srcibph.ru

Сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп


ГОСТ Р ИСО/МЭК 27033-3-2014



ОКС 35.040

Дата введения 2015-11-01

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 09 сентября 2014 г. N 1029-ст

4 Настоящий стандарт идентичен сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп стандарту ИСО/МЭК 27033-3:2010* "Информационная технология.

Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления" (ISO/IEC 27033-3:2010 "Information technology - Security techniques - Network security - Part 3: Reference networking scenarios - Threats, design techniques and control issues")
________________
* Доступ к международным и зарубежным документам, упомянутым здесь и далее по тексту, можно получить, перейдя по ссылке на сайт http://shop.cntd.ru.

- Примечание изготовителя базы данных.


При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА.

5 ВВЕДЕН ВПЕРВЫЕ


Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты".

В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

Введение


ИСО/МЭК 27033-3 был подготовлен совместным Техническим комитетом ИСО/МЭК СТК 1, "Информационная технология", Подкомитетом ПК 27, "Методы и средства обеспечения безопасности ИТ".

ИСО/МЭК 27033 состоит из следующих частей, под общим наименованием "Информационная технология.

Методы и средства обеспечения безопасности. Безопасность сетей":

- Часть 1: Обзор и концепции;

- Часть 2: Сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп по проектированию и реализации безопасности сети;

- Часть 3: Эталонные сетевые сценарии.

Угрозы, методы проектирования и вопросы управления.

Следующие части находятся в процессе подготовки:

- Часть 4: Обеспечение безопасности межсетевых соединений с применением шлюзов безопасности. Угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления;

- Часть 5: Обеспечение безопасности виртуальных частных сетей.

Угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления.

Могут быть выпущены очередные части стандарта для охвата таких тем, как: локальные вычислительные сети, глобальные сети, беспроводные и радиосети, широкополосные сети, сети телефонной связи, сети IP-конвергенции (данные, голос, видео), архитектуры веб-хоста, архитектуры электронной почты Интернета (в том числе исходящий онлайновый доступ к Интернету и входящий доступ из Интернета) и отсортированный доступ к сторонним организациям.

1 Область применения


В настоящем стандарте изложены угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления, связанные с типовыми сетевыми сценариями.

Для каждого сценария в ней представлены подробные руководства по угрозам безопасности, методам проектирования безопасности и мерам и средствам контроля и управления, требуемым для уменьшения связанных рисков.

Информация, содержащаяся в настоящем стандарте, предназначена для использования при пересмотре технической архитектуры/вариантов проектирования безопасности, а также при выборе и документировании предпочтительной технической архитектуры/проектирования безопасности и связанных с ними мер и средств контроля и управления, в соответствии с ИСО/МЭК 27033-2.

Выбор конкретной информации (наряду с информацией, взятой из ИСО/МЭК 27033-4 - ИСО/МЭК 27033-6) будет зависеть от анализа характеристик сетевой среды, т.е.

конкретного сценария сети(ей) и "технического решения" вопросов, имеющих к этому отношение.

В целом, настоящая часть ИСО/МЭК 27033 будет способствовать всестороннему определению и реализации безопасности для сетевой среды любой организации.

2 Нормативные сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп настоящем стандарте использованы нормативные ссылки на следующие международные стандарты*.

Для датированных документов используют только указанное издание. Для недатированных документов используют самое последнее издание ссылочного документа (с учетом всех его изменений).
_______________
* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.


ИСО/МЭК 27000 Информационная технология. Методы и средства обеспечения безопасности.

Системы менеджмента информационной безопасности. Обзор и терминология (ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary)

ИСО/МЭК 27033-1 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции (ISO/IEC 27033-1, Information technology - Security techniques - Network security - Part 1: Overview and concepts)

3 Термины и определения


В настоящем стандарте применены термины по ИСО/МЭК 27000 и ИСО/МЭК 27033-1, а также следующие термины с соответствующими определениями:

3.1 вредоносная программа (malware, malicious software): Категория программы, разработанной со злым умыслом, содержащей сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп и возможности, которые потенциально могут прямо или косвенно причинить вред пользователю и (или) компьютерной системе пользователя.


Примечание - См.

ИСО/МЭК 27032.

