Конфігурація мережі
Прийнятна конфігурація мережі є істотною для її надійного функціонування. Вона містить стандартизований підхід до конфігурації серверів в організації, та, що дуже важливо, хорошу документацію. Більше того, треба пересвідчитися, що сервери, використовувані для спеціальних цілей, використовують тільки для цих цілей (наприклад, ніякі інші задачі не запускаються на брандмауері), і що є достатній захист від збоїв.
Відокремлення мережі
Для мінімізації ризиків та можливостей зловживання в мережі під час її експлуатації, ділові зони, що мають справу з критичними діловими питаннями та інформацією, треба відокремлювати логічно чи фізично. Також засоби розроблення треба відокремлювати від засобів, що експлуатують.
Моніторинг мережі
Для визначення слабких місць у наявній конфігурації мережі треба здійснювати моніторинг мережі. Він дозволяє перебудовувати структуру мережі, за допомогою аналізування робочого навантаження та допомагає визначити нападників.
Виявлення вторгнень
Спроби вторгнень до систем чи мереж та успішний несанкціонований вхід треба виявляти так, щоб організація могла відреагувати відповідним та ефективним чином.
.2.5 Криптографія
Криптографія — це математичні методи перетворення даних для забезпечення безпеки. Її можна застосовувати для багатьох різних цілей в інформаційній безпеці, наприклад, криптографія може допомогти забезпечити конфіденційність та (або) цілісність даних, неспростовність і посилені методи ідентифікації та автентифікації. Застосовуючи криптографію, треба подбати про те, щоб дотримувалися всі правові та регуляторні вимоги в цій сфері. Один з найважливіших аспектів криптографії — адекватна система керування ключами, що описана детальніше в ISO/IEC 11770-1. Подальша інформація про класи застосування криптографії також може бути знайдена в додатку С ISO/IEC 11770-1. Використання криптографії для ідентифікації та автентифікації описано в 8.2.1. Послуги штемпелювання часу можна використовувати для підтримування окремих програм криптографічних засобів захисту. Різні способи використання криптографії описано нижче.
Захист конфіденційності даних
В обставинах, коли важливо зберігати конфіденційність, тобто коли інформація є надзвичайно чутливою, треба розглядати засоби захисту, що зашифровують інформацію для зберігання чи передавання мережею. Під час вирішення питання про використання засобів шифрування треба брати до уваги:
відповідні державні закони та норми,
вимоги до керування ключами та труднощі, які треба подолати для гарантування того, що справжні поліпшення безпеки досягаються без створення нових вразливостей, та— прийнятність використовування механізмів шифрування для розгортання та рівень необхідного захисту.
Захист цілісності даних
За обставин, коли важливим є цілісність даних, що зберігаються чи оброблюються, для захисту цих даних треба розглянути геш-функції, цифрові підписи та (або) засоби забезпечення цілісності. Засоби захисту цілісності (наприклад, використання так званих кодів автентифікації повідомлень (МАС)) надають захист від випадкової чи зловмисної зміни, долучення чи вилучення інформації. Засоби цифрових підписів можуть забезпечувати захист, схожий до засобів цілісності повідомлень, але також мають властивості, що дозволяють уможливити неспростовність. У разі вирішення питання про використання цифрових підписів чи інших засобів забезпечення цілісності, треба брати до уваги:
відповідні державні закони та норми,
відповідну інфраструктуру відкритих ключів,
вимоги до керування ключами та труднощі, які потрібно подолати для гарантування того, що справжнього поліпшення безпеки досягають без створення нових вразливостей.
Неспростовність
Методи криптографії (наприклад, засновані на використанні цифрових підписів) можуть бути використанні для повідомлень, комунікацій та транзакцій з метою підтвердження чи спростування відправлення, передавання, подання, доставления, оповіщення про отримання тощо.
