Приказом Федерального агентства по техническому

в) силовые кабели должны быть отделены от коммуникационных, чтобы исключить помехи;

г) дополнительные мероприятия по управлению информационной безопасностью для чувствительных или критических систем включают:

1) использование бронированных кожухов, а также закрытых помещений/ящиков в промежуточных пунктах контроля и конечных точках;

2) использование дублирующих маршрутов прокладки кабеля или альтернативных способов передачи;

3) использование оптико-волоконных линий связи;

4) проверки на подключение неавторизованных устройств к кабельной сети.

7.2.4. Техническое обслуживание оборудования

В организации должно проводиться надлежащее техническое обслуживание оборудования для обеспечения его непрерывной работоспособности и целостности. В этих целях следует применять следующие мероприятия:

- оборудование следует обслуживать в соответствии с инструкциями и периодичностью, рекомендуемыми поставщиком;

- необходимо, чтобы техническое обслуживание и ремонт оборудования проводились только авторизованным персоналом;

- следует хранить записи обо всех случаях предполагаемых или фактических неисправностей и всех видах профилактического и восстановительного технического обслуживания;

- необходимо принимать соответствующие меры безопасности при отправке оборудования для технического обслуживания за пределы организации (7.2.6 в отношении удаленных, стертых и перезаписанных данных). Кроме этого должны соблюдаться все требования, устанавливаемые использующимися правилами страхования.

7.2.5. Обеспечение безопасности оборудования, используемого вне помещений организации

Независимо от принадлежности оборудования, его использование для обработки информации вне помещения организации должно быть авторизовано руководством. Уровень информационной безопасности при этом должен быть эквивалентен уровню безопасности в отношении оборудования, используемого с аналогичной целью в помещениях организации, а также с учетом рисков работы на стороне. Оборудование по обработке информации включает все типы персональных компьютеров, электронных записных книжек, мобильных телефонов, а также бумагу или иные материальные ценности, которые используются для работы на дому или транспортируются за пределы рабочих помещений. В этих условиях необходимо применять следующие мероприятия по управлению информационной безопасностью:

- оборудование и носители информации, взятые из помещений организации, не следует оставлять без присмотра в общедоступных местах. При перемещении компьютеры следует перевозить как ручную кладь и, по возможности, не афишировать ее содержимое;

- всегда необходимо соблюдать инструкции изготовителей по защите оборудования, например, от воздействия сильных электромагнитных полей;

- при работе дома следует применять подходящие мероприятия по управлению информационной безопасностью с учетом оценки рисков, например, использовать запираемые файл-кабинеты, соблюдать политику "чистого стола" и контролировать возможность доступа к компьютерам;

- должны иметь место адекватные меры по страхованию для защиты оборудования вне помещений организации.

Риски безопасности, например, связанные с повреждением, воровством и подслушиванием, могут в значительной степени зависеть от расположения оборудования в организации и должны учитываться при определении и выборе наиболее подходящих мероприятий по управлению информационной безопасностью. Более подробная информация о других аспектах защиты мобильного оборудования приведена в 9.8.1.

7.2.6. Безопасная утилизация (списание) или повторное использование оборудования

Служебная информация может быть скомпрометирована вследствие небрежной утилизации (списания) или повторного использования оборудования (8.6.4). Носители данных, содержащие важную информацию, необходимо физически разрушать или перезаписывать безопасным образом, а не использовать стандартные функции удаления. Все компоненты оборудования, содержащего носители данных (встроенные жесткие диски), следует проверять на предмет удаления всех важных данных и лицензионного программного обеспечения. В отношении носителей данных, содержащих важную информацию, может потребоваться оценка рисков с целью определения целесообразности их разрушения, восстановления или выбраковки.
7.3. Общие мероприятия по управлению информационной

безопасностью

Информацию и средства обработки информации необходимо защищать от раскрытия, кражи или модификации неавторизованными лицами; должны быть внедрены меры, обеспечивающие сведение к минимуму риска их потери или повреждения.

Процедуры обработки и хранения информации рассматриваются в 8.6.3.