3.2 непрозрачность (opacity): Защита от выделения информации, которая может быть получена посредством наблюдения за сетевой деятельностью, такой как адреса конечных точек обмена голосовым трафиком по сети Интернет.


Примечание - Непрозрачность касается необходимости защиты операций с информацией в дополнение к защите самой информации.

3.3 аутсорсинг (outsourcing): Приобретение покупателем услуг для выполнения деятельности, требуемой для поддержки функций бизнеса покупателя.

3.4 социальная инженерия (social engineering): Действие по манипулированию людьми в совершении действий или разглашении конфиденциальной информации.

4 Сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп и сокращения


В настоящем стандарте применены следующие сокращения и сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп обозначения:

ААА - аутентификация, санкционирование и учет (authentication, authorization and accounting);

DHCP - протокол динамического конфигурирования хоста (dynamic host configuration protocol);
_______________
Хост - Любое устройство, подключенное к сети использующее протоколы TCP/IP.


DNS - служба доменных имен (domain name service);

DNSSEC - расширение безопасности службы доменных имен (DNS Security extensions);

DoS - отказ в обслуживании (denial of service);

FTP - протокол передачи файлов (file transfer protocol);

IDS - система обнаружения вторжений (intrusion detection system);

IP - Интернет-протокол (Internet protocol);

IPSec - протокол безопасности Интернет-протокола (IP security protocol);

OAM&P - эксплуатация, администрирование, техническое обслуживание и обеспечение (operations, administration, maintenance & provisioning);

PDA - персональное информационное устройство (personal data assistant);

QoS - качество обслуживания (quality of service);

SIP - протокол инициации сеанса (session initiation protocol);

SMTP - простой протокол передачи почтовых сообщений (simple mail transfer protocol);

SNMP - простой протокол сетевого управления (simple network management protocol);

SSL - протокол безопасных соединений (протокол шифрования и аутентификации) (secure socket layer (encryption and authentication protocol));

VoIP - передача голоса по Интернет-протоколу (voice over Internet Protocol);

VPN - виртуальная частная сеть (virtual private network);

BOC - взаимодействие открытых систем (open systems interconnection - OSI);

ТфОП - телефонная коммутируемая сеть общего пользования (public switched telephone network - PSTN).

5 Структура


Структура настоящего стандарта состоит из:

- краткого обзора подхода к решению проблемы безопасности для каждого типового сценария, перечисленного в настоящем стандарте (раздел 6);

- раздел для каждого базового сценария (разделы 7-15), в котором описываются:

- угрозы для базового сценария;

- представление мер и средств контроля и управления безопасности и методы, основанные на подходе, изложенном в разделе 6.

Сценарии в настоящем документе упорядочены в представленную ниже структуру, цель которой заключается в оценивании данного сценария в зависимости от:

- типа доступа пользователя, является ли пользователь работающим внутри предприятия, или пользователем является сотрудник, который получает доступ к корпоративным ресурсам извне, или пользователь является клиентом, поставщиком или деловым партнером;


- типа доступности информационных ресурсов, открытые, ограниченные или внешние ресурсы.

Таким образом, структура помогает представить согласованную систему и делает добавление новых сценариев управляемым, а также обосновывает необходимость различных сценариев, представленных в настоящем стандарте.


Таблица 1 - Структура упорядочения сетевых сценариев


Таким образом, порядок, в котором сценарии перечислены в настоящем стандарте, является следующим:

- услуги доступа к Интернету для сотрудников (раздел 7);

- услуги бизнес-бизнес (раздел 8);

- услуги бизнес-клиент (раздел 9);

- расширенное применение услуг для совместного использования (раздел 10);

- сегментация сети (раздел 11);

- сетевая поддержка работы на дому или в малых предприятиях (раздел 12);

- мобильная связь (раздел 13);

- сетевая поддержка мобильных пользователей (раздел 14);

- услуги аутсорсинга (раздел 15).

6 Обзор


Руководства, представленные в настоящем стандарте для каждого из определенных типовых сетевых сценариев, основаны на нижеперечисленных подходах:

- проверка вводной информации и рамок сценария;

- описание угроз, соответствующих сценарию;

- проведение анализа риска относительно обнаруженных уязвимостей;

- анализ влияния на бизнес рассматриваемых уязвимостей;

- определение рекомендаций по реализации обеспечения безопасности сети.

