Текст книги "Управление информационной безопасностью. Стандарты СУИБ"

6. Криптография

6.1. Средства криптографии

Цель: Обеспечить корректное и эффективное использование криптографии для защиты конфиденциальности, достоверности и/или целостности информации.

Управление средствами криптографии определяют следующие составляющие:

– политика использования средств криптографии;

– управление ключами.

Политика использования средств криптографии

Меры и средства

Политика использования средств криптографии для защиты информации должна быть разработана и внедрена.

Рекомендации по реализации

При разработке политики криптографии необходимо учитывать следующее:

– позицию руководства по использованию средств криптографии во всей организации, включая общие принципы защиты бизнес-информации;

– основанный на оценке риска требуемый уровень защиты, который должен быть определен с учетом типа, стойкости и качества требуемого криптоалгоритма;

– использование шифрования для защиты нформации, передаваемой с помощью мобильных устройств или сменных носителей или по линиям связи;

– подход к управлению ключами, включающему методы по защите криптоключей и восстановлению зашифрованной информации в случае потери, компрометации или повреждения ключей;

– роли и ответственности, например, кто отвечает за:

• внедрение политики;

• управление ключами, включая генерацию ключей;

– стандарты, которые должны быть приняты для эффективной реализации во всей организации (какое решение используется для каких бизнес-процессов);

– влияние использования зашифрованной информации на меры защиты, предназначенные для проверки содержимого (например, обнаружения вирусов).

При внедрении политики криптографии должны быть учтены правила и национальные ограничения, применяемые к использованию средств криптографии в разных частях мира и перемещению через границы зашифрованной информации.

Средства криптографии могут использоваться для достижения разных целей ИБ, например:

– конфиденциальности – шифрованием чувствительной или критичной информации как хранимой, так и передаваемой;

– целостности / достоверности – использованием цифровых подписей или кодов аутентификации сообщений для проверки целостности или аутентичности хранимой или передаваемой чувствительной или критичной информации;

– неотказуемости – использованием методов криптографии для получения подтверждения того, что событие или действие имело место;

– аутентификации – использованием методов криптографии для удостоверения пользователей и других системных объектов, запрашивающих доступ к системным пользователям, объектам и ресурсам или работающих с ними.

Выбор надлежащих средств криптографии должен рассматриваться как часть обширного процесса оценки риска и выбора мер защиты. Эта оценка может быть использована для определения соответствия средства криптографии, какой тип защиты надо применить и для какой цели и бизнес-процесса.

Политика использования средств криптографии необходима для обеспечения максимума преимуществ и минимума рисков от их использования, а также для предотвращения неправильного использования.

Управление ключами

Меры и средства

Политика использования, защиты и срока действия криптоключей должна быть разработана и внедрена на протяжении всего их жизненного цикла.

Рекомендации по реализации

Политика должна содержать требования по управлению криптоключами на протяжении всего их жизненного цикла, включая генерацию, хранение, архивирование, получение, распределение, изъятие и уничтожение ключей.

Криптоалгоритмы, длины ключа и правила использования должны выбираться, исходя из наилучшего практического опыта. Соответствующее управление ключами требует безопасных процессов для генерации, хранения, архивирования, получения, распределения, изъятия и уничтожения криптоключей.

Все криптоключи должны быть защищены от модификации и утери. Кроме того, секретный и личный ключи требуют защиты от несанкционированного использования, а также разглашения. Оборудование для генерации, хранения и архивирования ключей должно быть защищено физически.

Система управления ключами должна быть основана на согласованном множестве стандартов, процедур и безопасных методов для:

– генерации ключей для различных криптосистем и приложений;

– изготовления и получения сертификатов открытых ключей;

– рассылки ключей предполагаемым пользователям, включая обучение активации ключей после получения;

– хранения ключей, включая обучение авторизованных пользователей получению доступа к ключам;

– замены или обновления ключей, включая правила и сроки замены ключей;

– действий в отношении скомпрометированных ключей;

– аннулирования ключей, включая порядок изъятия и деактивации, например, при компрометации ключей или увольнении пользователя (в каком случае ключи должны быть также архивированы);

– восстановления ключей, которые были утеряны или испорчены;

– резервного копирования или архивирования ключей;

– уничтожения ключей;

– регистрации и аудита действий, связанных с управлением ключами.

