03.12.2021
Специальная публикация NIST (Национального института стандартов и технологий США) 800-12 «Введение в информационную безопасность» (часть 10)

10 Управляющие семейства

Чтобы гарантировать защиту конфиденциальности, целостности и доступности, FIPS 200 определяет минимальные требования безопасности во многих областях, связанных с безопасностью. Области, представленные ниже, представляют собой обширную сбалансированную программу информационной безопасности, которая касается управленческих, эксплуатационных и технических аспектов защиты федеральной информации и систем.

Цель этого раздела - предоставить краткое описание каждого семейства средств защиты. У каждого семейства есть список элементов управления, направленных на достижение определенной цели безопасности. Чтобы просмотреть полный каталог средств контроля безопасности и описание всех средств контроля, обратитесь к NIST SP 800-53.

10.1 Контроль доступа (AC)

Требования к использованию - и запреты на использование - различных системных ресурсов значительно различаются от одной системы к другой. Например, некоторая информация должна быть доступна всем пользователям, некоторая может потребоваться нескольким группам или отделам, а к некоторым может получить доступ только несколько человек. Хотя пользователи должны иметь доступ к конкретной информации, необходимой для выполнения их работы, может потребоваться отказ в доступе к информации, не связанной с работой. Также может быть важным контролировать вид разрешенного доступа (например, способность обычного пользователя выполнять, но не изменять системные программы). Эти типы ограничений доступа обеспечивают соблюдение политики и помогают предотвратить несанкционированные действия.

Доступ - это возможность использовать любой системный ресурс. Контроль доступа - это процесс предоставления или отклонения конкретных запросов на: 1) получение и использование информации и связанных с ней услуг по обработке информации; и 2) входить в определенные физические объекты (например, федеральные здания, военные учреждения, въезды через границу).

Системные средства контроля доступа называются логическими средствами контроля доступа. Логические элементы управления доступом могут предписывать не только то, кто или что (в случае процесса) должно иметь доступ к определенному системному ресурсу, но также и тип разрешенного доступа. Эти элементы управления могут быть встроены в операционную систему, включены в прикладные программы или основные служебные программы (например, системы управления базами данных, системы связи) или реализованы с помощью дополнительных пакетов безопасности. Управление логическим доступом может быть реализовано внутри защищаемой системы или во внешних устройствах.

Примеры средств управления безопасностью управления доступом включают в себя: управление учетными записями, разделение обязанностей, наименьшие привилегии, блокировку сеанса, обеспечение информационного потока и завершение сеанса. Организации ограничивают: (i) доступ к системе только авторизованным пользователям; (ii) процессы, действующие от имени авторизованных пользователей; (iii) устройства, включая другие системы; и (iv) типы транзакций и функций, которые разрешено выполнять авторизованным пользователям.

10.2 Осведомленность и обучение (AT)

Часто именно сообщество пользователей считается самым слабым звеном в обеспечении безопасности систем. Это связано с тем, что пользователи не осознают, как их действия могут повлиять на безопасность системы. Информирование пользователей системы об их обязанностях по обеспечению безопасности и обучение их правильным методам работы помогает изменить их поведение. Он также поддерживает индивидуальную подотчетность, что является одним из наиболее важных способов повышения информационной безопасности. Не зная о необходимых мерах безопасности или способах их использования, пользователи не могут нести полную ответственность за свои действия. Важность этого обучения подчеркивается в Законе о компьютерной безопасности, который требует обучения тех, кто занимается управлением, использованием и эксплуатацией федеральных систем.

Целью повышения осведомленности, обучения и образования в области информационной безопасности является повышение безопасности путем: (i) повышения осведомленности о необходимости защиты системных ресурсов; (ii) развитие навыков и знаний, чтобы пользователи системы могли более безопасно выполнять свою работу; и (iii) накопление глубоких знаний, необходимых для разработки, внедрения или эксплуатации программ безопасности для организаций и систем. Организация несет ответственность за то, чтобы менеджеры и пользователи были осведомлены о рисках безопасности, связанных с их деятельностью, и чтобы персонал организации был должным образом обучен для выполнения своих обязанностей и ответственности, связанных с информационной безопасностью.

Примеры контроля безопасности и обучения включают: обучение осведомленности о безопасности, обучение безопасности на основе ролей и записи обучения безопасности.

Организации: (i) обеспечивают, чтобы менеджеры и пользователи организационных систем были осведомлены о рисках безопасности, связанных с их деятельностью, а также о применимых законах, административных распоряжениях, директивах, политиках, стандартах, инструкциях, положениях или процедурах, связанных с безопасностью организационные системы; и (ii) обеспечивают, чтобы персонал организации был должным образом обучен для выполнения возложенных на него обязанностей и ответственности, связанных с информационной безопасностью.