Автентичність даних
У ситуаціях, коли є важливою автентичність даних, для підтвердження достовірності даних може бути використаний цифровий підпис. Ця необхідність проявляється особливо, коли використовуються дані, на які посилає третя сторона, або коли велика кількість людей залежить від точності даних джерел, на які посилаються. Цифрові підписи також можна використовувати для підтвердження факту, що дані створені чи передані певною особою.
Керування ключами
Керування ключами охоплює технічні, організаційні та процедурні аспекти, необхідні для використання будь-якого механізму криптографії. Метою керування ключами є безпечне адміністрування та керування криптографічними ключами та пов’язаною з ними інформацією. Керування ключами охоплює генерування, реєстрування, сертифікування, дереєстрування, поширення, встановлення, зберігання, архівування, відгук, виведення та знищення ключового матеріалу. На додаток, важливо розробляти систему керування ключами так, щоб зменшити ризик компрометування ключа та використання ключа неуповноваженими особами. Процедури керування ключами залежать від використовування алгоритму наміру щодо використання ключів та політики безпеки. Для одержання більшої інформації про керування ключами дивіться також ISO/IEC 11770-1.
Таблиця 8.2.1 — Ідентифікація та автентифікація (І&А)
|
|
Практичні правила керування інформаційною безпекою |
Базовий стандарт безпеки ETSI — Функції та механізми |
Довідник з базового захисту IT |
Посібник з комп’ютерної безпеки NIST |
Категориза- ція безпеки та захист інформаційних систем для охорони здоров'я1 |
Настанова з інформаційної безпеки ТС 68 |
Рекомендації для комп’ютерних робочих станцій |
Канадський посібник з безпеки інформаційних технологій |
|
1 І&А на основі інформації, якою володіє користувач |
9.2.3, 9.3.1,9.4, 9.5.1 |
4.2.1, 5.2.1, додаток А |
М4 |
16.1 |
*.3.2.1 |
7.2.1,7.2.2 |
6.2 |
16.1 |
|
2 І&А на основі того, чим володіє користувач |
— |
16.2 |
*.3.2.1 |
6.2 |
16.2 |
|||
|
3 І&А на основі того, ким є користувач |
— |
16.3 |
*.3.2.1 |
6.2 |
16.3 |
|||
|
1 * Позначає довільне число між 6 та 11. |
||||||||
Таблиця 8.2.2 — Контролювання логічного доступу та аудит
|
|
Практичні правила керування інформаційною безпекою |
Базовий стандарт безпеки ETSI — Функції та механізми |
Довідник з базового захисту IT |
Посібник з комп’ютерної безпеки NIST |
Категориза- ція безпеки та захист інформаційних систем для охорони здоров'я1 |
Настанова з інформаційної безпеки ТС 68 |
Рекомендації для комп'ютерних робочих станцій |
Канадський посібник з безпеки інформаційних технологій |
|
1 Політика контролю доступу |
9.1 |
— |
М2 |
17.1, 17.2, 17.3 |
*.3.2.1 |
7.2, 8,1.2, 8.2.2, 8.4.1 |
6.4 |
17.1, 17.2, 17.3 |
|
2 Доступ користувачів до комп’ютерів |
9.2, 9.3, 9.5 |
4.2.4, 5.2.4, додаток А |
М4 |
*.3.2.1 |
6.2, 3.3 |
|||
|
3 Доступ користувачів до даних, служб та програм |
9.4, 9.6 |
М4 |
*.3.2.1 |
6.4 |
||||
|