Для снижения вероятности неправильного использования ключей их даты активации и деактивации должны быть определены таким образом, чтобы они использовались только на протяжении того времени, которое определено политикой управления ключами.

7. Физическая и экологическая безопасность

Физическую и экологическую безопасность определяют следующие составляющие:

– зоны безопасности;

– безопасность оборудования.

7.1. Зоны безопасности

Цель: Предотвратить несанкционированный физический доступ, повреждение и вмешательство в информацию и средства обработки информации.

Зоны безопасности определяют следующие составляющие:

– периметр физической безопасности;

– работа в зонах безопасности;

– зоны доставки и погрузки/разгрузки.

– управление физическим доступом;

– защита помещений и оборудования;

– защита от окружающей среды.

Периметр физической безопасности

Меры и средства

Периметры физической безопасности должны быть определены и использованы для защиты зон, содержащих чувствительную или критичную информацию или средства ее обработки.

Рекомендация по реализации

В отношении периметров физической безопасности необходимо рассматривать и реализовывать следующие рекомендации:

– должны быть определены периметры безопасности, а размещение и надежность каждого из периметров должны зависеть от требований безопасности активов, находящихся в пределах периметра, и результатов оценки риска;

– периметры здания или помещений, где расположены средства обработки информации, должны быть физически прочными (т.е. не должно быть никаких промежутков в периметре или мест, через которые можно было бы легко проникнуть);

внешние стены помещений должны иметь твердую конструкцию, а все внешние двери должны быть соответствующим образом защищены от несанкционированного доступа контрольными механизмами (например, шлагбаумом, сигнализацией, замками т.п.);

двери и окна помещений в отсутствие сотрудников должны быть заперты, и внешняя защита должна быть предусмотрена для окон, особенно если они находятся на уровне земли;

– должна существовать зона регистрации посетителей или другие меры для контроля физического доступа в помещения или здания; доступ в помещения и здания должен предоставляться только уполномоченному персоналу;

– должны быть установлены физические барьеры для предотвращения несанкционированного физического доступа и экологического загрязнения;

– все пожарные выходы в периметре безопасности должны оборудоваться аварийной сигнализацией, мониториться и тестироваться вместе со стенами, чтобы создать требуемый уровень устойчивости в соответствии с действующими стандартами;

– должны быть установлены необходимые системы обнаружения вторжения, соответствующие действующим стандартам, и регулярно тестироваться на предмет охвата всех внешних дверей и доступных окон, неохваченные зоны необходимо ставить на круглосуточную сигнализацию; охвачены должны быть также и такие зоны, как компьютерный кабинет или комнаты связи;

– необходимо физически изолировать средства обработки информации, управляемые организацией, от таких же средств, управляемых сторонними организациями.

Физическая безопасность может достигаться созданием одного или нескольких физических барьеров вокруг помещений и средств обработки информации организации. Использование множества барьеров дает дополнительную защиту, поскольку нарушение одного барьера не приводит к немедленной компрометации безопасности.

Зона безопасности может включать оффис или несколько помещений, окруженных общим внутренним физическим барьером безопасности. Внутри периметра безопасности могут потребоваться дополнительные барьеры и периметры контроля физического доступа между зонами с разными требованиями безопасности.

Специальное внимание надо уделить безопасности физического доступа в здания, содержащие активы многих организаций.

Работа в зонах безопасности

Меры и средства

Процедуры работы в зонах безопасности должны быть разработаны и внедрены.