10.3 Аудит и подотчетность (AU)

Аудит - это независимый обзор и проверка записей и действий для оценки адекватности контроля системы и обеспечения соответствия установленным политикам и операционным процедурам. Журнал аудита - это запись лиц, которые обращались к системе, а также того, какие операции пользователь выполнял в течение определенного периода. Журналы аудита позволяют регистрировать активность системы как по системным процессам и приложениям, так и по активности пользователей систем и приложений. В сочетании с соответствующими инструментами и процедурами контрольные журналы могут помочь в обнаружении нарушений безопасности, проблем с производительностью и недостатков в приложениях.

Журналы аудита могут использоваться в качестве поддержки регулярных операций системы, своего рода страхового полиса или того и другого. В качестве страховки контрольные журналы поддерживаются, но не используются, если в этом нет необходимости (например, после сбоя системы). В качестве поддержки операций используются журналы аудита, чтобы помочь системным администраторам убедиться, что система или ресурсы не пострадали от хакеров, инсайдеров или технических проблем. Примеры контроля аудита и подотчетности включают в себя: события аудита, отметки времени, отсутствие отказа, защиту информации аудита, сохранение записей аудита и аудит сеанса. 

Организации: (i) создают, защищают и хранят записи системного аудита в объеме, необходимом для обеспечения возможности мониторинга, анализа, расследования и отчетности о незаконных, несанкционированных или несоответствующих действиях в системе; и (ii) гарантируют, что действия отдельных пользователей системы можно однозначно проследить до этих пользователей, чтобы их можно было привлечь к ответственности.

10.4 Оценка, авторизация и мониторинг (CA)

Оценка контроля безопасности - это тестирование и / или оценка управленческих, эксплуатационных и технических средств контроля безопасности в системе для определения степени, в которой средства контроля реализованы правильно, работают по назначению и дают желаемый результат в отношении соответствия требованиям требования безопасности к системе. Оценка также помогает определить, являются ли реализованные средства контроля наиболее эффективным и экономичным решением для функции, для которой они предназначены. Оценка мер безопасности проводится на постоянной основе, чтобы поддерживать анализ текущего состояния безопасности организации в режиме, близком к реальному времени.

После полной и тщательной оценки мер безопасности уполномоченное должностное лицо принимает решение разрешить системе работать (для новой системы) или продолжить работу.

Примеры оценки безопасности и контроля авторизации включают: оценки безопасности, системные взаимосвязи, планы действий и контрольные точки, а также непрерывный мониторинг.

Организации: (i) периодически оценивают меры безопасности в организационных системах, чтобы определить, эффективны ли эти меры при их применении; (ii) разрабатывают и реализуют планы действий, предназначенные для исправления недостатков и уменьшения или устранения уязвимостей в организационных системах; (iii) санкционируют работу организационных систем и любых связанных с ними системных соединений; и (iv) контролируют меры безопасности на постоянной основе, чтобы гарантировать постоянную эффективность мер контроля.

10.5 Управление конфигурацией (CM)

Управление конфигурацией - это совокупность действий, направленных на создание и поддержание целостности продуктов и систем информационных технологий посредством управления процессами инициализации, изменения и мониторинга конфигураций этих продуктов и систем в рамках SDLC. Управление конфигурацией состоит из определения и документирования соответствующих конкретных настроек системы, проведения анализа воздействия на безопасность и управления изменениями с помощью панели управления изменениями. Это позволяет проверять всю систему, чтобы гарантировать, что изменение, внесенное в одну систему, не окажет неблагоприятного воздействия на другую систему. Для получения дополнительной информации об управлении конфигурацией см. NIST SP 800-128.

Общие безопасные конфигурации (также известные как контрольные списки конфигурации безопасности) предоставляют признанные, стандартизованные и установленные контрольные показатели, которые определяют параметры безопасной конфигурации для платформ и продуктов информационных технологий. После внедрения контрольные списки можно использовать для проверки того, что изменения в системе были рассмотрены с точки зрения безопасности. Обычный аудит исследует конфигурацию системы, чтобы увидеть, произошли ли серьезные изменения (например, подключение к Интернету), которые еще не были проанализированы. Репозиторий контрольных списков NIST, поддерживаемый как часть Национальной базы данных уязвимостей (NVD), предоставляет несколько контрольных списков, которые можно использовать для проверки соответствия безопасной конфигурации, указанной в плане безопасности системы. Контрольные списки доступны по адресу https://web.nvd.nist.gov/view/ncp/repository.

Примеры средств управления конфигурацией включают: базовую конфигурацию, контроль изменений конфигурации, анализ воздействия на безопасность, минимальную функциональность и ограничения на использование программного обеспечения.