В целях решения вопросов безопасности любой сети, желательным является систематическое и всеобъемлющее оценивание.

Сложность подобного анализа зависит от характера и размера сети в области действия. Тем не менее, последовательная методика очень важна для менеджмента безопасности, особенно в связи с развивающимся характером технологий.

Первым рассмотрением при оценке безопасности является определение активов, нуждающихся в защите. Они могут быть в значительной степени категоризированы на активы инфраструктуры, услуг или приложений. Предприятие может выбрать и определить свои собственные категории, но такое различие важно, поскольку подверженность угрозам и атакам является уникальной для каждой категории или типа активов.

Например, если маршрутизатор относится к категории активов инфраструктуры, а передача голоса по IP рассматривается как услуга конечного пользователя, то атака "отказ в обслуживании" (DoS) в каждом случае потребует различного рассмотрения. В частности, маршрутизатор нуждается в защите от лавинного распространения фиктивных пакетов на физический порт маршрутизатора, которые могут помешать или воспрепятствовать прохождению легитимного трафика.

Аналогично, услуга передачи голоса по IP (VoIP) нуждается в защите информации учетной записи абонента/услуги от удаления или повреждения, исходя из условия, что доступ к услуге для законного пользователя не был предотвращен.

Безопасность сети также предполагает защиту различных деятельностей, поддерживаемых в сети, таких как, управленческая деятельность, а также сигналы управления/оповещения, и данные (резидентные и передаваемые) конечных пользователей. Например, управление GUI может быть предметом раскрытия в результате несанкционированного доступа (простой для отгадывания пароль идентификатор администратора).

Управление трафиком само является предметом искажения в результате ложных команд ОА&М с ложными IP адресами операционных систем, или раскрытия путем пассивного прослушивания сети или прерывания в результате атаки лавинного распространения пакетов.
_______________
GUI (Graphical User Interface) - Графический интерфейс пользователя.

OA&M (operations, administration and management) - Пакет прикладных программ по эксплуатации, администрированию и управлению сети.


Такой подход к определению активов и деятельностей делает возможным модульное и систематическое рассмотрение угроз.

Каждый типовой сетевой сценарий исследуется в отношении известного набора угроз для выяснения того, какие угрозы являются применимыми.

сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп

В приложении B приведен перечень известных отраслевых угроз. Хотя этот перечень не следует рассматривать как исчерпывающий, он служит отправной точкой для любого анализа. Как только выводится профиль угрозы сети, анализируются уязвимости, чтобы определить, каким образом угрозы могут быть реализованы в контексте конкретного рассматриваемого актива. Такой анализ поможет определить, какие ограничения отсутствуют, и какие контрмеры требуется применить для достижения целей защиты.

Контрмеры снизят вероятность того, что угроза будет успешной и (или) ослабят ее воздействие. При анализе риска исследуется риск, соответствующий обнаруженным уязвимостям. Анализ влияния на бизнес заключается в принятии решения о том, какие меры принимать по каждой уязвимости: меры по исправлению, принятию риска или переносу риска.

Проектирование контрмер и реализация мер и средств контроля и управления, защищающих слабые места активов от угроз, является частью любой методики оценки безопасности.

В соответствии с требованиями стандартов серии ИСО/МЭК 27000 отбор и реализация соответствующих мер и средств контроля и управления имеет решающее значение для защиты активов/информации. Стандарт требует сохранения конфиденциальности, целостности и доступности информации, и дополнительно он затрагивает и другие свойства, такие как подлинность, неотказуемость и достоверность.

Ниже перечислены свойства безопасности, которые используются в настоящем стандарте для совершенствования сдерживающих мер и контрмер объективным способом.

Уточнения, касающиеся каждого свойства безопасности (в дополнение к конфиденциальности, целостности и доступности), описываются ниже:

- конфиденциальность связана с защитой данных от несанкционированного раскрытия;

- целостность связана с сохранением правильности или точности сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп и защитой от несанкционированного изменения, удаления, создания и тиражирования;

- доступность связана с обеспечением уверенности в том, что не существует отказа в санкционированном доступе к элементам сети, хранимой информации, информационным потокам, услугам и приложениям;

- управление доступом обеспечивает, с помощью аутентификации и авторизации, управление доступом к сетевым устройствам и услугам, а также обеспечивает уверенность в том, что только уполномоченному персоналу или устройствам разрешен доступ к элементам сети, хранимой информации, информационным потокам, услугам и приложениям.