7.3.1. Политика "чистого стола" и "чистого экрана"

Организациям следует применять политику "чистого стола" в отношении бумажных документов и сменных носителей данных, а также политику "чистого экрана" в отношении средств обработки информации с тем, чтобы уменьшить риски неавторизованного доступа, потери и повреждения информации как во время рабочего дня, так и при внеурочной работе. При применении этих политик следует учитывать категории информации с точки зрения безопасности (5.2) и соответствующие риски, а также корпоративную культуру организации.

Носители информации, оставленные на стопах, также могут быть повреждены или разрушены при бедствии, например, при пожаре, наводнении или взрыве.

Следует применять следующие мероприятия по управлению информационной безопасностью:

- чтобы исключить компрометацию информации, целесообразно бумажные и электронные носители информации, когда они не используются, хранить в надлежащих запирающихся шкафах и/или в других защищенных предметах мебели, особенно в нерабочее время;

- носители с важной или критичной служебной информацией, когда они не требуются, следует убирать и запирать (например, в несгораемом сейфе или шкафу), особенно когда помещение пустует;

- персональные компьютеры, компьютерные терминалы и принтеры должны быть выключены по окончании работы; следует также применять кодовые замки, пароли или другие мероприятия в отношении устройств, находящихся без присмотра;

- необходимо обеспечить защиту пунктов отправки/приема корреспонденции, а также факсимильных и телексных аппаратов в случаях нахождения их без присмотра;

- в нерабочее время фотокопировальные устройства следует запирать на ключ (или защищать от неавторизованного использования другим способом);

- напечатанные документы с важной или конфиденциальной информацией необходимо изымать из принтеров немедленно.

7.3.2. Вынос имущества

Оборудование, информацию или программное обеспечение можно выносить из помещений организации только на основании соответствующего разрешения. Там, где необходимо и уместно, оборудование следует регистрировать при выносе и при вносе, а также делать отметку, когда оно возвращено. С целью выявления неавторизованных перемещений активов и оборудования следует проводить выборочную инвентаризацию. Сотрудники должны быть осведомлены о том, что подобные проверки могут иметь место.
8. Управление передачей данных и операционной деятельностью
8.1. Операционные процедуры и обязанности
Цель: обеспечение уверенности в надлежащем и безопасном функционировании средств обработки информации.

Должны быть установлены обязанности и процедуры по управлению и функционированию всех средств обработки информации. Они должны включать разработку соответствующих операционных инструкций и процедуры реагирования на инциденты.

С целью минимизации риска при неправильном использовании систем вследствие небрежности или злого умысла следует, по возможности, реализовывать принцип разделения полномочий (8.1.4).

8.1.1. Документальное оформление операционных процедур

Операционные процедуры, определяемые политикой безопасности, должны рассматриваться как официальные документы, документироваться и строго соблюдаться, а изменения к ним должны санкционироваться и утверждаться руководством.

Процедуры содержат детальную инструкцию выполнения конкретного задания (работы) и включают:

- обработку и управление информацией;

- определение требований в отношении графика выполнения заданий, включающих взаимосвязи между системами; время начала выполнения самого раннего задания и время завершения самого последнего задания;

- обработку ошибок или других исключительных ситуаций, которые могут возникнуть в течение выполнения заданий, включая ограничения на использование системных утилит (9.5.5);

- необходимые контакты на случай неожиданных операционных или технических проблем;

- специальные мероприятия по управлению выводом данных, например, использование специальной бумаги для печатающих устройств или особых процедур применительно к выводу конфиденциальной информации, включая процедуры для безопасной утилизации выходных данных, не завершенных в процессе выполнения заданий;

- перезапуск системы и процедуры восстановления в случае системных сбоев.

Документированные процедуры должны быть также разработаны в отношении обслуживания систем обработки и обмена информацией, в частности процедуры запуска и безопасного завершения работы компьютера(ов), процедуры резервирования, текущего обслуживания и ремонта оборудования, обеспечения надлежащей безопасности помещений с компьютерным и коммуникационным оборудованием.

