Британский стандарт BS 7799

Регуляторы безопасности и реализуемые ими цели. Часть 2. Регуляторы технического характера

Меры по безопасному администрированию систем и сетей разделены в стандарте BS 7799 на семь подгрупп:

• операционные процедуры и обязанности;
• планирование и приемка систем;
• защита от вредоносного программного обеспечения;
• повседневное обслуживание;
• администрирование сетей ;
• безопасное управление носителями;
• обмен данными и программами с другими организациями.

Документирование операционных процедур и обязанностей преследует цель обеспечения корректного и надежного функционирования средств обработки информации. Требуется обязательно контролировать все изменения этих средств. Доклады о нарушениях безопасности должны быть своевременными и эффективными. Разделение обязанностей должно препятствовать злоупотреблению полномочиями. Средства разработки и тестирования необходимо отделить от производственных ресурсов. Для безопасного управления внешними ресурсами предлагается предварительно оценить риски и включить в контракты со сторонними организациями соответствующие положения.

Планирование и приемка систем призваны минимизировать риск их отказа. Для этого рекомендуется отслеживать и прогнозировать вычислительную нагрузку, требуемые ресурсы хранения и т.д. Следует разработать критерии приемки новых систем и версий, организовать их тестирование до введения в эксплуатацию.

Защита от вредоносного программного обеспечения должна включать как превентивные меры, так и меры обнаружения и ликвидации вредоносного ПО.

Под повседневным обслуживанием в стандарте имеется в виду резервное копирование, протоколирование действий операторов, регистрация, доведение до сведения руководства и ликвидация сбоев и отказов.

Вопросы администрирования сетей в стандарте, по сути, не раскрываются, лишь констатируется необходимость целого спектра регуляторов безопасности и документирования обязанностей и процедур.

Безопасное управление носителями подразумевает контроль за съемными носителями, безвредную утилизацию отслуживших свой срок носителей, документирование процедур обработки и хранения информации, защиту системной документации от несанкционированного доступа.

Более детально регламентирован обмен данными и программами с другими организациями. Предлагается заключать формальные и неформальные соглашения, защищать носители при транспортировке, обеспечивать безопасность электронной коммерции, электронной почты, офисных систем, систем общего доступа и других средств обмена. В качестве универсальных защитных средств рекомендуются документированная политика безопасности, соответствующие процедуры и регуляторы.

Самой многочисленной является группа регуляторов, относящихся к управлению доступом к системам и сетям. Она состоит из восьми подгрупп:

• производственные требования к управлению доступом;
• управление доступом пользователей;
• обязанности пользователей;
• управление доступом к сетям;
• управление доступом средствами операционных систем;
• управление доступом к приложениям;
• контроль за доступом и использованием систем;
• контроль мобильных пользователей и удаленного доступа.

Производственные требования к управлению доступом излагаются в документированной политике безопасности, которую необходимо проводить в жизнь.

Управление доступом пользователей должно обеспечить авторизацию, выделение и контроль прав в соответствии с политикой безопасности. Этой цели служат процедуры регистрации пользователей и ликвидации их системных счетов, управление привилегиями в соответствии с принципом их минимизации, управление паролями пользователей, а также дисциплина регулярной ревизии прав доступа.

Обязанности пользователей, согласно стандарту, сводятся к правильному выбору и применению паролей, а также к защите оборудования, остающегося без присмотра.

Управление доступом к сетям опирается на следующие регуляторы:

• политика использования сетевых услуг (прямой доступ к услугам должен предоставляться только по явному разрешению);
• задание маршрута от пользовательской системы до используемых систем (предоставление выделенных линий, недопущение неограниченного перемещения по сети и т.д.);
• аутентификация удаленных пользователей;
• аутентификация удаленных систем;
• контроль доступа (особенно удаленного) к диагностическим портам;
• сегментация сетей (выделение групп пользователей, информационных сервисов и систем);
• контроль сетевых подключений (например, контроль по предоставляемым услугам и/или времени доступа);
• управление маршрутизацией ;
• защита сетевых сервисов (должны быть описаны атрибуты безопасности всех сетевых сервисов, используемых организацией).

Управление доступом средствами операционных систем направлено на защиту от несанкционированного доступа к компьютерным системам. Для этого предусматриваются:

• автоматическая идентификация терминалов;
• безопасные процедуры входа в систему (следует выдавать как можно меньше информации о системе, ограничить разрешаемое количество неудачных попыток, контролировать минимальную и максимальную продолжительность входа и т.п.);
• идентификация и аутентификация пользователей;
• управление паролями, контроль их качества;
• разграничение доступа к системным средствам;
• уведомление пользователей об опасных ситуациях;
• контроль времени простоя терминалов (с автоматическим отключением по истечении заданного периода);
• ограничение времени подключения к критичным приложениям.

Для управления доступом к приложениям предусматривается разграничение доступа к данным и прикладным функциям, а также изоляция критичных систем, помещение их в выделенное окружение.

Контроль за доступом и использованием систем преследует цель выявления действий, нарушающих политику безопасности. Для ее достижения следует протоколировать события, относящиеся к безопасности, отслеживать и регулярно анализировать использование средств обработки информации, синхронизировать компьютерные часы.

Контроль мобильных пользователей и удаленного доступа должен основываться на документированных положениях политики безопасности.