Рекомендации по реализации

Необходимо рассмотреть следующие рекомендации:

– о существовании зоны безопасности и проводимых там работах персонал должен быть осведомлен только в случае необходимости;

– необходимо избегать неконтролируемой работы в зонах безопасности из соображений безопасности и предотвращения возможности злонамеренных действий;

– пустующие зоны безопасности необходимо физически запирать и периодически просматривать;

– использование фото-, видео-, аудио– и другого записывающего оборудования, такого как камеры мобильных устройств, должно быть запрещено, если только на это не получено специальное разрешение.

Соглашения о работе в зонах безопасности включает контроль работы сотрудников и представителей сторонних организаций в зоне безопасности, охватывающий все действия в этой зоне.

Зоны доставки и погрузки/разгрузки

Меры и средства

Такие места доступа, как зоны доставки и погрузки/разгрузки и другие, где посторонние лица могут попасть в помещения, должны контролироваться и, при возможности, изолироваться от средств обработки информации во избежание несанкционированного доступа.

Рекомендации по реализации

Необходимо рассмотреть следующие рекомендации:

– доступ к зоне доставки и погрузки/разгрузки из-вне здания должен быть ограничен только уполномоченным персоналом;

– зона доставки и погрузки/разгрузки не должна предоставлять персоналу поставщика при погрузке и разгрузке доступа к другим частям здания;

– должна быть обеспечена безопасность внешних дверей зоны доставки и погрузки/разгрузки в то время, когда внутренние двери открыты;

– поступающий материал должен быть проверен на наличие взрывчатки, химикатов и других вредных материалов прежде, чем будет вынесен из зоны доставки и погрузки/разгрузки;

– поступающий материал должен регистрироваться при въезде на площадку в соответствии с процедурами управления активами;

– по возможности, ввозимые и вывозимые грузы должны быть физически разделены;

– поступающий материал должен быть проверен на предмет фальсификации на маршруте. О выявлении такого факта необходимо немедленно доложить службе безопасности.

Управление физическим доступом

Меры и средства

Зоны безопасности должны быть защищены средствами контроля, обеспечивающими доступ только уполномоченного персонала.

Рекомендация по реализации

Следует принимать во внимание следующие рекомендации:

– дата и время входа и выхода посетителей должны регистрироваться, и всех посетителей необходимо сопровождать, за исключением случаев заблаговременного согласования;

доступ следует предоставлять только для выполнения определенных задач, а также необходимо инструктировать посетителей на предмет требований безопасности и действий в случае аварийных ситуаций;

идентификацию посетителей необходимо осуществлять надлежащим образом;

– доступ к зонам, где обрабатывается или хранится конфиденциальная информация, должен ограничиваться только уполномоченными лицами путем применения соответствующих средств контроля, например, механизма двухфакторной аутентификации, такого как карта доступа и секретный персональный идентификационный номер (PIN);

– необходимо вести и мониторить записи регистрации любого доступа в защищенном физическом и электронном контрольном журнале;

– необходимо требовать, чтобы все сотрудники, подрядчики и представители сторонних организаций носили ту или иную форму видимого идентификатора и незамедлительно уведомляли сотрудников службы безопасности о замеченных несопровождаемых посетителях и лицах, не носящих видимого идентификатора;

– доступ в зоны безопасности или к средствам обработки конфиденциальной информации персоналу служб поддержки сторонних организаций следует предоставлять только при необходимости; такой доступ должен быть санкционирован и мониториться;

– права доступа в зоны безопасности следует регулярно пересматривать, обновлять и аннулировать при необходимости.

Защита помещений и оборудования

Меры и средства

Физическая безопасность оффисов, помещений и оборудования должна быть спроектирована и внедрена.

Рекомендации по реализации

В отношении защиты оффисов, помещений и оборудования необходимо учитывать следующие рекомендации:

– ключевое оборудование должно быть расположено в местах, где ограничен доступ посторонних лиц;

– здания, по возможности, должны давать минимум информации об их предназначении, не должны иметь явных признаков снаружи и внутри, позволяющих установить наличие деятельности по обработке информации;

– оборудование должно иметь такую конфигурацию, чтобы исключить просматривание и прослушивание конфиденциальной информации в выходных данных; электромагнитное поле также надо рассмотреть соответствующим образом;

– справочники и внутренние телефонные книги, указывающие на местоположение средств обработки конфиденциальной информации, не должны быть доступными для посторонних лиц.