Организации: (i) устанавливают и поддерживают базовые конфигурации и инвентаризацию организационных систем, включая оборудование, программное обеспечение, микропрограммное обеспечение и документацию в рамках соответствующего SDLC; и (ii) устанавливают и обеспечивают соблюдение настроек конфигурации безопасности для продуктов информационных технологий, используемых в организационных системах.

10.6 Планирование на случай непредвиденных обстоятельств (CP)

Непредвиденные обстоятельства в области информационной безопасности - это событие, которое может нарушить работу системы, нарушив тем самым критически важные миссии и бизнес-функции. Таким событием может быть отключение электроэнергии, отказ оборудования, пожар или шторм. Особо разрушительные события часто называют «катастрофами». Чтобы предотвратить возможные непредвиденные обстоятельства и бедствия или свести к минимуму причиненный ими ущерб, организации могут предпринять ранние шаги для управления исходом события. Обычно эта деятельность называется планированием на случай непредвиденных обстоятельств.

План на случай непредвиденных обстоятельств - это политика и процедура управления, используемые для руководства реагированием организации на предполагаемую утрату способности миссии. План действий в чрезвычайных ситуациях (SCP) используется менеджерами по рискам для определения того, что произошло, почему и что делать. SCP может указывать на План непрерывности операций (COOP) или План аварийного восстановления (DRP) для серьезных сбоев.

Планирование на случай непредвиденных обстоятельств включает в себя больше, чем планирование переезда за пределы площадки после того, как в результате катастрофы разрушен центр обработки данных. В нем также рассматривается, как поддерживать работу критически важных функций организации в случае сбоев, больших и малых. Этот более широкий взгляд на планирование на случай непредвиденных обстоятельств основан на распределении поддержки системы по всей организации. Для получения дополнительной информации о планировании на случай непредвиденных обстоятельств см. NIST SP 800-34.

Примеры средств управления планированием непредвиденных обстоятельств включают в себя: план действий в чрезвычайных ситуациях, обучение на случай непредвиденных обстоятельств, тестирование плана действий в чрезвычайных ситуациях, резервное копирование системы, а также восстановление и восстановление системы.

Организации: (i) разрабатывают, поддерживают и эффективно внедряют планы реагирования на чрезвычайные ситуации, (ii) операции резервного копирования и (iii) осуществляют надзор за восстановлением организационных систем после стихийных бедствий, чтобы гарантировать доступность критически важных информационных ресурсов и непрерывность операций в чрезвычайных ситуациях.

10.7 Идентификация и аутентификация (IA)

Для большинства систем идентификация и аутентификация часто являются первой линией защиты. Идентификация - это средство проверки личности пользователя, процесса или устройства, обычно как предварительное условие для предоставления доступа к ресурсам в системе. Идентификация и аутентификация - это техническая мера, предотвращающая проникновение в систему неавторизованных лиц или процессов.

Идентификация и аутентификация являются критически важными строительными блоками информационной безопасности, поскольку они являются основой для большинства типов управления доступом и для установления ответственности пользователей. Контроль доступа часто требует, чтобы система могла идентифицировать и различать пользователей. Например, управление доступом часто основывается на минимальных привилегиях, что означает предоставление пользователям только тех прав доступа, которые необходимы для выполнения их обязанностей. Подотчетность пользователей требует привязки действий в системе к конкретным лицам и, следовательно, требует, чтобы система идентифицировала пользователей.

Системы распознают людей на основе данных аутентификации, которые они получают. Аутентификация представляет собой несколько проблем: сбор данных аутентификации, безопасная передача данных и знание того, является ли человек, который изначально был аутентифицирован, тем человеком, который использует систему. Например, пользователь может уйти от терминала, все еще находясь в системе, а другой человек может начать его использовать.

Существует четыре способа аутентификации личности пользователя, которые можно использовать по отдельности или в комбинации.

Идентификация пользователя может быть подтверждена на основании:

• что-то, что известно человеку - например, пароль или персональный идентификационный номер (PIN);

• что-то, что есть у человека (токен) - например, карта банкомата или смарт-карта;

• что-то индивидуальное (статическая биометрия) - например, отпечаток пальца, сетчатка глаза, лицо; а также

• что-то, что делает человек (динамическая биометрия) - например, образец голоса, почерк, ритм набора текста

Хотя может показаться, что любой из этих отдельных методов может обеспечить надежную аутентификацию, с каждым из них связаны проблемы. Если человек хотел выдать себя за кого-то другого в системе, он может угадать или узнать пароль другого пользователя либо украсть или сфабриковать токены. Каждый метод также имеет недостатки для законных пользователей и системных администраторов: пользователи забывают пароли и могут потерять токены, а административные издержки на отслеживание идентификационных и авторизационных данных и токенов могут быть значительными. Биометрические системы также имеют серьезные технические проблемы, проблемы приемлемости для пользователей и затрат.