Например, при использовании IPTV одна из известных рекомендаций по безопасности - отключение интерфейса отладки на абонентском комплекте приставки - получена исходя из рассмотрения свойств элемента управления доступом. Анализ конфиденциальности, целостности или доступности не приведет к каким-либо другим рекомендациям;
_______________
IPTV (Internet Protocol Television) - Передача цифрового телевизионного сигнала по протоколу IP.


- аутентификация связана с подтверждением или доказательством заявленной идентичности пользователя или взаимодействующих сторон при использовании управления доступом для авторизации, а также она обеспечивает уверенность в том, что сущность не пытается имитировать или несанкционированно воспроизводить предыдущее сообщение.

Например, человек может получить доступ к системе управления сетью, но потребуется осуществить аутентификацию для обновления записей абонентских услуг. Таким образом, возможность осуществления деятельности по управлению сетью не может быть обеспечена посредством простого рассмотрения конфиденциальности, целостности, доступности или управления доступом.

Примечание - В управлении доступом, основанном на ролях, авторизация осуществляется в отношении пользователя, назначенного на роль.

Также в процессе управления доступом до предоставления доступа проверяется роль, назначенная пользователю. Кроме того, по спискам управления доступом доступ предоставляется всем, кто удовлетворяет политике, таким образом, если вы удовлетворяете требованиям политики, вы имеете право доступа.

В этом случае функции аутентификации и авторизации являются несущественными;


- безопасность связи и безопасность передачи информации касается обеспечения уверенности в том, что информация сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп перемещается между авторизованными конечными точками без перенаправления и перехватов;

- неотказуемость связана с поддержанием контрольных записей с тем, чтобы не могло быть отказано в информации об исходных данных, причинах события или действия.

Определение авторизованного лица, которое осуществило несанкционированное действие с защищенными данными, не связано с конфиденциальностью, целостностью, доступностью данных;

- непрозрачность связана с защитой информации, которая может быть получена из наблюдений за сетевой активностью. Непрозрачность признает необходимость защиты действий в дополнение к информации.

Защита информации решается путем обеспечения конфиденциальности. Защита телефонного разговора между лицом А и лицом Б защищает их конфиденциальность. Защита того факта, что лицо А и лицо Б вели телефонный разговор, обеспечивает уверенность в непрозрачности.

Для всех сценариев, описанных в настоящем стандарте, вышеуказанные свойства безопасности рассматриваются как часть методики проектирования безопасности и фазы контроля.

В таблице 2 приведены примеры механизмов обеспечения безопасности сети, которые могут быть реализованы для обеспечения свойств безопасности, выбранных для уменьшения потенциального риска.


Таблица 2 - Примеры методов обеспечения безопасности сети

Рассмотрения безопасности

Механизмы/методы обеспечения безопасности

Управление доступом

Система пропусков (идентификационных карточек), списки управления доступом (ACL - Access Control List), разделение обязанностей

Аутентификация

Несложная регистрация входа в систему/пароль, цифровые сертификаты, цифровые подписи, TLS версии 1.2, SSO, CHAP

Доступность

Избыточность и резервное копирование, межсетевые экраны, IDS/IPS (для блокирования атаки DoS), непрерывность бизнеса, сетевой менеджмент и менеджмент услуг с SLAs

Безопасность связи

IPSec/L2TP, частные линии связи, обособленные сети

Конфиденциальность

Шифрование (3DES, AES), списки управления доступом, права доступа к файлам

Целостность

IPSec HMACs (например, SHA-256), циклический избыточный контроль, антивирусное программное средство

Неотказуемость

Регистрация событий, управление доступом, основанное на ролях, и цифровые подписи

Непрозрачность

Шифрование IP-заголовков (например, VPN с режимом туннелирования IP-Sec, NAT (для IP версии 4)

_______________
TLS (Transport Сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп Security) - Протокол безопасности транспортного уровня.

SSO (Single Sign On) - Технология единого входа [в систему].

CHAP (Challenge Handshake Authentication Protocol) - Протокол взаимной аутентификации.