Защита от окружающей среды

Меры и средства

Физическая защита от стихийных бедствий, умышленных атак или общественных беспорядков должна быть спроектирована и внедрена.

Рекомендации по реализации

Следует проконсультироваться у специалиста по вопросу предотвращения ущерба от пожара, наводнения, землетрясения, взрыва, общественного беспорядка и других естественных и искусственных бедствий.

7.2. Безопасность оборудования

Цель: Предупредить потерю, порчу, хищение или компрометацию активов и прерывание деятельности организации.

Безопасность оборудования определяют следующие составляющие:

– размещение и защита оборудования;

– вспомогательное оборудование;

– кабельная безопасность;

– обслуживание оборудования.

– перемещение активов;

– безопасность активов вне территории организации;

– безопасное уничтожение активов;

– безопасность оборудования без присмотра;

– политика чистого рабочего стола и экрана.

Размещение и защита оборудования

Меры и средства

Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от внешних угроз и возможности несанкционированного доступа.

Рекомендации по реализации

Необходимо рассмотреть следующие рекомендации для защиты оборудования:

– оборудование следует размещать таким образом, чтобы свести к минимуму доступ в рабочие зоны;

– средства обработки информации, содержащей чувствительные данные, следует размещать таким образом, чтобы уменьшить риск просмотра информации посторонними лицами во время их работы;

– средства хранения следует защищать от несанкционированного доступа;

– для снижения общего уровня требуемой защиты необходимо выделить элементы, требующие специальной защиты;

– меры защиты должны быть внедрены таким образом, чтобы свести к минимуму риск физических и экологических угроз, например, хищение, пожар, взрывы, задымление, затопление, запыление, вибрация, химическое воздействие, помехи в линиях электроснабжения и коммуникаций, электромагнитное излучение и вандализм;

– необходимо установить правила приема пищи, питья и курения вблизи средств обработки информации;

– следует проводить мониторинг состояния окружающей среды по выявлению неблагоприятных условий, таких как температура и влажность, для функционирования средств обработки информации;

– на всех зданиях должна быть установлена защита от молнии, а на входе всех линий электроснабжения и коммуникации – фильтры защиты от молнии;

– оборудование, расположенное в промышленной среде, следует защищать специальными средствами, такими как защитные пленки для клавиатуры;

– оборудование, обрабатывающее конфиденциальную информацию, должно быть защищено от утечки информации из-за электромагнитного излучения.

Вспомогательное оборудование

Меры и средства

Оборудование должно быть защищено от сбоев электропитания и других нарушений, вызванных отказами в работе вспомогательного оборудования.

Рекомендации по реализации

Вспомогательное оборудование (например, связи, электро-, водо-, газоснабжения, канализации, вентиляции, кондиционирования) должно:

– соответствовать рекомендациям изготовителя оборудования и правовым требованиям;

– регулярно оцениваться на предмет поддержки развития бизнеса и взаимодействия с другим вспомогательным оборудованием;

– регулярно проверяться и тестироваться на предмет уверенности в их должном функционировании;

– при необходимости иметь сигнализацию выявления неисправности;

– при необходимости иметь несколько каналов с разной физической маршрутизацией.

Аварийные выключатели и краны электро-, водо-, газоснабжения и другого оборудования необходимо расположить около запасных выходов и помещений, в которых оно находится.

Дополнительное резервирование для сетевых коммуникаций может быть обеспечено по нескольким маршрутам более, чем от одного провайдера.

Кабельная безопасность

Меры и средства

Кабели электропитания и телекоммуникаций, поддерживающие обмен данными и информационные сервисы, должны быть защищены от перехвата, помехи или повреждения.