4 Перегляд і оновлення прав доступу |
9,1, 9.2.4 |
— |
М2 |
17.4 |
*.3.2.1 |
— |
17.4 |
|
|
5 Журнали аудиту |
9.7 |
— |
М4 |
18 |
*.3.2.2 |
7.3, 8.2.10 |
6.7 |
18 |
|
1 * Позначає довільне число між 6 та 11. |
||||||||
Таблиця 8.2.3 — Захист від зловмисного коду
|
|
Практичні правила керування інформаційною безпекою |
Базовий стандарт безпеки ETSI — Функції та механізми |
Довідник з базового захисту IT |
Посібник з комп'ютерної безпеки NIST |
Категори- зація безпеки та захист інформаційних систем для охорони здоров'я1 |
Настанова з інформаційної безпеки ТС 68 |
Рекомендації для комп’ютерних робочих станцій |
Канадський посібник з безпеки інформаційних технологій |
|
1 Сканери |
8,3 |
— |
М4 |
—— |
‘.3.10 |
8.3.11, 8.3.16 |
7.4 |
4.6, 5.2.1, 6.4, 8.4.4, 11 |
|
2 Програми перевіряння цілісності |
8.3 |
— |
М4 |
— |
— |
8.3.11, 8.3.16 |
7,4 |
—- |
|
3 Контроль за обігом переносних носіїв інформації |
7,3.2 |
— |
— |
— |
— |
— |
|
— |
|
4 Процедурні засоби захисту |
8.3 |
— |
М4 |
— |
*.3.10 |
8.3.11, 8.3.16 |
7.4 |
6.2.2, 9.3, 12, 14.2 |
|
1 • Позначає довільне число між 6 та 11. |
||||||||
Таблиця 8.2.4 — Керування мережею
|
|
Практичні правила керування інформаційною безпекою |
Базовий стандарт безпеки ETSI — Функції та механізми |
Довідник з базового захисту IT |
Посібник з комп'ютерної безпеки NIST |
Категори- зація безпеки та захист інформаційних систем для охорони здоров'я |
Настанова з інформаційної безпеки ТС 68 |
Рекомендації для комп'ютерних робочих станцій |
Канадський посібник з безпеки інформа- ційних технологій |
|
1 Методика експлуатації |
8.5.1 |
— |
М2 |
— |
— |
8.2, 8.3 |
8.2 |
14.6 |
|
2 Планування системи |
8.2 |
— |
М2, М4 |
8.4 |
— |
6.1 |
8.4 |
|
|
3 Конфігурація мережі |
— |
— |
М4 |
— |
— |
9, 6.1 |
14.3 |
|
|
4 Відокремлення мережі |
9.4.6 |
— |
М2 |
— |
— |
— |
3.1 |
— |
|
5 Моніторинг мережі |
9.7 |
— |
М2 |
18.1.3 |
— |
8.2.7 |
— |
18.1.3 |
|
6 Виявлення вторгнень |
— |
— |
— |
18.1.3 |
— |
— |
6 |
18.1.3 |
Таблиця 8.2.5 — Криптографія
|
|
Практичні правила керування інформаційною безпекою |
Базовий стандарт безпеки ETSI — Функції та механізми |
Довідник з базового захисту IT |
Посібник з комп'ютерної безпеки NIST |
Категориза- ція безпеки та захист інформаційних систем для охорони здоров'я |
Настанова з інформаційної безпеки ТС 68 |
Рвкомен- даиїїдля коЙп’ю- терних робочих станцій |
Канадський посібник з безпеки інформаційних технологій |
|
1 Захист конфіденційності даних |
10.3.2 |
4.2.2, 5.2.2, додаток А |
М4 |
19.5.1 |
— |
8.23 |
8.1 |
19.5.1 |
|
2 Захист цілісності даних |
10.3.3 |
4.2.3, 5.2.3, додаток А |
М4 |
19.5.2 |
— |
8.23 |
8.1 |
19.5.2 |
|
3 Неспростовність |
10.3.4 |
4.2.6, 5.2.6, додаток А |
— |
19.2.3 |
— |
8.23 |
8.1 |
19.2.3 |
|
4 Автентичність даних |
10.3.2 |
4.2.3, 5.2.3, додаток А |
М4 |
19.5.2 |
— |
8.23 |
8.1 |
19.5.2 |
|
5 Керування ключами |
10.3.5 |
4.2.5, 5.2.5, додаток А |
— |
19.3 |
— |
8.23 |
8.1 |
19.3 |