Примеры средств управления идентификацией и аутентификацией включают в себя: идентификацию и аутентификацию устройства, управление идентификаторами, управление аутентификатором, обратную связь с аутентификатором и повторную аутентификацию.

Организации: (i) идентифицируют пользователей системы, процессы, действующие от имени пользователей или устройств, и (ii) аутентифицируют или проверяют идентичность этих пользователей, процессов или устройств в качестве предварительного условия для предоставления доступа к системам организации.

10.8 Индивидуальное участие (IP)

Взаимодействие с людьми, информация которых обрабатывается системой, является важным аспектом защиты конфиденциальности и разработки надежных систем. Функционирование системы может оказывать значительное влияние на качество жизни людей и их способность быть независимыми личностями. Эффективное взаимодействие может помочь снизить эти риски и предотвратить ряд проблем. 

Например, люди могут чувствовать, что система наблюдает за ними, что может оказывать сдерживающее воздействие на обычное поведение или заставлять их неожиданным образом изменять свое взаимодействие с системой. Они могут считать, что информация была присвоена - или использована для получения прибыли или организационной выгоды без их разрешения или достаточной экономической выгоды. Исключение доступа к информации может повлиять на качество данных, что может привести к принятию неблагоприятных решений в отношении пользователей, включая несоответствующие ограничения доступа к продуктам или услугам или другие виды дискриминации.

Элементы управления индивидуальным участием предназначены для взаимодействия пользователей с системой, чтобы они могли делать надежные предположения о том, как система обрабатывает информацию о них. Кроме того, эти элементы управления создают точки соприкосновения, чтобы пользователи могли лучше взаимодействовать с системой и управлять своей информацией. Пользователи, которые имеют возможность участвовать в принятии решений об обработке своей информации, с большей вероятностью будут доверять системе и конструктивно взаимодействовать с ней. Кроме того, предоставление пользователям возможности исправлять неточную информацию может улучшить работу системы и защитить этих пользователей от проблем, возникающих в результате действий системы, основанных на обработке неточной информации.

Благодаря элементам управления индивидуальным участием организации уведомляют людей об обработке их PII. Эти средства контроля также, когда это уместно, привлекают людей в качестве активных участников процесса принятия решений в отношении их PII посредством доступа к информации и вариантов согласия и предоставляют им возможность исправлять или изменять их PII с помощью соответствующих механизмов возмещения.

Примеры контроля индивидуального участия включают: согласие, возмещение ущерба, уведомление о конфиденциальности, положения закона о конфиденциальности для федеральных агентств и индивидуальный доступ.

Организации: (i) запрашивают согласие на обработку PII; (ii) предоставляют доступ к PII и возможности возмещения для отдельных лиц, чтобы изменить или исправить PII; и (iii) уведомляют физических лиц об обработке PII.

10.9 Реагирование на инциденты (IR)

Системы подвержены широкому спектру угроз, от поврежденных файлов данных до вирусов и стихийных бедствий. Уязвимость по отношению к некоторым событиям угроз может быть уменьшена за счет наличия соответствующих стандартных рабочих процедур, которым можно следовать в случае инцидента. Например, часто возникающие события, такие как ошибочное удаление файла, обычно можно исправить путем восстановления из файла резервной копии. События с более серьезными угрозами, такие как отключения, вызванные стихийными бедствиями, обычно рассматриваются в плане действий организации в чрезвычайных ситуациях.

События угроз также могут быть результатом вируса, другого вредоносного кода или системного злоумышленника (внутреннего или внешнего). В более общем плане они могут относиться к тем инцидентам, которые могут привести к серьезным повреждениям без реакции технических экспертов. Примером события угрозы, которое потребует немедленного технического реагирования, может быть организация, столкнувшаяся с атакой типа «отказ в обслуживании». Этот вид атаки потребует быстрых действий со стороны группы реагирования на инциденты, чтобы уменьшить влияние, которое атака окажет на организацию. Определение события угрозы довольно гибкое и может варьироваться в зависимости от организации и вычислительной среды.

Хотя угрозы, которые хакеры и вредоносный код представляют для систем и сетей, хорошо известны, возникновение таких вредоносных событий остается непредсказуемым. Инциденты безопасности в более крупных сетях (например, в Интернете), такие как взломы и сбои в обслуживании, нанесли ущерб вычислительным возможностям различных организаций. При первоначальном столкновении с такими инцидентами большинство организаций реагируют на них нерегулярно. Однако повторение подобных инцидентов может сделать рентабельным разработку стандартных возможностей для быстрого обнаружения таких событий и реагирования на них. Это особенно верно, поскольку инциденты часто могут «распространяться», если их не остановить, что приводит к эскалации ущерба и серьезному ущербу для организации.

