Практическое руководство по проверке

A.1 Техническая проверка мер и средств контроля и управления, применяемых против вредоносной программы

Мера и средство контроля и управления

ИСО/МЭК 27002 10.4.1 Меры и средства контроля и управления против вредоносной программы

Необходимо внедрить меры и средства контроля и управления, связанные с обнаружением, предотвращением и восстановлением, с целью защиты от вредоносной программы, а также процедуры, обеспечивающие соответствующую осведомленность пользователей.

Дополнительная техническая информация

Вредоносная программа (вредоносное программное средство) — это общий термин, используемый для обозначения кода, программного средства, программы, сценария, предназначенных для нанесения ущерба компьютерной системе путем хищения информации, мошенничества, шпионажа, саботажа и вандализма.

При внесении вредоносного программного средства в компьютерную систему может быть причинен ущерб системе или может быть похищена информация из системы. Также возможно, что оно причинит ущерб другим системам.

Вредоносное программное средство включает вирусы, червей, троянских коней, боты, шпионское программное средство, программы, запускающие рекламу, и другие нежелательные программные средства.

В условиях соединения сети организации с Интернетом аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны проверить, что функции обнаружения/предупреждения вредоносного программного средства комплексно и эффективно размещены на границе с Интернетом и эти функции действуют соответствующим образом.

Чтобы проверить, действуют ли функции обнаружения/предупреждения соответственно, аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны получить подтверждение, обновляются ли файлы-шаблоны или сигнатуры, используемые для обнаружения вредоносного программного средства.

Некоторые системы обнаружения/предупреждения разрабатываются для обнаружения вредоносного программного средства посредством использования файлов-шаблонов или сигнатур, а некоторые создаются для обнаружения аномального поведения компьютерной системы без использования файлов-шаблонов или сигнатур.

Поскольку существует несколько моделей соединения с Интернетом, таких как соединение сети организации с Интернетом через шлюз или подключение каждого персонального компьютера (ПК) к Интернету напрямую, аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны убедиться, что система обнаружения/предупреждения соответствующим образом работает при любой модели соединения.

Примечание — Аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны сознавать, что возможности системы обнаружения/предупреждения в отношении неизвестного вредоносного программного средства (такого как «Zero day») ограничены

1

Стандарт реализации безопасности

Установка и регулярное обновление программных средств по обнаружению вредоносных программ и исправлению ситуации для осуществления сканирования компьютеров и носителей данных в качестве предупредительной меры и средства контроля и управления или на стандартной основе. Проводимые проверки должны включать:

1) проверку любых файлов перед их использованием на электронных или оптических носителях данных или файлов, полученных по сети, на предмет наличия вредоносной программы;

2) проверку вложений электронной почты и загрузок на предмет наличия вредоносной программы перед их использованием; эта проверка должна осуществляться в разных точках, например, на почтовых серверах, в настольных компьютерах, при вхождении в сеть организации;

3) проверку веб-страниц на предмет наличия вредоносной программы

Техническое примечание к стандарту реализации безопасности

Система обнаружения/предупреждения вредоносного программного средства на межсетевом шлюзе, на входе в сеть организации должна соответствующим образом взаимодействовать с различными сетевыми сервисами или протоколами, такими как WWW, электронная почта и FTP <1>

1.1

Практическое руководство

Практические руководства 1), 2) и 3) применяются для «стандарта реализации безопасности»:

1) проверить комплексное и эффективное размещение системы/устройства обнаружения вредоносной программы и исправления ситуации для любых файлов на электронных или оптических носителях данных или файлов, полученных по сети, путем проверки спецификации системы или сетевых диаграмм.

Аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, проверяют комплексное и эффективное размещение системы обнаружения/предупреждения путем проверки спецификации системы или сетевых диаграмм;

2) проверить комплексное и эффективное размещение системы/устройства обнаружения вредоносной программы и исправления ситуации для любых вложений электронной почты и загрузок путем проверки спецификации системы или сетевых диаграмм, которые включают почтовые серверы, настольные компьютеры и межсетевой шлюз.

Система/устройство обнаружения вредоносной программы и исправления ситуации иногда четко описывается в спецификации системы как особое устройство, однако аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, отмечают, что она также размещается на серверах, предназначенных для предоставления некоторых других функций/сервисов (WWW, электронная почта и FTP), и таким образом в действительности она размещается в спецификации системы без четкого описания.