8.1.2. Контроль изменений

Изменения конфигурации в средствах и системах обработки информации должны контролироваться надлежащим образом. Неадекватный контроль изменений средств и систем обработки информации - распространенная причина системных сбоев и инцидентов нарушения информационной безопасности. С целью обеспечения надлежащего контроля всех изменений в оборудовании, программном обеспечении или процедурах должны быть определены и внедрены формализованные роли, ответственности и процедуры. При изменении программного обеспечения вся необходимая информация должна фиксироваться и сохраняться в системном журнале аудита. Изменения операционной среды могут оказывать влияние на работу приложений. Везде, где это имеет практический смысл, процедуры управления изменениями в операционной среде и в приложениях должны быть интегрированы (см. также 10.5.1). В частности, необходимо рассматривать следующие мероприятия:

- определение и регистрация существенных изменений;

- оценка возможных последствий таких изменений;

- формализованная процедура утверждения предлагаемых изменений;

- подробное информирование об изменениях всех заинтересованных лиц;

- процедуры, определяющие обязанности по прерыванию и восстановлению работы средств и систем обработки информации, в случае неудачных изменений программного обеспечения.

8.1.3. Процедуры в отношении инцидентов нарушения информационной безопасности

Обязанности и процедуры по управлению в отношении инцидентов должны быть определены для обеспечения быстрой, эффективной и организованной реакции на эти нарушения информационной безопасности (6.3.1). При этом необходимо рассмотреть следующие мероприятия:

а) должны быть определены процедуры в отношении всех возможных типов инцидентов нарушения информационной безопасности, в том числе:

1) сбои информационных систем и утрата сервисов;

2) отказ в обслуживании;

3) ошибки вследствие неполных или неточных данных;

4) нарушения конфиденциальности;

б) в дополнение к обычным планам обеспечения непрерывности (предназначенных для скорейшего восстановления систем или услуг) должны существовать процедуры выполнения требований (6.3.4):

1) анализа и идентификации причины инцидента;

2) планирования и внедрения средств, предотвращающих повторное проявление инцидентов, при необходимости;

3) использования журналов аудита и аналогичных свидетельств;

4) взаимодействия с лицами, на которых инцидент оказал воздействие или участвующих в устранении последствий инцидента;

5) информирования о действиях соответствующих должностных лиц;

в) журналы аудита и аналогичные свидетельства должны быть собраны (12.1.7) и защищены соответствующим образом с целью:

1) внутреннего анализа проблемы;

2) использования как доказательство в отношении возможного нарушения условий контракта, нарушения требований законодательства или в случае гражданских или уголовных судебных разбирательств, касающихся, например, защиты персональных данных или неправомочного использования компьютеров;

3) ведения переговоров относительно компенсации ущерба с поставщиками программного обеспечения и услуг;

г) действия по устранению сбоев систем и ликвидации последствий инцидентов нарушения информационной безопасности должны быть под тщательным и формализованным контролем. Необходимо наличие процедур с целью обеспечения уверенности в том, что:

1) только полностью идентифицированному и авторизованному персоналу предоставлен доступ к системам и данным в среде промышленной эксплуатации (4.2.2 в отношении доступа третьей стороны);

2) все действия, предпринятые при чрезвычайных обстоятельствах, подробно документально оформлены;

3) о действиях, предпринятых при чрезвычайных обстоятельствах, сообщено руководству организации, и они проанализированы в установленном порядке;

4) целостность бизнес-систем и систем контроля подтверждена в минимальные сроки.

8.1.4. Разграничение обязанностей

Разграничение обязанностей - это способ минимизации риска нештатного использования систем вследствие ошибочных или злонамеренных действий пользователей. Необходимо рассматривать принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач и областей ответственности как способ уменьшения неавторизованной модификации или неправильного использования информации или сервисов.

Для небольших организаций эти мероприятия труднодостижимы, однако данный принцип должен быть применен насколько это возможно. В случаях, когда разделение обязанностей осуществить затруднительно, следует рассматривать использование других мероприятий по управлению информационной безопасностью, таких как мониторинг деятельности, использование журналов аудита, а также мер административного контроля. В то же время важно, чтобы аудит безопасности оставался независимой функцией.