Обработка инцидентов тесно связана с планированием действий в чрезвычайных ситуациях. Возможность обработки инцидентов может рассматриваться как компонент планирования на случай непредвиденных обстоятельств, поскольку она позволяет быстро и эффективно реагировать на сбои в нормальной обработке. Вообще говоря, планирование на случай непредвиденных обстоятельств рассматривает события, которые могут прервать работу системы. Обработку инцидентов можно рассматривать как ту часть планирования на случай непредвиденных обстоятельств, которая предназначена специально для реагирования на злонамеренные технические угрозы. Для получения дополнительной информации о реагировании на инциденты см. NIST SP 800-61, Руководство по обработке инцидентов компьютерной безопасности.

Примеры средств управления реагированием на инциденты включают: обучение реагированию на инциденты, тестирование реакции на инциденты, обработку инцидентов, мониторинг инцидентов и отчетность об инцидентах.

Организации: (i) создают возможность обработки операционных инцидентов для организационных систем, которая включает в себя адекватную подготовку, обнаружение, анализ, локализацию, восстановление и действия пользователя по реагированию; и (ii) отслеживают, документируют и сообщают об инцидентах соответствующим должностным лицам и/или властям организации.

10.10 Техническое обслуживание (MA)

Чтобы поддерживать системы в хорошем рабочем состоянии и минимизировать риски, связанные с отказами оборудования и программного обеспечения, крайне важно, чтобы организации установили процедуры для обслуживания организационных систем. Есть много разных способов удовлетворения этих требований к обслуживанию.

Контролируемое обслуживание системы - это обслуживание, которое планируется и выполняется в соответствии со спецификациями производителя. Техническое обслуживание, выполняемое вне запланированного цикла, известное как корректирующее обслуживание, происходит, когда система выходит из строя или создает состояние ошибки, которое необходимо исправить, чтобы вернуть систему в рабочее состояние. Техническое обслуживание может выполняться локально или нелокально. Нелокальное обслуживание - это любое обслуживание или диагностика, выполняемая людьми, общающимися через внутреннюю или внешнюю сеть (например, Интернет).

Примеры средств контроля технического обслуживания включают: контролируемое обслуживание, инструменты обслуживания, нелокальное обслуживание, обслуживающий персонал и своевременное обслуживание.

Организации: (i) выполняют периодическое и своевременное обслуживание организационных систем; и (ii) обеспечивают эффективный контроль инструментов, методов, механизмов и персонала, используемых для обслуживания системы.

10.11 Защита медиа (MP)

Защита носителей - это средство управления, направленное на защиту системных носителей, которые можно охарактеризовать как цифровые, так и нецифровые. Примеры цифровых носителей включают: дискеты, магнитные ленты, внешние/съемные жесткие диски, флэш-накопители, компакт-диски и цифровые видеодиски. Примеры нецифровых носителей включают бумагу или микрофильмы.

Средства защиты носителей могут ограничить доступ и сделать носители доступными только для уполномоченного персонала, применить метки безопасности к конфиденциальной информации и предоставить инструкции о том, как удалить информацию с носителя, чтобы информация не могла быть извлечена или восстановлена. Защита носителей также включает физический контроль системных носителей и обеспечение подотчетности, а также ограничение мобильных устройств, способных хранить и передавать информацию в или за пределы ограниченных областей.

Примеры средств управления защитой мультимедиа включают: доступ к мультимедиа, маркировку мультимедиа, хранение мультимедиа, транспортировку мультимедиа и очистку мультимедиа.

Организации: (i) защищают системные носители, как бумажные, так и цифровые; (ii) ограничить доступ к информации на системных носителях только авторизованным пользователям; и (iii) дезинфицируют или уничтожают системные носители перед утилизацией или выпуском для повторного использования.

10.12 Авторизация конфиденциальности (PA)

Чтобы лучше защитить частную жизнь людей и ограничить проблемы, возникающие в результате обработки их информации системой, организации должны иметь четкое обоснование для сбора, использования, обслуживания и обмена информацией, позволяющей установить личность (PII). Чрезмерно широкий сбор и поддержание информации может создать потенциальные уязвимости в системе безопасности или допустить внутренние злоупотребления или расширенное использование, выходящее за рамки конфиденциальности. Люди могут подвергнуться стигматизации из-за разглашения их информации или пострадать от кражи личных данных. Третьи стороны, которым передается информация, могут игнорировать цель или контекст, в котором собирается информация, и использовать эту информацию таким образом, чтобы это противоречило интересам частных лиц. В результате люди могут потерять доверие к этим системам, что может привести к отказу от новых технологий или угрозе их внедрения, даже если они предназначены для улучшения доступа к общественным услугам.

