу треба переглядати частіше, щоб уникнути їх нецільового використання. Права доступу негайно скасовують, якщо вони більше не потрібні.

5. Журнали аудиту

Усю роботу по супроводженню інформаційних технологій треба записувати в журналі обліку, а ці журнали обліку регулярно перевіряти; це охоплює успішні та неуспішні спроби входу в систему, ведення журналу обліку доступу до даних, функцій системи тощо. Також необхідно вести журнали обліку збоїв і регулярно переглядати ці журнали. Всі ці дані потрібно використовувати відповідно до законодавства про захист даних та приватного життя, наприклад, їх можна зберігати тільки обмежений строк та використовувати тільки для виявлення порушень захисту.

Захист від зловмисного коду

Зловмисний код може потрапляти до систем через зовнішні сполучення, а також через файли та програмне забезпечення, занесені на переносних носіях інформації. Якщо не реалізовані відповідні засоби захисту, цей код можна не виявити, доки він не призвів до пошкоджень. Зловмисний код може призводити до компрометації безпеки засобів безпеки (наприклад, перехват і розкриття паролів), незловмисного розкриття інформації, внесення незловмисних змін до інформації, втрати цілісності системи, руйнування інформації, та (або) несанкціонованого використання системних ресурсів.

Зловмисний код може бути таких видів:

– віруси;

– черв’яки, та

– троянські коні.

Переносниками зловмисного коду є:

– програми, що запускаються;

– файли даних (що містять макроси, наприклад, текстові документи чи таблиці);

– активний вміст сторінок Інтернету.

Зловмисний код може поширюватись через:

– електронні носії інформації;

– інші знімні носії інформації;

– електронну пошту;

– мережі;

– завантаження (по каналах зв’язку).

Зловмисний код може бути введений внаслідок зловмисних дій користувача чи у разі взаємодії системних рівнів, що може бути невидимим для користувачів. Захистити від зловмисного коду можна, використавши засоби захисту, наведені нижче.

1. Сканери

Різні форми зловмисного коду можуть бути виявлені та видалені спеціальним сканувальним програмним забезпеченням та програмами перевіряння цілісності. Сканери можуть працювати в закритому чи відкритому режимах. Робота сканеру у відкритому режимі забезпечує активний захист, тобто виявлення (і, можливо, видалення) зловмисного коду перед тим, як відбулося зараження та інформаційній системі заподіяна шкода. Є сканери для окремих інформаційних систем, робочих станцій, файлових серверів, серверів електронної пошти та брандмауерів. Однак, користувачі та адміністратори мають знати про те, що на сканери не можна покладатися у виявленні всіх зловмисних кодів (чи навіть всього коду певного типу), оскільки постійно з’являються нові форми зловмисного коду.

2. Програми перевіряння цілісності

Зазвичай, для доповнення засобів захисту, що забезпечується сканерами, потрібні інші форми засобів захисту. Наприклад, контрольні суми можна використовувати для перевірки того, чи була програма модифікована. Програми перевірки цілісності мають бути складовою частиною технічних засобів захисту від зловмисного коду. Ця техніка може бути використана тільки для файлів даних та програм, що не зберігають інформацію про статус для подальшого використання.

3. Контроль за обігом переносних носіїв інформації

Неконтрольований обіг носіїв інформації (особливо електронні носіїв інформації) може призвести до зростання ризику введення зловмисного коду в інформаційні системи організації. Контроль за обігом носіїв може бути досягнуто використанням:

– спеціального програмного забезпечення;

– процедурних засобів захисту.

4. Процедурні засоби безпеки

Треба розробити настанови для користувачів та адміністраторів, що окреслюють процедури та правила мінімізації проникнення зловмисного коду. Такі настанови мають стосуватися питання завантаження ігор та інших виконуваних програм, використання різних видів Інтернет-служб та важливих файлів різних типів. За необхідності, треба виконувати незалежний перегляд вихідного чи виконуваного коду. Треба запроваджувати навчання, що стосуються питань безпеки, та дисциплінарні заходи і відповідні процедури за недотримання задокументованих процедур і правил запобігання зловмисному коду.

Керування мережею

Ця сфера охоплює теми планування, експлуатації та адміністрування мереж. Правильна конфігурація та адміністрування мереж є ефективним методом зменшення ризиків.

1. Процедури експлуатації

Запровадження процедур експлуатації та обов’язків необхідне для забезпечення правильного та безпечного функціонування мереж. Вони містять документацію експлуатації та запровадження процедур реагування у разі порушення безпеки.

2. Планування системи

Для забезпечення надійного функціонування та адекватних мережних потужностей необхідне розвинене планування, підготовка та моніторинг (охоплюючи статистику завантаження). Для нових систем треба застосовувати критерій прийняття, треба здійснювати контроль за змінами та реагування на них.

3. Конфігурація мережі

Прийнятна конфігурація мережі є істотною для її надійного функціонування. Вона містить стандартизований підхід до конфігурації серверів в організації, та, що дуже важливо, хорошу документацію. Більше того, треба пересвідчитися, що сервери, використовувані для спеціальних цілей, використовують тільки для цих цілей (наприклад, ніякі інші задачі не запускаються на брандмауері), і що є достатній захист від збоїв.

4. Відокремлення мережі

Для мінімізації ризиків та можливостей зловживання в мережі під час Її експлуатації, ділові зони, що мають справу з критичними діловими питаннями та інформацією, треба відокремлювати логічно чи фізично. Також засоби розроблення треба відокремлювати від засобів, що експлуатують.

5. Моніторинг мережі

Для визначення слабких місць у наявній конфігурації мережі треба здійснювати моніторинг мережі. Він дозволяє перебудовувати структуру мережі, за допомогою аналізування робочого навантаження та допомагає визначити нападників.

6. Виявлення вторгнень

Спроби вторгнень до систем чи мереж та успішний несанкціонований вхід треба виявляти так, щоб організація могла відреагувати відповідним та ефективним чином.

Криптографія

Криптографія – це математичні методи перетворення даних для забезпечення безпеки. Їх можна застосовувати для багатьох різних цілей в інформаційній безпеці, наприклад, криптографії може допомогти забезпечити конфіденційність та (або) цілісність даних, неспростовність і посилені методи ідентифікації та автентифікації. Застосовуючи криптографію, треба подбати про те, щоб дотримувалися всі правові та регуляторні вимоги в цій сфері. Один з найважливіших аспектів криптографії — адекватна система керування ключами. Послуги штемпелювання часу можна використовувати для підтримування окремих програм криптографічних засобів захисту.