Необходимо предпринимать меры предосторожности, чтобы сотрудник не мог совершить злоупотребления в области своей единоличной ответственности не будучи обнаруженным. Инициирование события должно быть отделено от его авторизации. Необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:

- разграничение полномочий в отношении видов деятельности, которые создают возможность сговора для осуществления мошенничества, например, формирование заказов на закупку и подтверждения получения товаров;

- при наличии опасности сговора мероприятия должны быть продуманы так, чтобы в осуществлении операции участвовали два или более лица для снижения возможности сохранения тайны сговора.

8.1.5. Разграничение сред разработки и промышленной эксплуатации

При разделении сред разработки, тестирования и промышленной эксплуатации необходимо разделить роли и функции сотрудников. Правила перевода программного обеспечения из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены.

Деятельность, связанная с разработкой и тестированием, может быть причиной серьезных проблем, например нежелательных изменений файлов или системной среды, а также системных сбоев. При этом следует обеспечивать необходимый уровень разделения между средами промышленной эксплуатации по отношению к средам тестирования, а также для предотвращения операционных сбоев. Аналогичное разделение следует также реализовывать между функциями разработки и тестирования. В этом случае необходимо поддерживать в рабочем состоянии отдельную среду, в которой следует выполнять комплексное тестирование с известной стабильностью и предотвращать несанкционированный доступ со стороны разработчиков.

Там, где сотрудники, отвечающие за разработку и тестирование, имеют доступ к системе и данным среды промышленной эксплуатации, они имеют возможность установить неавторизованную и непротестированную программу или изменить данные в операционной среде. Применительно к ряду систем эта возможность могла бы быть использована с целью злоупотребления, а именно для совершения мошенничества или установки непротестированной или вредоносной программы. Непротестированное или вредоносное программное обеспечение может быть причиной серьезных проблем в операционной среде. Разработчики и специалисты, проводящие тестирование, могут также быть причиной угроз для безопасности операционной информации и системы.

Кроме того, если разработка и тестирование производятся в одной компьютерной среде, это может стать причиной непреднамеренных изменений программного обеспечения и информации. Разделение сред разработки, тестирования и эксплуатации является, следовательно, целесообразным для уменьшения риска случайного изменения или неавторизованного доступа к программному обеспечению и бизнес-данным среды промышленной эксплуатации. Необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:

- программное обеспечение для разработки и эксплуатации, по возможности, должно работать на различных компьютерных процессорах или в различных доменах, или директориях;

- действия по разработке и тестированию должны быть разделены, насколько это возможно;

- компиляторы, редакторы и другие системные утилиты не должны быть доступны в операционной среде без крайней необходимости;

- чтобы уменьшить риск ошибок, для операционных и тестовых систем должны использоваться различные процедуры регистрации (входа в систему). Пользователям следует рекомендовать применение различных паролей для этих систем, а в их экранных меню должны показываться соответствующие идентификационные сообщения;

- разработчики могут иметь доступ к паролям систем операционной среды только в том случае, если внедрены специальные мероприятия по порядку предоставления паролей для поддержки среды промышленной эксплуатации. Эти меры должны обеспечивать смену паролей после использования.

8.1.6. Управление средствами обработки информации сторонними лицами и/или организациями

Использование сторонних подрядчиков для управления средствами обработки информации является потенциальной угрозой для безопасности, поскольку возникает возможность компрометации, повреждения или потери данных в организации подрядчика. Такие риски должны быть идентифицированы заранее, а соответствующие мероприятия по управлению информационной безопасностью согласованы с подрядчиком и включены в контракт (4.2.2 и 4.3 в отношении руководств по контрактам с третьей стороной, предусматривающих доступ к средствам обработки информации организации, и в отношении контрактов по аутсорсингу).

