Приказом Федерального агентства по техническому

9.4.5. Защита портов диагностики при удаленном доступе

Для обеспечения безопасности доступ к портам диагностики должен быть контролируемым. Многие компьютерные сети и системы связи имеют набор средств удаленной диагностики для использования инженерами по обслуживанию. Будучи незащищенными, эти диагностические порты являются источником риска неавторизованного доступа. Безопасность этих портов необходимо обеспечивать с помощью соответствующего защитного механизма безопасности, например, "замка", а также осуществлять доступ обслуживающего персонала к диагностическим портам только на основании договоренности между руководителем, отвечающим за обеспечение компьютерных сервисов, и персоналом по поддержке аппаратных/программных средств.

9.4.6. Принцип разделения в сетях

Компьютерные сети все более распространяются за пределы организации, поскольку создаются деловые партнерства, которые требуют общения между партнерами или совместного использования сетевой инфраструктуры и средств обработки информации. Такие расширения увеличивают риск неавторизованного доступа к информационным системам сети, причем в отношении некоторых из этих систем, вследствие их важности или критичности, может потребоваться защита от пользователей, получивших доступ к другим системам сети. В таких случаях необходимо рассматривать внедрение дополнительных мероприятий по управлению информационной безопасностью в пределах сети, чтобы разделять группы информационных сервисов, пользователей и информационные системы.

Одно из таких мероприятий состоит в том, чтобы разделять их на отдельные логические сетевые домены, например, внутренний сетевой домен организации и внешние сетевые домены, каждый из которых защищен определенным периметром безопасности. Такой периметр может быть реализован посредством внедрения шлюза безопасности между двумя связанными сетями для контроля доступа и информационного потока между ними. Этот шлюз следует конфигурировать для фильтрации трафика между доменами (9.4.7 и 9.4.8) и для блокирования неавторизованного доступа в соответствии с политикой контроля доступа организации (9.1). Примером такого шлюза является межсетевой экран.

Критерии для разделения сетей на домены следует формировать на основе анализа политики контроля доступа (9.1), а также учитывая влияние этого разделения на производительность в результате включения подходящей технологии маршрутизации сетей или шлюзов (9.4.7 и 9.4.8).

9.4.7. Контроль сетевых соединений

Требования политики контроля доступа для совместно используемых сетей, особенно тех, которые простираются за границы организации, могут потребовать внедрения дополнительных мероприятий по управлению информационной безопасностью, чтобы ограничивать возможности пользователей по подсоединению. Такие мероприятия могут быть реализованы посредством сетевых шлюзов, которые фильтруют трафик с помощью определенных таблиц или правил. Необходимо, чтобы применяемые ограничения основывались на политике и требованиях доступа к бизнес-приложениям (9.1), а также соответствующим образом поддерживались и обновлялись.

Примеры бизнес-приложений, к которым следует применять ограничения:

- электронная почта;

- передача файлов в одном направлении;

- передача файла в обоих направлениях;

- интерактивный доступ;

- доступ к сети, ограниченный определенным временем суток или датой.

9.4.8. Управление маршрутизацией сети

Сети совместного использования, особенно те, которые простираются за границы организации, могут требовать реализации мероприятий по обеспечению информационной безопасности, чтобы подсоединения компьютеров к информационным потокам не нарушали политику контроля доступа к бизнес-приложениям (9.1). Это является особенно важным для сетей, совместно используемых с пользователями третьей стороны (не сотрудниками организации).

Обеспечение информационной безопасности при осуществлении маршрутизации основывается на надежном механизме контроля адресов источника и назначения сообщения. Преобразование сетевых адресов также очень полезно для изоляции сетей и предотвращения распространения маршрутов от сети одной организации в сеть другой. Этот подход может быть реализован как программным способом, так и аппаратно. Необходимо, чтобы специалисты, занимающиеся внедрением, были осведомлены о характеристиках используемых механизмов.

9.4.9. Безопасность использования сетевых служб

Общедоступные и частные сетевые службы предлагают широкий спектр дополнительных информационных услуг, обладающих характеристиками безопасности и обеспечивающих разные уровни защиты. Организации, пользующиеся этими услугами, должны быть уверены в том, что при этом обеспечивается необходимый уровень информационной безопасности и имеется четкое описание атрибутов безопасности всех используемых сервисов.