Организациям может потребоваться соблюдать внешние законы или нормативные акты, а также внутреннюю политику, относящуюся к обработке PII. Средства управления авторизацией конфиденциальности помогают организации гарантировать, что она обрабатывает PII только теми способами, для которых у нее есть полномочия и ясные цели для этого. Эта гарантия облегчает подотчетность организации за соблюдение соответствующих политик и сводит к минимуму потенциальные издержки несоблюдения и репутационный ущерб. Документирование этой информации также помогает людям понять, как система обрабатывает их PII.

Примеры средств управления авторизацией конфиденциальности включают: полномочия на сбор, определение цели и обмен информацией с внешними сторонами.

Организации: (i) определяют правовые основы, разрешающие использование, обслуживание и совместное использование сбора конкретной информации, позволяющей установить личность (PII); (ii) указывают в своих уведомлениях цель (цели), для которых собирается PII; и (iii) управляют передачей PII внешним сторонам.

10.13 Физическая защита и защита среды (PE)

Термин «физическая безопасность и безопасность среды» относится к мерам, принятым для защиты систем, зданий и соответствующей вспомогательной инфраструктуры от угроз, связанных с их физической средой. Физический контроль и контроль окружающей среды охватывают три широкие области:

1. Физическим объектом обычно является здание, другое строение или транспортное средство, в котором размещены компоненты системы и сети. Системы могут быть охарактеризованы как статические, мобильные или переносные в зависимости от их рабочего места. Статические системы устанавливаются в конструкциях в фиксированных местах. Мобильные системы устанавливаются в транспортных средствах, которые выполняют функцию конструкции, но не в фиксированном месте. Переносные системы могут работать в самых разных местах, включая здания, транспортные средства или на открытом воздухе. Физические характеристики этих конструкций и транспортных средств определяют уровень физических угроз, таких как пожар, протечки крыши или несанкционированный доступ.

2. Общее географическое расположение объекта определяет характеристики природных угроз, включая землетрясения и наводнения; антропогенные угрозы, такие как кража со взломом, гражданские беспорядки или перехват передач и излучений; и разрушительную деятельность поблизости, включая разливы токсичных химикатов, взрывы, пожары и электромагнитные помехи от источников излучения (например, радаров).

3. Вспомогательные средства - это те службы (как технические, так и человеческие), которые поддерживают работу системы. Работа системы обычно зависит от вспомогательных средств, таких как электроэнергия, отопление и кондиционирование воздуха, а также телекоммуникации. Отказ или некачественная работа этих средств может нарушить работу системы и вызвать физическое повреждение системного оборудования или хранимых данных.

Примеры физического и экологического контроля включают в себя: авторизацию физического доступа, контроль физического доступа, мониторинг физического доступа, аварийное отключение, аварийное питание, аварийное освещение, альтернативное рабочее место, утечку информации, а также мониторинг и отслеживание активов.

Организации: (i) ограничивают физический доступ к системам, оборудованию и соответствующим операционным средам только уполномоченным лицам; (ii) защищают физическое оборудование и вспомогательную инфраструктуру для систем; (iii) обеспечивают вспомогательных коммунальных услуг для систем; (iv) защищают системы от вредных воздействий окружающей среды; и (v) обеспечивают соответствующий экологический контроль на объектах, содержащих системы.

10.14 Планирование (PL)

Системы все чаще играют стратегическую роль в организации. Они помогают организациям в выполнении их повседневной деятельности и способствуют принятию решений. При правильном планировании системы могут обеспечить уровень безопасности, соизмеримый с риском, связанным с работой системы, повысить продуктивность и производительность, а также предоставить новые способы управления и организации. Планирование систем имеет решающее значение для разработки и реализации целей организации в области информационной безопасности.

Планы обеспечения безопасности системы (SSP) разработаны для обеспечения обзора требований безопасности системы и того, как средства управления безопасностью и улучшения управления соответствуют этим требованиям безопасности. Наличие одного только контроля безопасности не гарантирует общей защиты системы. Организациям также необходимо разрабатывать, документировать и распространять способы реализации этих средств управления, правила, описывающие ответственность пользователей и то, как организация управляет системой с точки зрения информационной безопасности.

Примеры управления планированием включают: план безопасности системы, правила поведения, концепцию безопасности операций, архитектуру информационной безопасности и центральное управление.

Организации: разрабатывают, документируют, периодически обновляют и внедряют планы безопасности для организационных систем, которые описывают существующие или запланированные меры безопасности для системы, а также правила поведения для лиц, осуществляющих доступ к системам.

