— не отображать пароли на экране при их вводе;
— хранить файлы паролей отдельно от прикладных системных данных;
— хранить и передавать пароли в защищенной форме.
Ограничение доступа к информации
Меры и средства
Доступ к информации и прикладным функциям системы должен ограничиваться в соответствии с правилами разграничения доступа.
Рекомендации по реализации
Ограничения доступа должно базироваться на индивидуальных требованиях бизнес-приложений в соответствии с определенными правилами разграничения доступа.
Для обеспечения ограничения доступа необходимо рассмотреть следующее:
— создание пунктов меню управления доступом к прикладным функциям системы;
— контроль, к каким данным может получить доступ конкретный пользователь;
— контроль прав доступа пользователей, например, чтение, запись, удаление, изменение;
— контроль прав доступа других прикладных программ;
— ограничение информации, содержащейся в выходных данных;
— внедрение мер защиты физического или логического доступа для изоляции чувствительных прикладных программ, прикладных данных или систем.
Использование системного программного обеспечения
Меры и средства
Использование системного программного обеспечения (далее — ПО), способного обойти меры защиты системы и приложения, должно быть ограничено и строго контролироваться.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации:
— использование процедур идентификации, аутентификации и авторизации для системного ПО;
— отделение системного ПО от прикладного;
— ограничение использования системного ПО минимальным числом доверенных авторизованных пользователей;
— авторизация на специальное использование системного ПО;
— ограничение доступности системного ПО, например, на время внесения санкционированных изменений;
— регистрация всех использований системного ПО;
— определение и документирование уровней полномочий в отношении системного ПО;
— удаление или блокирование ненужного системного ПО;
— запрет доступа к системному ПО для пользователей, имеющих доступ к приложениям в системах, где требуется разделение обязанностей.
Контроль доступа к исходному коду программы
Меры и средства
Доступ к исходному коду программы должен быть ограничен.
Рекомендации по реализации
Доступ к исходному коду программы и связанным с ним элементам (таким как оформление, рекомендации, планы проверки и планы утверждения) должны четко контролироваться для предотвращения появления несанкционированной функциональности и избежания неумышленных изменений, а также для конфиденциальности интеллектуальной собственности. Это можно достигнуть путем контролируемого централизованного хранения исходного кода программы, желательно в библиотеках исходного кода программ.
Чтобы снизить возможность искажения компьютерных программ, необходимо рассмотреть следующие рекомендации:
— по возможности, следует избегать хранения библиотек исходного кода программ в операционных системах;
— управление исходным кодом программы и его библиотеками следует осуществлять в соответствии с установленными процедурами;
— персонал поддержки не должен иметь неограниченный доступ к библиотекам исходного кода программ;
— обновление библиотек исходного кода программ и связанных с ним элементов, а также предоставление исходного кода программистам должны осуществляться только после получения ими соответствующих полномочий;
— распечатки (листинги) программ следует хранить в безопасной среде;
— в журнале аудита должны фиксироваться все обращения к библиотекам исходного кода программ;
— поддержку и копирование библиотек исходного кода программ следует осуществлять в соответствии с четкими процедурами контроля изменений.
Если исходный код программы необходимо опубликовать, должны быть приняты дополнительные меры защиты его целостности (например, цифровая подпись).
6. Криптография
6.1. Средства криптографии
Цель: Обеспечить корректное и эффективное использование криптографии для защиты конфиденциальности, достоверности и/или целостности информации.
Управление средствами криптографии определяют следующие составляющие:
— политика использования средств криптографии;
— управление ключами.
Политика использования средств криптографии
Меры и средства
Политика использования средств криптографии для защиты информации должна быть разработана и внедрена.