На уровне операционной системы следует использовать средства информационной безопасности для ограничения доступа к компьютерным ресурсам. Эти средства должны обеспечивать:

а) идентификацию и верификацию компьютера пользователя и, если необходимо, терминала и местоположение каждого авторизованного пользователя;

б) регистрацию успешных и неудавшихся доступов к системе;

в) аутентификацию соответствующего уровня. Если используется система парольной защиты, то она должна обеспечивать качественные пароли (9.3.1 "г");

г) ограничение времени подсоединения пользователей, в случае необходимости.

Другие методы контроля доступа, такие как "отклик-отзыв", являются допустимыми, если они оправданы с точки зрения бизнес-рисков.

9.5.1. Автоматическая идентификация терминала

Следует рассматривать возможность использования автоматической идентификации терминала, чтобы аутентифицировать его подсоединение к определенным точкам системы. Автоматическая идентификация терминала - метод, который должен использоваться, если важно, чтобы сеанс мог быть инициирован только с определенного места или компьютерного терминала. Встроенный или подсоединенный к терминалу идентификатор может использоваться для определения, разрешено ли этому конкретному терминалу инициировать или получать определенные сообщения. Может быть необходимым применение физической защиты терминала для обеспечения безопасности его идентификатора. Существуют другие методы, которые можно использовать для аутентификации пользователей (9.4.3).

9.5.2. Процедуры регистрации с терминала

Доступ к информационным сервисам должен быть обеспечен путем использования безопасной процедуры входа в систему (способ регистрации). Процедуру регистрации в компьютерной системе следует проектировать так, чтобы свести к минимуму возможность неавторизованного доступа и не оказывать помощи неавторизованному пользователю. Правильно спланированная процедура регистрации должна обладать следующими свойствами:

а) не отображать наименований системы или приложений, пока процесс регистрации не будет успешно завершен;

б) отображать общее уведомление, предупреждающее, что доступ к компьютеру могут получить только авторизованные пользователи;

в) не предоставлять сообщений-подсказок в течение процедуры регистрации, которые могли бы помочь неавторизованному пользователю;

г) подтверждать информацию регистрации только по завершении ввода всех входных данных. В случае ошибочного ввода система не показывает, какая часть данных является правильной или неправильной;

д) ограничивать число разрешенных неудачных попыток регистрации (рекомендуется три) и предусматривать:

1) запись неудачных попыток;

2) включение временной задержки, прежде чем будут разрешены дальнейшие попытки регистрации или отклонение любых дальнейших попыток регистрации без специальной авторизации;

3) разъединение сеанса связи при передаче данных;

е) ограничивать максимальное и минимальное время, разрешенное для процедуры регистрации. Если оно превышено, система должна прекратить регистрацию;

ж) фиксировать информацию в отношении успешно завершенной регистрации:

1) дату и время предыдущей успешной регистрации;

2) детали любых неудачных попыток регистрации, начиная с последней успешной регистрации.

9.5.3. Идентификация и аутентификация пользователя

Необходимо, чтобы все пользователи (включая персонал технической поддержки, т.е. операторов, администраторов сети, системных программистов и администраторов базы данных) имели уникальный идентификатор (пользовательский ID) для их единоличного использования с тем, чтобы их действия могли быть проанализированы ответственным лицом. Пользовательский ID не должен содержать признаков уровня привилегии пользователя (9.2.2), например, менеджера, контролера.

Для выполнения особо важных работ допускается использовать общий идентификатор для группы пользователей или для выполнения определенной работы. В таких случаях необходимо соответствующим образом оформленное разрешение руководства. Кроме того, для обеспечения безопасности системы от неавторизованного доступа в этих случаях может потребоваться применение дополнительных мер обеспечения информационной безопасности.

Существуют различные процедуры аутентификации, которые могут использоваться для доказательства заявленной идентичности пользователя. Пароли (9.3.1) - очень распространенный способ обеспечения идентификации и аутентификации (I&A), основанный на использовании пароля, который знает только пользователь. Тоже самое может быть достигнуто средствами криптографии и протоколами аутентификации.