10.15 Управление программами (PM)

Системы и информация, которую они обрабатывают, имеют решающее значение для способности многих организаций выполнять свои миссии и бизнес-функции. Логично, что руководители рассматривают безопасность системы как проблему управления и стремятся защитить ресурсы информационных технологий своей организации, как и любой другой ценный актив. Чтобы сделать это эффективно, требуется разработка комплексного подхода к управлению.

Многие программы безопасности, распределенные по всей организации, содержат разные элементы, выполняющие различные функции. Хотя у этого подхода есть свои преимущества, распределение функций безопасности системы во многих организациях носит случайный характер, обычно основанный на истории (то есть, кто был доступен в организации и что делать, когда возникла необходимость). В идеале распределение функций безопасности системы является результатом спланированной и интегрированной философии управления.

Управление безопасностью системы на нескольких уровнях имеет свои преимущества. Каждый уровень вносит свой вклад в общую программу безопасности системы, обладая разным опытом, полномочиями и ресурсами. В целом, должностные лица более высокого уровня (например, в штаб-квартире, на уровне подразделений в агентстве, описанном выше) лучше понимают организацию в целом и имеют больше полномочий. С другой стороны, должностные лица более низкого уровня (например, на уровне системных средств и приложений) более знакомы с конкретными техническими и процедурными требованиями и проблемами систем и пользователей. Уровни управления программой безопасности системы дополняют друг друга; каждый может помочь другому быть более эффективным.

Примеры средств управления программами включают: план программы информационной безопасности, ресурсы информационной безопасности, план действий и этапный процесс, инвентаризацию системы, архитектуру предприятия, стратегию управления рисками, программу внутренних угроз и программу осведомленности об угрозах.

10.16 Безопасность персонала (PS)

Пользователи играют жизненно важную роль в защите системы, поскольку многие важные вопросы информационной безопасности затрагивают пользователей, проектировщиков, разработчиков и менеджеров. То, как эти люди взаимодействуют с системой, и уровень доступа, который им необходим для выполнения своей работы, также могут повлиять на состояние безопасности системы. Практически ни одна система не может быть защищена без должного внимания к этим аспектам безопасности персонала.

Безопасность персонала направлена на минимизацию риска, который персонал (постоянный, временный или подрядчик) представляет для активов организации в результате злонамеренного использования или эксплуатации их законного доступа к ресурсам организации. На статус и репутацию организации могут негативно повлиять действия ее сотрудников. Сотрудники могут иметь доступ к чрезвычайно важной, конфиденциальной или служебной информации, раскрытие которой может разрушить репутацию организации или нанести ей финансовый ущерб. Следовательно, организации должны проявлять бдительность при приеме на работу и найме новых сотрудников, а также при переводе сотрудника или его увольнении. Чувствительный характер и ценность активов организации требуют всесторонних мер безопасности персонала.

Примеры кадрового контроля включают: отбор персонала, увольнение персонала, перевод персонала, соглашения о доступе и санкции к персоналу.

Организации: (i) гарантируют, что лица, занимающие ответственные должности в организациях (включая сторонних поставщиков услуг), заслуживают доверия и соответствуют установленным критериям безопасности для этих должностей; (ii) обеспечивают защиту информации и систем организации во время и после таких действий персонала, как увольнение и перевод; и (iii) применяют формальные санкции к персоналу, не соблюдающему политику и процедуры безопасности организации.

10.17 Оценка риска (RA)

Организации зависят от информационных технологий и связанных с ними систем для успешного выполнения своих задач. Хотя растущее количество продуктов информационных технологий, используемых в различных организациях и отраслях, может быть полезным, в некоторых случаях они также могут представлять серьезные угрозы, которые могут отрицательно повлиять на системы организации, используя как известные, так и неизвестные уязвимости. Использование уязвимостей в организационных системах может поставить под угрозу конфиденциальность, целостность или доступность информации, обрабатываемой, хранимой или передаваемой этими системами.

Выполнение оценки риска является одним из четырех компонентов управления рисками, как описано в NIST SP 800-39. При оценке рисков выявляются и устанавливаются приоритеты рисков для операций, активов, отдельных лиц, других организаций и страны, которые могут возникнуть в результате работы системы. Оценки рисков, которые могут проводиться на всех трех уровнях иерархии управления рисками, информируют лиц, принимающих решения, и поддерживают реагирование на риски путем выявления (i) соответствующих угроз организациям или угроз, направленных через организации против других организаций; (ii) уязвимости как внутренние, так и внешние по отношению к организациям; (iii) воздействие (т. е. вред) на организации, которое может иметь место с учетом потенциала угроз, использующих уязвимости; и (iv) вероятность причинения вреда. Для получения дополнительной информации об оценке риска см. NIST SP 800-30.