IPS (Intrusion Prevention System) - Система предотвращения вторжения.

SLA (Service Level Agreement) - Соглашение об уровне услуг.

L2TP (Layer 2 Tunneling Protocol) - Протокол туннелирования второго уровня.

3DES (Triple Data Encryption Standard) - Протокол тройного шифрования.

AES (Advanced Encryption Standard) - Улучшенный протокол шифрования.

HMAC (Hash-based Message Authentication Сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп - Механизм, использующий криптографические хеш-функции в сочетании с секретным ключом.

SHA (Secure Hash Algorithm) - Алгоритм аутентификации и проверки целостности информации.

NAT (Network Address Translation) - Протокол преобразования сетевых адресов.



В настоящей части стандарта ИСО/МЭК 27033, все рассмотренное выше является неотъемлемой частью проектирования и реализации, обсуждаемых в контексте каждого типового сетевого сценария.

Как правило, для удовлетворения своих целей бизнеса организация выбирает меры и средства контроля и управления, соответствующие ИСО/МЭК 27002, а также рекомендации настоящей части стандарта ИСО/МЭК 27033, предназначенные для обеспечения анализа сетевого уровня, необходимого для реализации выбранных мер и средств контроля и управления.

7 Услуги доступа к Интернету для сотрудников

7.1 Исходные данные


Организации, которые должны предоставлять услуги доступа к Интернету для своих сотрудников, должны продумать этот сценарий, чтобы обеспечить уверенность в том, что осуществляется доступ с четко определенными и санкционированными целями, а не общий открытый доступ.

Организации должны быть обеспокоены вопросами управления доступом, чтобы избежать потери пропускной способности сети и способности к реагированию, а также привлечения к правовой ответственности сотрудников, имеющих неконтролируемый доступ к услугам Интернета.

Управление доступом сотрудников к Интернету вызывает растущее беспокойство, учитывая количество появляющихся судебных прецедентов, связанных с Интернетом.

Таким образом, организация несет ответственность за установление, мониторинг и претворение в жизнь точно выраженной политики использования Интернета посредством оценивания следующих сценариев и обеспечения соответствующих требований в политике:

- доступ к Интернету предоставлен в интересах бизнеса;

- если доступ к Интернету также разрешен (ограниченно) в личных целях, то какими услугами разрешено пользоваться;

- разрешено ли расширенное применение услуг для совместного использования;

- разрешено ли сотрудникам участвовать в чате, форумах и т.д.

Хотя, зачастую, написанная политика выступает как существенный сдерживающий фактор неприемлемого использования Интернета, организация все еще подвергается значительным рискам информационной безопасности.

Угрозы безопасности, рекомендации по методам проектирования безопасности, а также меры и средства контроля и управления, направленные на уменьшение рисков безопасности, излагаются в нижеследующих пунктах, как только для внутреннего, так и для внутреннего и внешнего использования.

7.2 Угрозы безопасности


Угрозами безопасности, связанными с услугами доступа к Интернету для сотрудников, являются:

- вирусные атаки и внедрение вредоносных программ:

- сотрудники, пользующиеся Интернетом, являются также основной мишенью для вредоносных программ, которые могут привести к потере или повреждению информации, потере контроля над инфраструктурой информационных технологий и огромному риску для безопасности сети организации,

- загружаемые пользователем файлы или программы могут содержать вредоносные программные коды.

Учитывая повсеместное использование таких приложений, как обмен мгновенными сообщениями, одноранговое совместное использование файлов и IP-телефония, сотрудники могут случайно загрузить и установить вредоносные приложения, которые обходят защиту сети, используя такие методы, как быстрота прохождения порта (скачкообразность вблизи открытых портов), и шифрование.

Кроме того, одноранговые приложения могут быть использованы в качестве скрытых каналов для сетевых агентов-роботов,

- уязвимости веб-браузеров или других веб-приложений могут быть использованы вредоносными программами, что приведет к заражению вирусом и установке троянов ("Троянских коней"). После заражения доступность может серьезно пострадать из-за распространения деятельности вируса, приводящей к перегрузке сети.

Трояны могут разрешать несанкционированный внешний доступ, приводящий к нарушению конфиденциальности;

- утечка информации:

- приложения, позволяющие пересылать информацию на веб-серверы, могут быть причиной неконтролируемой передачи данных из организации через Интернет.