Специальные физические устройства доступа с памятью (token) или микропроцессорные карты (смарт-карты), которыми пользуются сотрудники, могут также использоваться для идентификации и аутентификации. Биометрические методы аутентификации, которые основаны на уникальности характеристик (особенностей) индивидуума, могут также использоваться для аутентификации пользователя. Сочетание различных технологий и методов обеспечивает более надежную аутентификацию.

9.5.4. Система управления паролями

Пароли - одно из главных средств подтверждения полномочия пользователя, осуществляющего доступ к компьютерным сервисам. В системах управления паролем должны быть предусмотрены эффективные интерактивные возможности поддержки необходимого их качества (9.3.1).

Для некоторых бизнес-приложений требуется назначение пользовательских паролей независимым должностным лицом. В большинстве же случаев пароли выбираются и поддерживаются пользователями.

Система управления паролями должна:

- предписывать использование индивидуальных паролей для обеспечения установления ответственности;

- позволять пользователям выбирать и изменять их собственные пароли, а также включать подтверждающую процедуру для учета ошибок ввода при необходимости;

- предписывать выбор высококачественных паролей в соответствии с 9.3.1;

- там, где пользователи отвечают за поддержку своих собственных паролей, принуждать их к изменению паролей (9.3.1);

- там, где пользователи выбирают пароли, обеспечивать изменение временных паролей при первой регистрации (9.2.3);

- поддерживать хранение истории предыдущих пользовательских паролей (за предыдущий год) и предотвращать их повторное использование;

- не отображать пароли на экране при их вводе;

- хранить файлы паролей отдельно от данных прикладных систем;

- хранить пароли в зашифрованной форме, используя односторонний алгоритм шифрования;

- обеспечивать смену паролей поставщика, установленных по умолчанию, после инсталляции программного обеспечения.

9.5.5. Использование системных утилит

На большинстве компьютеров устанавливается, по крайней мере, одна программа - системная утилита, которая позволяет обойти меры предотвращения неавторизованного доступа к операционным системам и бизнес-приложениям. Использование системных утилит должно быть ограничено и тщательным образом контролироваться. Для этого необходимо использование следующих мероприятий по управлению информационной безопасностью:

- использование процедур аутентификации системных утилит;

- отделение системных утилит от прикладных программ;

- ограничение использования системных утилит путем выбора минимального числа доверенных авторизованных пользователей, которым это необходимо;

- авторизация эпизодического использования системных утилит;

- ограничение доступности системных утилит (только на время внесения авторизованных изменений);

- регистрация использования всех системных утилит;

- определение и документирование уровней авторизации в отношении системных утилит;

- удаление всех ненужных утилит из системного программного обеспечения.

9.5.6. Сигнал тревоги для защиты пользователей на случай, когда они могут стать объектом насилия

Желательно предусматривать сигнал тревоги на случай, когда пользователь может стать объектом насилия. Решение об обеспечении такой сигнализацией следует принимать на основе оценки рисков. При этом необходимо определить обязанности и процедуры реагирования на сигнал такой тревоги.

9.5.7. Периоды бездействия терминалов

Терминалы, размещенные в местах повышенного риска, например в общедоступных местах или вне сферы контроля процесса управления безопасностью организации, обслуживающие системы высокого риска, должны отключаться после определенного периода их бездействия для предотвращения доступа неавторизованных лиц. Механизм блокировки по времени должен обеспечивать очистку экрана терминала, а также закрытие работы сеансов приложения и сетевого сеанса терминала после определенного периода времени его бездействия. Время срабатывания блокировки должно устанавливаться с учетом рисков безопасности, связанных с местом установки терминала. Следует иметь в виду, что некоторые персональные компьютеры обеспечивают ограниченную возможность блокировки терминала по времени путем очистки экрана и предотвращения неавторизованного доступа, не осуществляя при этом закрытия сеанса приложений или сетевого сеанса.