Примеры средств контроля оценки риска включают: категоризацию безопасности, оценку риска, сканирование уязвимостей и обзор контрмер технического наблюдения.

Организации: периодически оценивают риски для операций организации (например, миссии, функций, имиджа, репутации), активов организации и отдельных лиц, которые могут возникнуть в результате работы систем организации и связанной с ней обработки, хранения или передачи информации организации.

10.18 Приобретение системы и услуг (SA)

Как и в случае с другими аспектами систем обработки информации, безопасность наиболее эффективна и действенна, если она планируется и управляется на протяжении всего жизненного цикла системы, от начального планирования до проектирования, внедрения, эксплуатации и утилизации. Многие связанные с безопасностью события и анализы происходят в течение жизненного цикла системы, который начинается с приобретения организацией необходимых инструментов и услуг. Эффективная интеграция требований безопасности в архитектуру предприятия также помогает гарантировать, что важные соображения безопасности учтены на раннем этапе SDLC и что эти соображения напрямую связаны с миссией/бизнес-процессами организации.

SSP могут быть разработаны для системы на любом этапе жизненного цикла. Однако для минимизации затрат и предотвращения сбоев в текущих операциях рекомендуется включать план в начало жизненного цикла системы. Добавление функций безопасности в систему значительно дороже, чем их включение с самого начала. Важно обеспечить соответствие требований безопасности изменениям в вычислительной среде, технологиях и персонале.

Примеры средств управления приобретением системы и услуг включают: распределение ресурсов, процесс приобретения, системную документацию, защиту цепочки поставок, надежность, анализ критичности, обучение, предоставляемое разработчиком, аутентичность компонентов и проверку разработчиков.

Организации: (i) выделяют достаточные ресурсы для адекватной защиты организационных систем; (ii) используют процессы SDLC, которые включают соображения информационной безопасности; (iii) применяют ограничения на использование и установку программного обеспечения; и (iv) гарантируют, что сторонние поставщики применяют адекватные меры безопасности для защиты информации, приложений и/или услуг, переданных на аутсорсинг от организации.

10.19 Защита системы и коммуникаций (SC)

Средства управления защитой системы и связи обеспечивают ряд мер безопасности для системы. Некоторые элементы управления в этом семействе касаются конфиденциальности и целостности информации в состоянии покоя и при передаче. Эти средства управления могут обеспечивать защиту конфиденциальности и целостности с помощью физических или логических средств. Например, организация может обеспечить физическую защиту путем разделения определенных функций на отдельные серверы, каждый из которых имеет свой собственный набор IP-адресов.

Организации могут лучше защитить свою информацию, разделив функции пользователя и функции управления системой. Обеспечение этого типа защиты предотвращает представление функций, связанных с управлением системой, на интерфейсе для непривилегированных пользователей. Защита системы и коммуникаций также устанавливает границы, которые ограничивают доступ к общедоступной информации внутри системы. Используя защиту границ, организация может отслеживать и контролировать коммуникации на внешних границах, а также на ключевых внутренних границах внутри системы.

Примеры средств управления защитой системы и связи включают: разделение приложений, защиту от отказа в обслуживании, защиту границ, доверенный путь, мобильный код, аутентичность сеанса, тонкие узлы, приманки, конфиденциальность и целостность передачи, безопасность операций, защиту информации в состоянии покоя и при передаче. , и ограничения на использование.

Организации: (i) отслеживают, контролируют и защищают организационные коммуникации (т. е. информацию, передаваемую или получаемую организационными системами) на внешних границах и ключевых внутренних границах систем; и (ii) используют архитектурные проекты, методы разработки программного обеспечения и принципы системной инженерии, которые способствуют эффективной информационной безопасности в рамках организационных систем.

10.20 Целостность системы и информации (SI)

Целостность определяется как защита от ненадлежащего изменения или уничтожения информации и включает в себя обеспечение неопровержимости и достоверности информации. Это утверждение, что данные могут быть доступны или изменены только уполномоченным персоналом. Целостность системы и информации обеспечивает уверенность в том, что информация, к которой осуществляется доступ, не была повреждена или повреждена ошибкой в системе.

Примеры средств контроля целостности системы и информации включают: устранение недостатков, защиту от вредоносного кода, проверку функций безопасности, проверку ввода информации, обработку ошибок, непостоянство и защиту памяти.

Организации: (i) своевременно выявляют, сообщают и исправляют недостатки информации и системы; (ii) обеспечивают защиту от вредоносного кода в соответствующих местах в рамках организационных систем; и (iii) отслеживают предупреждения и рекомендации системы безопасности и надлежащим образом реагируют.


Читайте также


Комментарии 0