Рекомендации по реализации

Следует рассмотреть для кабельной безопасности следующие рекомендации:

– линии электропитания и телекоммуникаций средств обработки информации должны, по возможности, располагаться под землей или иметь адекватную альтернативную защиту;

– кабели электропитания и телекоммуникаций должны быть разделены, чтобы избежать взаимных помех;

– для чувствительных или критичных систем дальнейшие меры защиты должны включать:

• использование бронированного кабелепровода и закрытие комнат и боксов на контрольных и конечных точках;

• использование электромагнитного экранирования для защиты кабелей;

• проведение технических чисток и физических проверок кабелей на предмет подключения устройств перехвата;

• контроль доступа к коммутационным панелям и кабельным помещениям.

Обслуживание оборудования

Меры и средства

Оборудование должно правильно обслуживаться для обеспечения его непрерывной доступности и целостности.

Рекомендации по реализации

Следует рассмотреть для обслуживания оборудования следующие рекомендации:

– оборудование должно обслуживаться в соответствии с рекомендуемой поставщиком периодичностью и техническими регламентами;

– техническое обслуживание и ремонт оборудования должны проводиться только уполномоченным персоналом;

– следует хранить записи обо всех неисправностях и всех видах технического обслуживания;

– при планировании технического обслуживания необходимо учитывать, будет ли оно проводиться персоналом организации или за ее пределами; при необходимости, конфиденциальная информация из оборудования должна быть удалена, или специалисты по техническому обслуживанию должны иметь соответствующий допуск;

– все техническое обслуживание, предусмотренное полисом страховки, должно быть выполнено;

– перед введением оборудования в эксплуатацию после технического обслуживания оно должно быть проверено на наличие несанкционированных изменений и некорректной работы.

Перемещение активов

Меры и средства

Оборудование, информация или ПО не должны перемещаться за пределы организации без предварительного разрешения.

Рекомендации по реализации

Необходимо учитывать следующие рекомендации:

– сотрудники и представители сторонних организаций, имеющие право разрешать перемещение активов за пределы организации, должны быть определены;

– сроки отсутствия активов должны быть установлены и проверены на соответствие при их возврате;

– при необходимости факты перемещения активов за пределы организации и их возврата следует регистрировать;

– личность, роль и принадлежность кого-либо, кто обрабатывает или использует активы, должна быть задокументирована, и эта документация возвращена вместе с оборудованием, информацией или ПО.

Выборочные проверки для выявления несанкционированного перемещения активов могут также выявить несанкционированные записывающие устройства, оружие и т. п. и предотвратиь их ввоз или вывоз. Такие проверки должны проводиться в соответствии с действующим законодательством и нормативами. Лица, осуществляющие проверки, должны быть осведомлены о своих полномочиях, которые должны соответствовать правовым и нормативным требованиям.

Безопасность удаленных активов

Меры и средства

Безопасность удаленных активов, т.е. находящихся за пределами организации, должна быть обеспечена с учетом разнообразных рисков такой их эксплуатации.

Рекомендации по реализации

Использование удаленного оборудования для обработки и хранения информации должно быть санкционировано руководством. Это касается оборудования, являющегося собственностью организации, а также личного оборудования, которое используется от имени организации.

Необходимо учесть следующие рекомендации для защиты удаленных активов:

– оборудование и носители, вынесенные за пределы организации, не следует оставлять без присмотра в общедоступных местах;

– необходимо всегда соблюдать инструкции изготовителей по защите оборудования, например, по защите от воздействия сильных электромагнитных полей;

– следует определить и обеспечить соответствующие меры безопасности для удаленных мест, таких как работа на дому, удаленная работа и временные сайты, исходя из оценки риска, например, запираемые шкафы для хранения документов, политика чистого рабочего стола, защита доступа к компьютерам и защищенная связь с офисом;

– журнал регистрации фактов передачи удаленного оборудования между разными лицами и сторонними организациями должен содержать цепочки поставок оборудования, в том числе ответственных за оборудование лиц и организаций.