В этих условиях требуется решение специальных вопросов:

- идентификация важных или критических бизнес-приложений, которые лучше оставить в организации;

- получение одобрения владельцев коммерческих бизнес-приложений;

- оценка влияния на планы обеспечения непрерывности бизнеса;

- определение перечня стандартов безопасности, которые должны быть включены в контракты, и процедур проверки выполнения их требований;

- распределение конкретных обязанностей и процедур для эффективного мониторинга всех применяемых видов деятельности, связанных с информационной безопасностью;

- определение обязанностей и процедур в отношении информирования и управления процессами ликвидации последствий инцидентов нарушения информационной безопасности (8.1.3).
8.2. Планирование нагрузки и приемка систем
Цель: сведение к минимуму риска сбоев в работе систем.

Для обеспечения доступности данных, требуемой производительности и ресурсов систем необходимо провести предварительное планирование и подготовку.

Для снижения риска перегрузки систем необходимо проводить анализ предполагаемой ее нагрузки.

Требования к эксплуатации новых систем должны быть определены, документально оформлены и протестированы перед их приемкой и использованием.

8.2.1. Планирование производительности

Для обеспечения необходимых мощностей по обработке и хранению информации необходим анализ текущих требований к производительности, а также прогноз будущих. Эти прогнозы должны учитывать новые функциональные и системные требования, а также текущие планы и перспективные планы развития информационных технологий в организации.

Мэйнфреймы требуют особого внимания вследствие значительных финансовых и временных затрат на повышение их производительности. Руководители, отвечающие за предоставление мэйнфреймовых услуг, должны проводить мониторинг загрузки ключевых системных ресурсов, в том числе процессоров, оперативной и внешней памяти, принтеров и других устройств вывода, а также систем связи. Эти руководители должны определять общие потребности и тенденции в использовании компьютерных ресурсов, что особенно важно для поддержки бизнес-приложений или систем управления для руководства.

Руководителям следует использовать эту информацию с целью идентификации/избежания потенциально узких мест, представляющих угрозу безопасности системы или пользовательским сервисам, а также с целью планирования соответствующих мероприятий по обеспечению информационной безопасности.

8.2.2. Приемка систем

Перед приемкой систем должны быть определены критерии приемки новых информационных систем, новых версий и обновлений, а также должно проводиться необходимое их тестирование. Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформлены и опробованы. В этих целях необходимо предусматривать следующие мероприятия по управлению информационной безопасностью:

- оценка выполнения требований к мощности и производительности компьютера;

- определение процедур восстановления после сбоев и повторного запуска, а также формирование планов обеспечения непрерывной работы;

- подготовка и тестирование типовых операционных процессов на соответствие определенным стандартам;

- наличие необходимого набора средств контроля информационной безопасности;

- разработка эффективных руководств по процедурам;

- обеспечение непрерывности бизнеса в соответствии с требованиями 11.1;

- обязательная проверка отсутствия неблагоприятного влияния новых систем на существующие, особенно во время максимальных нагрузок, например, в конце месяца;

- контроль проведения анализа влияния, оказываемого новой системой на общую информационную безопасность организации;

- организация профессиональной подготовки персонала к эксплуатации и использованию новых систем.

Для консультаций на всех этапах разработки новых систем должны привлекаться службы поддержки (эксплуатации) и пользователи с целью обеспечения эффективной эксплуатации проектируемой системы. При этом должны проводиться соответствующие тесты для подтверждения того, что все критерии приемки удовлетворены полностью.

Необходимо принимать меры предотвращения и обнаружения внедрения вредоносного программного обеспечения.

Программное обеспечение и средства обработки информации уязвимы к внедрению вредоносного программного обеспечения, такого как компьютерные вирусы, сетевые "черви", "троянские кони" (10.5.4) и логические бомбы. Пользователи должны быть осведомлены об опасности использования неавторизованного или вредоносного программного обеспечения, а соответствующие руководители должны обеспечить внедрение специальных средств контроля с целью обнаружения и/или предотвращения проникновения подобных программ. В частности, важно принятие мер предосторожности с целью обнаружения и предотвращения заражения компьютерными вирусами персональных компьютеров.

8.3.1. Мероприятия по управлению информационной безопасностью для борьбы с вредоносным программным обеспечением