9.5.8. Ограничения подсоединения по времени

Ограничения подсоединения по времени должны обеспечивать дополнительную безопасность для приложений высокого риска. Ограничение периода времени, в течение которого разрешены подсоединения терминалов к компьютерным сервисам, уменьшает интервал времени, в течение которого возможен неавторизованный доступ. Эту меру обеспечения информационной безопасности необходимо применять для наиболее важных компьютерных приложений, особенно тех, которые связаны с терминалами, установленными в местах повышенного риска, например, в общедоступных местах или вне сферы контроля управления безопасностью организации. Примеры таких ограничений:

- использование заранее определенных отрезков времени для пакетной передачи файлов или регулярных интерактивных сеансов небольшой продолжительности;

- ограничение времени подключений часами работы организации, если нет необходимости сверхурочной или более продолжительной работы.

Необходимо применять меры обеспечения информационной безопасности для ограничения доступа к прикладным системам.

Логический доступ к программному обеспечению и информации должен быть ограничен только авторизованными пользователями. Для этого необходимо обеспечивать:

- контроль доступа пользователей к информации и функциям бизнес-приложений в соответствии с определенной бизнесом политикой контроля доступа;

- защиту от неавторизованного доступа любой утилиты и системного программного обеспечения, которые позволяют обходить средства операционной системы или приложений;

- исключение компрометации безопасности других систем, с которыми совместно используются информационные ресурсы;

- доступ к информации только владельца, который соответствующим образом назначен из числа авторизованных лиц или определенных групп пользователей.

9.6.1. Ограничение доступа к информации

Пользователям бизнес-приложений, включая персонал поддержки и эксплуатации, следует обеспечивать доступ к информации и функциям этих приложений в соответствии с определенной политикой контроля доступа, основанной на требованиях к отдельным бизнес-приложениям (9.1). Необходимо рассматривать применение следующих мероприятий по управлению информационной безопасностью для обеспечения требований по ограничению доступа:

- поддержка меню для управления доступом к прикладным функциям системы;

- ограничения в предоставлении пользователям информации о данных и функциях бизнес-приложений, к которым они не авторизованы на доступ, путем соответствующего редактирования пользовательской документации;

- контроль прав доступа пользователей, например, чтение/запись/удаление/выполнение;

- обеспечение уверенности в том, что выводимые данные из бизнес-приложений, обрабатывающих важную информацию, содержали только требуемую информацию и пересылались только в адреса авторизованных терминалов и по месту назначения. Следует проводить периодический анализ процесса вывода для проверки удаления избыточной информации.

9.6.2. Изоляция систем, обрабатывающих важную информацию

Системы, обрабатывающие важную информацию, должны быть обеспечены выделенной (изолированной) вычислительной средой. Некоторые прикладные системы имеют очень большое значение с точки зрения безопасности данных и поэтому требуют специальных условий эксплуатации. Важность обрабатываемой информации может или требовать работы системы на выделенном компьютере, или осуществлять совместное использование ресурсов только с безопасными бизнес-приложениями, или работать без каких-либо ограничений. При этом необходимо учитывать следующее:

- владельцу бизнес-приложений необходимо определить и документально оформить степень их важности (4.1.3),

- когда важное бизнес-приложение должно работать в среде совместного использования, необходимо выявить другие приложения, с которыми будет осуществляться совместное использование ресурсов, и согласовать это с владельцем важного бизнес-приложения.
9.7. Мониторинг доступа и использования системы
Цель: обнаружение неавторизованных действий.

Для обнаружения отклонения от требований политики контроля доступа и регистрации событий и обеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности необходимо проводить мониторинг системы.

Мониторинг системы позволяет проверять эффективность применяемых мероприятий по обеспечению информационной безопасности и подтверждать соответствие модели политики доступа требованиям бизнеса (9.1).

9.7.1. Регистрация событий

Для записи инцидентов нарушения информационной безопасности и других связанных с безопасностью событий следует создавать журналы аудита и хранить их в течение согласованного периода времени с целью содействия в проведении будущих расследований и мониторинге управления доступом. Необходимо, чтобы записи аудита включали:

- ID пользователей;

- даты и время входа и выхода;

- идентификатор терминала или его местоположение, если возможно;

- записи успешных и отклоненных попыток доступа к системе;

- записи успешных и отклоненных попыток доступа к данным и другим ресурсам. Может потребоваться, чтобы определенные записи аудита были заархивированы для использования их при анализе и расследованиях инцидентов нарушения информационной безопасности, а также в интересах других целей (раздел 12).