Риски, например, повреждения, хищения или подслушивания, могут быть разными для разных мест и должны учитываться при выборе наиболее подходящих мер защиты.

Оборудование для обработки и хранения информации включает в себя все виды персональных компьютеров, органайзеров, мобильных телефонов, смарт-карт, бумаги или другие виды, используемые для работы на дому или выносимые за пределы организации.

Предотвращению риска может способствовать запрет удаленной работы или использования портативного ИТ оборудования для определенных сотрудников.

Безопасное уничтожение оборудования

Меры и средства

Все элементы оборудования, содержащие носители информации, перед уничтожением или повторным использованием должны быть проверены на предмет уничтожения или безопасной перезаписи чувствительных данных и лицензионного ПО.

Рекомендации по реализации

Оборудование перед уничтожением или повторным использованием должно быть проверено на наличие носителей информации.

Носители, содержащие конфиденциальную и защищенную авторскими правами информацию, должны быть физически разрушены, или информация должна быть разрушена, удалена или перезаписана с помощью не стандартного удаления или форматирования, а специальных методов, делающих исходную информацию невосстановимой.

Поврежденное оборудование, содержащее чувствительные данные, может потребовать оценку риска того, было ли оно достаточно физически разрушено до того, как было выброшено или попало в ремонт. Информация может быть скомпрометирована при неправильном уничтожении или повторном использовании оборудования.

Наряду с безопасной чисткой диска риск разглашения конфиденциальной информации при утилизации или перераспределении оборудования снижает шифрование целого диска при выполнении следующих условий:

– процесс шифрования достаточно сильный и охватывает весь диск (включая свободное пространство, файлы подкачки и т.п.);

– длина ключей достаточна для противодействия атакам перебора;

– ключи шифрования содержатся в тайне (например, не хранятся на самом диске).

Методы безопасной перезаписи носителей могут быть разными в зависимости от технологии носителей. Инструменты перезаписи следует проверять на предмет соответствия технологии носителей.

Безопасность оборудования без присмотра

Меры и средства

Пользователи должны гарантировать, что оставленное без присмотра оборудование защищено надлежащим образом.

Рекомендация по реализации

Пользователи должны быть осведомлены о требованиях безопасности и процедурах защиты оборудования без присмотра, а также своих обязанностях по обеспечению этой защиты.

Пользователям рекомендуется:

– завершать активные сеансы по окончании работы, если отсутствует соответствующий механизм блокировки, например, защищенная паролем экранная заставка;

– выйти из приложений и сетевых сервисов, если они не нужны;

– защитить компьютеры или мобильные устройства от несанкционированного использования с помощью блокировки клавиатуры или эквивалентной меры защиты, например, парольного доступа.

Политика чистого стола и экрана

Меры и средства

Должна быть внедрена политика чистого рабочего стола для документов и съемных носителей информации и политика чистого экрана для средств обработки информации.

Рекомендации по реализации

Политика чистого рабочего стола и экрана должна учитывать классификации информации, правовые и нормативные требования, соответствующие риски и культурные аспекты организации. Необходимо рассмотреть следующие рекомендации:

– носители (бумажные или электронные), содержащие чувствительную или критичную бизнес-информацию, когда они не используются, следует запирать (лучше всего, в сейфе или кабинете), особенно, если в оффисе никого нет;

– компьютеры и терминалы, оставленные без присмотра, следует выключать или защищать механизмом блокировки экрана или клавиатуры, контролируемого паролем, токеном или схожим механизмом аутентификации пользователя;

– необходимо предотвратить несанкционированное использование фотокопировальной и другой воспроизводящей технологии (например, сканеров, цифровых камер);

– документы, содержащие чувствительную или классифицированную информацию, необходимо немедленно изымать из принтеров.

Рекомендуется использовать принтеры с функцией ПИН-кода, когда только инициаторы печатания могут забрать из принтера готовый документ и вставить следующий.