Если используются сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп сеансы (например, TLS), то сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп регистрация такой деятельности может оказаться невозможной.

Подобные риски безопасности привносятся в тех случаях, когда недостоверный переносимый код выполняется на системах внутри организации;

- несанкционированное использование и доступ:

- потеря мер и средств контроля и управления инфраструктуры, систем и приложений может привести к мошенничеству, отказу в обслуживании, а также злоупотреблению возможностями;

- ответственность за несоблюдение нормативов:

- юридическая ответственность за несоблюдение законодательства и нормативных обязательств,

- несогласованность с используемой политикой организации может привести к нормативному несоответствию;

- снижение доступности сети связи, вызванное недостаточной пропускной способностью или стабильными проблемами:

- чрезмерное использование услуг, связанных с пропускной способностью, например, потоковые мультимедийные средства или одноранговое совместное использование файлов может привести к перегрузке сети.

7.3 Методы проектирования безопасности и мер и средств контроля и управления


Методы проектирования безопасности и меры и средства контроля и управления, связанные с сотрудниками, рассматриваются в таблице 3.


Таблица 3 - Меры и средства контроля и управления безопасности для сценария доступа сотрудников к Интернету

Применяемые свойства безопасности для идентифицированных угроз

Реализуемые проекты и методы

Вирусные атаки и введение вредоносных программ

- Целостность

- Управление доступом

- Аутентификация

- Предоставление сотрудникам Интернет-услуг, только соответствующих бизнесу.

Использование черных списков авторизованных услуг, чтобы сделать возможной поправку в каналах чата, услугах веб-почты или одноранговых сетевых протоколах.

- Использование антивирусных программ на пути доступа к Интернету для сканирования всего трафика от сотрудника до Интернета. Процесс сканирования должен включать в себя все сетевые протоколы, разрешенные к применению. Обеспечение уверенности в том, что антивирусные обновления устанавливаются автоматически, или пользователь предупреждается о факте проведения обновлений.

- Использование антивирусного программного средства на всех клиентских системах, особенно на тех, которые используются сотрудниками для доступа к Интернету.

- Сканирование файлов и всех хранимых данных на наличие вирусов и троянов, а также других видов вредоносных программ.

- Верификация целостности данных/файлов с использованием алгоритмов, таких как хэширование/контрольные суммы, сертификаты.

- Блокирование появляющихся окон и вэб-рекламы.

- Маршрутизация трафика, используемого для услуг доступа к Интернету, посредством небольшого количества контролируемых шлюзов безопасности.

- Активное установление подлинности содержания.

Утечка информации

- Безопасность связи

- Целостность

- Управление доступом

- Реализация фильтров для мобильного кода на шлюзах доступа к Интернету.

- Прием мобильного кода только с некритичных сайтов, занесённых в белый список.

- Прием мобильного кода, подписанного цифровой подписью, только от доверенных органов сертификации или от доверенных поставщиков, включая соответствующие параметры настройки на стороне клиента, например, путем осуществления активного сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп и реализации белого списка разрешенных органов сертификации, подписывающих код.

Несанкционированное использование и доступ

- Управление доступом

- Неотказуемость

- Предоставление служащим только соответствующих бизнесу Интернет-услуг.

Использование черных списков неавторизованных услуг, например, каналов обмена информацией (текстового диалога) в реальном времени, или услуг веб-почты. Реализация фильтров для неавторизованных протоколов, например, одноранговых сетевых протоколов.

- Ограничения на использование услуг, которые беспрепятственно осуществляют передачу больших объемов данных.

- Обеспечение уверенности в проведении надлежащей регистрации и мониторинга в отношении всех услуг, которые допускают возможность передачи данных через Интернет.

- Четкое определение авторизованного и неавторизованного использования доступа к Интернету в специальной политике (см.

примерную форму в приложении A).

- Обеспечение уверенности в осведомленности пользователей посредством соответствующего уровня образования и профессиональной подготовки.

Ответственность за несоблюдение сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп Неотказуемость

- Использование записи событий, отметок времени.

- Осведомленность и профессиональная подготовка пользователей.