Рекомендации по реализации
При разработке политики криптографии необходимо учитывать следующее:
— позицию руководства по использованию средств криптографии во всей организации, включая общие принципы защиты бизнес-информации;
— основанный на оценке риска требуемый уровень защиты, который должен быть определен с учетом типа, стойкости и качества требуемого криптоалгоритма;
— использование шифрования для защиты нформации, передаваемой с помощью мобильных устройств или сменных носителей или по линиям связи;
— подход к управлению ключами, включающему методы по защите криптоключей и восстановлению зашифрованной информации в случае потери, компрометации или повреждения ключей;
— роли и ответственности, например, кто отвечает за:
• внедрение политики;
• управление ключами, включая генерацию ключей;
— стандарты, которые должны быть приняты для эффективной реализации во всей организации (какое решение используется для каких бизнес-процессов);
— влияние использования зашифрованной информации на меры защиты, предназначенные для проверки содержимого (например, обнаружения вирусов).
При внедрении политики криптографии должны быть учтены правила и национальные ограничения, применяемые к использованию средств криптографии в разных частях мира и перемещению через границы зашифрованной информации.
Средства криптографии могут использоваться для достижения разных целей ИБ, например:
— конфиденциальности — шифрованием чувствительной или критичной информации как хранимой, так и передаваемой;
— целостности / достоверности — использованием цифровых подписей или кодов аутентификации сообщений для проверки целостности или аутентичности хранимой или передаваемой чувствительной или критичной информации;
— неотказуемости — использованием методов криптографии для получения подтверждения того, что событие или действие имело место;
— аутентификации — использованием методов криптографии для удостоверения пользователей и других системных объектов, запрашивающих доступ к системным пользователям, объектам и ресурсам или работающих с ними.
Выбор надлежащих средств криптографии должен рассматриваться как часть обширного процесса оценки риска и выбора мер защиты. Эта оценка может быть использована для определения соответствия средства криптографии, какой тип защиты надо применить и для какой цели и бизнес-процесса.
Политика использования средств криптографии необходима для обеспечения максимума преимуществ и минимума рисков от их использования, а также для предотвращения неправильного использования.
Управление ключами
Меры и средства
Политика использования, защиты и срока действия криптоключей должна быть разработана и внедрена на протяжении всего их жизненного цикла.
Рекомендации по реализации
Политика должна содержать требования по управлению криптоключами на протяжении всего их жизненного цикла, включая генерацию, хранение, архивирование, получение, распределение, изъятие и уничтожение ключей.
Криптоалгоритмы, длины ключа и правила использования должны выбираться, исходя из наилучшего практического опыта. Соответствующее управление ключами требует безопасных процессов для генерации, хранения, архивирования, получения, распределения, изъятия и уничтожения криптоключей.
Все криптоключи должны быть защищены от модификации и утери. Кроме того, секретный и личный ключи требуют защиты от несанкционированного использования, а также разглашения. Оборудование для генерации, хранения и архивирования ключей должно быть защищено физически.
Система управления ключами должна быть основана на согласованном множестве стандартов, процедур и безопасных методов для:
— генерации ключей для различных криптосистем и приложений;
— изготовления и получения сертификатов открытых ключей;
— рассылки ключей предполагаемым пользователям, включая обучение активации ключей после получения;
— хранения ключей, включая обучение авторизованных пользователей получению доступа к ключам;
— замены или обновления ключей, включая правила и сроки замены ключей;
— действий в отношении скомпрометированных ключей;
— аннулирования ключей, включая порядок изъятия и деактивации, например, при компрометации ключей или увольнении пользователя (в каком случае ключи должны быть также архивированы);
— восстановления ключей, которые были утеряны или испорчены;
— резервного копирования или архивирования ключей;
— уничтожения ключей;
— регистрации и аудита действий, связанных с управлением ключами.
Для снижения вероятности неправильного использования ключей их даты активации и деактивации должны быть определены таким образом, чтобы они использовались только на протяжении того времени, которое определено политикой управления ключами.
7. Физическая и экологическая безопасность
Физическую и экологическую безопасность определяют следующие составляющие:
— зоны безопасности;
— безопасность оборудования.
7.1. Зоны безопасности
Цель: Предотвратить несанкционированный физический доступ, повреждение и вмешательство в информацию и средства обработки информации.