9.7.2. Мониторинг использования систем

9.7.2.1. Процедуры и области риска

Для обеспечения уверенности в том, что пользователи выполняют только те действия, на которые они были явно авторизованы, необходимо определить процедуры мониторинга использования средств обработки информации. Уровень мониторинга конкретных средств обработки информации следует определять на основе оценки рисков. При мониторинге следует обращать внимание на:

а) авторизованный доступ, включая следующие детали:

1) пользовательский ID;

2) даты и время основных событий;

3) типы событий;

4) файлы, к которым был осуществлен доступ;

5) используемые программы/утилиты;

б) все привилегированные действия, такие как:

1) использование учетной записи супервизора;

2) запуск и останов системы;

3) подсоединение/отсоединение устройства ввода/вывода;

в) попытки неавторизованного доступа, такие как:

1) неудавшиеся попытки;

2) нарушения политики доступа и уведомления сетевых шлюзов и межсетевых экранов;

3) предупреждения от собственных систем обнаружения вторжения;

г) предупреждения или отказы системы, такие как:

1) консольные (терминальные) предупреждения или сообщения;

2) исключения, записанные в системные журналы регистрации;

3) предупредительные сигналы, связанные с управлением сетью.

9.7.2.2. Факторы риска

Результаты мониторинга следует регулярно анализировать. Периодичность анализов должна зависеть от результатов оценки риска. Факторы риска, которые необходимо при этом учитывать, включают:

- критичность процессов, которые поддерживаются бизнес-приложениями;

- стоимость, важность или критичность информации;

- анализ предшествующих случаев проникновения и неправильного использования системы;

- степень взаимосвязи информационных систем организации с другими (особенно с общедоступными) сетями.

9.7.2.3. Регистрация и анализ событий

Анализ (просмотр) журнала аудита подразумевает понимание угроз, которым подвержена система, и причин их возникновения. Примеры событий, которые могли бы потребовать дальнейшего исследования в случае инцидентов нарушения информационной безопасности, приведены в 9.7.1.

Системные журналы аудита часто содержат информацию, значительный объем которой не представляет интереса с точки зрения мониторинга безопасности. Для облегчения идентификации существенных событий при мониторинге безопасности целесообразно рассмотреть возможность автоматического копирования соответствующих типов сообщений в отдельный журнал и/или использовать подходящие системные утилиты или инструментальные средства аудита для подготовки к анализу данных.

При распределении ответственности за анализ журнала аудита необходимо учитывать разделение ролей между лицом (лицами), проводящим (и) анализ, и теми, чьи действия подвергаются мониторингу.

Особое внимание следует уделять защите собственных средств регистрации, потому что при вмешательстве в их работу может быть получено искаженное представление о событиях безопасности. Мероприятия по управлению информационной безопасностью должны обеспечивать защиту от неавторизованных изменений и эксплуатационных сбоев, включая:

- отключение средств регистрации;

- изменение типов зарегистрированных сообщений;

- редактирование или удаление файлов, содержащихся в журналах аудита;

- регистрацию случаев полного заполнения носителей журнальных файлов, а также случаев невозможности записей событий вследствие сбоев либо случаев перезаписи новых данных поверх старых.

9.7.3. Синхронизация часов

Правильная установка компьютерных часов (таймера) важна для обеспечения точности заполнения журналов аудита, которые могут потребоваться для расследований или как доказательство при судебных или административных разбирательствах. Некорректные журналы аудита могут затруднять такие расследования, а также приводить к сомнению в достоверности собранных доказательств.

Там, где компьютер или устройство связи имеют возможность использовать часы в реальном времени, их следует устанавливать по Универсальному Скоординированному Времени (UCT) или местному стандартному времени. Так как некоторые часы, как известно, "уходят вперед" или "отстают", должна существовать процедура, которая проверяет и исправляет любое отклонение или его значимое изменение.
9.8. Работа с переносными устройствами и работа

в дистанционном режиме

Следует соизмерять требуемую защиту со специфичными рисками работы в удаленном режиме. При использовании переносных устройств следует учитывать риски, связанные с работой в незащищенной среде, и применять соответствующие меры защиты. В случаях работы в дистанционном режиме организация должна предусматривать защиту как места работы, так и соответствующие меры по обеспечению информационной безопасности.