Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

VPS в России, Европе и США

Бесплатная поддержка и администрирование

Оплата российскими и международными картами

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

2006 г.

Категорирование информации и информационных систем. Обеспечение базового уровня информационной безопасности

Владимир Антонович Галатенко (доктор физико-математических наук)
Информационный бюллетень JET INFO

Назад Оглавление Вперёд

Минимальные (базовые) требования безопасности

Минимальные (базовые) требования безопасности формулируются в общем виде, без учета категории, присвоенной ИС. Они задают базовый уровень информационной безопасности, им должны удовлетворять все информационные системы. Результаты категорирования важны при выборе регуляторов безопасности, обеспечивающих выполнение требований, сформулированных на основе анализа рисков (Рис. 2).

Минимальные требования безопасности (Рис. 3) охватывают административный, процедурный и программно-технический уровни ИБ и формулируются следующим образом.

  • Организация должна разработать, документировать и обнародовать официальную политику безопасности и формальные процедуры, направленные на выполнение приведенных ниже требований, и обеспечить эффективную реализацию политики и процедур.
  • В компании необходимо периодически производить оценку рисков, включая оценку угроз миссии, функционированию, имиджу и репутации организации, ее активам и персоналу. Эти угрозы являются следствием эксплуатации ИС и осуществляемых при этом обработки, хранения и передачи данных.
  • Применительно к закупке систем и сервисов в компании необходимо:

    • выделить достаточный объем ресурсов для адекватной защиты ИС;
    • при разработке систем учитывать требования ИБ;
    • ограничивать использование и установку программного обеспечения;
    • обеспечить выделение внешними поставщиками услуг достаточных ресурсов для защиты информации, приложений и/или сервисов.
  • В области сертификации, аккредитации и оценки безопасности в организации следует проводить:

    • постоянный мониторинг регуляторов безопасности, чтобы иметь доверие к их эффективности;
    • периодическую оценку регуляторов безопасности, применяемых в ИС, чтобы контролировать их эффективность;
    • разработку и претворение в жизнь плана действий по устранению недостатков и уменьшению или устранению уязвимостей в ИС;
    • авторизацию введения в эксплуатацию ИС и установление соединений с другими информационными системами.
  • В области кадровой безопасности необходимо:

    • обеспечить надежность (доверенность) должностных лиц, занимающих ответственные посты, а также соответствие этих лиц предъявляемым к данным должностям требованиям безопасности;
    • обеспечить защиту информации и информационной системы при проведении дисциплинарных акций, таких как увольнение или перемещение сотрудников;
    • применять соответствующие официальные санкции к нарушителям политики и процедур безопасности.
  • Организация должна обеспечить информирование и обучение сотрудников:

    • чтобы руководители и пользователи ИС знали о рисках, связанных с их деятельностью, и о соответствующих законах, нормативных актах, руководящих документах, стандартах, инструкциях и т.п.;
    • чтобы персонал имел должную практическую подготовку для выполнения обязанностей, связанных с информационной безопасностью.
  • В области планирования необходимо разработать, документировать, периодически изменять и реализовать планы обеспечения безопасности ИС, описывающие регуляторы безопасности (имеющиеся и планируемые) и правила поведения персонала, имеющего доступ к ИС.
  • С целью планирования бесперебойной работы в компании следует установить, поддерживать и эффективно реализовать планы реагирования на аварийные ситуации, резервного копирования, восстановления после аварий, чтобы обеспечить доступность критичных информационных ресурсов и непрерывность функционирования в аварийных ситуациях.
  • В плане реагирования на нарушения информационной безопасности организация должна:

    • создать действующую структуру для реагирования на инциденты, имея в виду адекватные подготовительные мероприятия, выявление, анализ и локализацию нарушений, восстановление после инцидентов и обслуживание обращений пользователей;
    • обеспечить прослеживание, документирование и сообщение об инцидентах соответствующим должностным лицам организации и уполномоченным органам.
  • С целью физической защиты организация должна:

    • предоставлять физический доступ к ИС, оборудованию, в производственные помещения только авторизованному персоналу;
    • физически защищать оборудование и поддерживающую инфраструктуру ИС;
    • обеспечить должные технические условия для функционирования ИС;
    • защищать ИС от угроз со стороны окружающей среды;
    • обеспечить контроль условий, в которых функционирует ИС;
    • обеспечить управление доступом, предоставив доступ к активам ИС только авторизованным пользователям, процессам, действующим от имени этих пользователей, а также устройствам (включая другие ИС) для выполнения разрешенных пользователям транзакций и функций.
  • Для обеспечения протоколирования и аудита необходимо:

    • создавать, защищать и поддерживать регистрационные журналы, позволяющие отслеживать, анализировать, расследовать и готовить отчеты о незаконной, несанкционированной или ненадлежащей активности;
    • обеспечить прослеживаемость действий в ИС с точностью до пользователя (подотчетность пользователей).
  • В плане управления конфигурацией в компании следует:

    • установить и поддерживать базовые конфигурации;
    • иметь опись (карту) ИС, актуализируемую с учетом жизненного цикла, в которую входят аппаратура, программное обеспечение и документация;
    • установить и обеспечить практическое применение настроек для конфигурирования средств безопасности в продуктах, входящих в ИС.
  • В области идентификации и аутентификации необходимо обеспечить идентификацию и аутентификацию пользователей ИС, процессов, действующих от имени пользователей, а также устройств как необходимое условие предоставления доступа к ИС.

Кроме того, необходимо:

  • Применительно к сопровождению:

    • осуществлять периодическое и своевременное обслуживание ИС;
    • обеспечить эффективные регуляторы для средств, методов, механизмов и персонала, осуществляющих сопровождение.
  • Для защиты носителей:

    • защищать носители данных как цифровые, так и бумажные;
    • предоставлять доступ к данным на носителях только авторизованным пользователям;
    • санировать или уничтожать носители перед выводом из эксплуатации или перед передачей для повторного использования.
  • С целью защиты систем и коммуникаций:

    • отслеживать, контролировать и защищать коммуникации (то есть передаваемые и принимаемые данные) на внешних и ключевых внутренних границах ИС;
    • применять архитектурные и аппаратно-программные подходы, повышающие действующий уровень информационной безопасности ИС.
  • Для обеспечения целостности систем и данных:

    • своевременно идентифицировать дефекты ИС и данных, докладывать о них и исправлять;
    • защищать ИС от вредоносного программного обеспечения;
    • отслеживать сигналы о нарушениях безопасности и сообщения о новых угрозах для информационной системы и должным образом реагировать на них.

Назад Оглавление Вперёд

Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...