Снижение доступности сети связи

- Целостность

- Доступность

- Надлежащий менеджмент уязвимостей исправления известных системных уязвимостей в рамках выделенного интервала времени, основанного на критичности уязвимости.

- В центре внимания менеджмента уязвимостей должны быть все системы приема Интернет-трафика, либо на транспортном, либо на прикладном уровне, включая все системы, используемые с учетом шлюзов по направлению к Интернету, а также системы конечного пользователя, используемые для доступа к Интернет-услугам, особенно, если они используют операционную систему Windows.

- Прерывание пропускной способности для потоковых мультимедийных средств (если только это разрешено политикой бизнеса).

- Сети и системные ресурсы должны быть проверены (IDS, журналы регистрации, аудиты и т.д.) на предмет обнаружения системных событий, событий безопасности и операционных событий



Для установленной угрозы безопасности, каждое свойство безопасности рассматривается для применения с целью снижения риска, во втором столбце приведен соответствующий пример технической реализации.

Например, целостность, контроль доступа и аутентификация применяются для защиты от вредоносного программного кода.

8 Услуги бизнес-бизнес

8.1 Исходные данные


Этот сценарий должны рассматривать организации, которые осуществляют транзакции с другими организациями, такими как изготовитель, оптовик, розничный торговец.

Обычно услуги бизнес-бизнес реализуются с помощью специально выделенных линий или сетевых сегментов.

Интернет и связанные с ним технологии предоставляют больше возможностей, но также вводят новые угрозы безопасности, связанные с реализацией таких услуг.

Развивающаяся модель электронной торговли бизнес-бизнес позволяет организациям вести бизнес через Интернет и сосредоточиться на приложениях, использующих Интернет, экстранет, или и то и другое, чтобы наладить партнерство в бизнесе, при котором организации известны друг другу и все пользователи, в отличие от сценария бизнес-клиент, регистрируются.

Обычно услуги бизнес-бизнес имеют свои собственные требования.

Например, доступность и достоверность являются очень важными требованиями, поскольку часто организации напрямую зависят от действующих услуг бизнеса-бизнес.

При использовании Интернета в качестве базовой сетевой связи для реализации услуг бизнес-бизнес, такие требования как доступность и достоверность должны обрабатываться иначе, чем раньше.

Проверенные подходы, такие как предполагаемое качество услуг, используемое, например, в сочетании с выделенным каналом связи, больше не работают.

Новые риски безопасности должны быть уменьшены с помощью соответствующих методов проектирования и мер и средств контроля и управления. Основной упор делается на укрепление доверия между организациями, путем предотвращения несанкционированного доступа к данным и поддержки разделения систем бизнеса.

В нижеследующих пунктах описываются угрозы безопасности и рекомендации по методам проектирования безопасности, а также меры и средства контроля и управления, снижающие риски безопасности, как только для внутреннего, так и для внутреннего и внешнего использования.

8.2 Угрозы безопасности


Угрозы безопасности, связанные с услугами бизнес-бизнес, следующие:

- вирусные атаки и внедрение вредоносных программ:

- использование вредоносных программ приводит к проникновению в системы, ведущему к сбоям или несанкционированному доступу к конфиденциальной информации;

- уязвимости веб-браузеров или других веб-приложений могут быть использованы вредоносными программами, что приведет к заражению вирусом и установке троянов;

- атаки типа "отказ в сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп (DoS) и "распределенный отказ в обслуживании" (DDoS - distributed denial of service) на порталы или расширенные сети услуг бизнес-бизнес;

- инсайдерские атаки с помощью авторизованных партнеров по бизнесу;

- фальсификация информационного наполнения транзакции (сообщения не передаются получателю или данные изменяются в процессе передачи).

8.3 Методы проектирования безопасности и меры и средства контроля и управления


Методы проектирования информационной безопасности и меры и средства контроля и управления, связанные с услугами бизнес-бизнес, приведены в таблице 4.


Таблица 4 - Меры и средства контроля и управления безопасности для сценария услуг бизнес-бизнес

Применяемые свойства безопасности для идентифицированных угроз

Реализуемые проекты и методы

Вирусные атаки и введение вредоносных программ

Источник: http://docs.cntd.ru/document/1200113374

сделать рекомендации по системе безопасности авторизации сотрудников при доступе к персональным комп