Для настольных ПК аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, отмечают, что система/устройство обнаружения вредоносной программы и исправления ситуации размещается наследственно в спецификации системы без четкого описания;

3) проверить комплексное и эффективное размещение системы/устройства обнаружения вредоносной программы и исправления ситуации для веб-страниц путем проверки спецификации системы или сетевых диаграмм, которые включают веб-сервер.

Для настольных ПК, использующихся для просматривания веб-страниц, аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, отмечают, что система/устройство обнаружения вредоносной программы и исправления ситуации располагается наследственно в спецификации системы без четкого описания. В этом случае система/устройство обнаружения вредоносной программы и исправления ситуации может располагаться наследственно в браузере.

Для веб-сервера система/устройство обнаружения вредоносной программы и исправления ситуации иногда четко описывается в спецификации системы как особое устройство, однако аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, отмечают, что она также располагается наследственно в спецификации системы без четкого описания.

Предполагаемые свидетельства

Спецификация системы, сетевые диаграммы

Метод

Изучение/Проверка

1.2

Практическое руководство

Практические руководства 1), 2) и 3) применяются для «Стандарта реализации безопасности»:

1) проверить размещение и соответствующее функционирование системы/устройства обнаружения вредоносной программы и исправления ситуации в отношении любых файлов на электронных или оптических носителях данных или файлов, полученных по сети, путем наблюдения за средствами обработки информации.

Проверить, работают ли соответствующим образом программные средства менеджмента в интегрированной системе в условиях, когда система/устройство обнаружения вредоносной программы и исправления ситуации регулируется в интегрированной системе;

2) проверить размещение и соответствующее функционирование системы/устройства обнаружения вредоносной программы и исправления ситуации для любых вложений электронной почты и загрузок на почтовых серверах, в выборочных настольных компьютерах и шлюзе путем наблюдения за средствами обработки информации.

Для электронной почты проверить, работает ли система/устройство обнаружения не только в отношении вложенных файлов, но и в отношении вредоносной программы на html-странице электронной почты;

3) проверить размещение и соответствующее функционирование системы/устройства обнаружения вредоносной программы и исправления ситуации в отношении любых веб-страниц путем наблюдения за средствами обработки информации.

Для настольных ПК, использующихся для просматривания веб-страниц, проверить, работает ли система/устройство обнаружения в отношении несанкционированных «Active X control», скриптов <1> и т.д.

Для веб-сервера проверить, работает ли система/устройство обнаружения не только в отношении html-файлов, но и в отношении вредоносной программы в веб-сервисах, таких как и Apache, IIS <2> и т.д.

Предполагаемые свидетельства

Средства системы/устройства обнаружения вредоносной программы и исправления ситуации размещаются, например, на/в:

— файловом сервере;

— почтовом сервере;

— выборочных настольных ПК;

— мобильных компьютерах;

— единой системе обнаружения вредоносной программы и исправления ситуации, размещенной на межсетевом шлюзе (границе между сетью организации и Интернетом);

— веб-сервере;

— прокси-сервере;

— веб-браузере;

— иных устройствах (например, на устройстве для блокирования USB, вставляемом физически).

Метод

Изучение/Наблюдение

1.3

Практическое руководство

Собрать журналы регистрации системы обнаружения и исправления ситуации и проверить, показывают ли записи журналов регистрации, что система работает и что при обнаружении вредоносного программного средства принимаются необходимые меры.

Примечания

1 Для настольных ПК стандартные журналы регистрации системы обнаружения и исправления ситуации хранятся в ПК. Для серверов и внешних устройств эти журналы регистрации иногда передаются в другие системы через протокол передачи, такой как syslog, и хранятся в них.

2 Для настольных ПК, использующихся для просмотра веб-страниц, функция обнаружения в веб-браузере может не создавать записи в журнале регистрации, показывающие, что функция работает. Чаще большинство браузеров показывает сообщение, когда обнаруживаются несанкционированные скрипты.

Предполагаемые свидетельства

— Система обнаружения в процессе эксплуатации

— Журналы регистрации системы обнаружения

— Записи сигналов тревоги системы обнаружения

— Сообщения системы обнаружения в веб-браузере

Метод

Изучение/Наблюдение

2

Стандарт реализации безопасности

Программные средства по обнаружению вредоносной программы и исправлению ситуации для осуществления сканирования компьютеров и носителей данных в качестве предупредительной меры должны обновляться регулярно или на стандартной основе

Техническое примечание к стандарту реализации безопасности

Для большинства случаев существуют функции автоматического обновления файлов-шаблонов или сигнатур

2.1

Практическое руководство

Проверить проектирование программных средств по обнаружению вредоносной программы и исправлению ситуации на предмет обновления файлов-шаблонов или сигнатур автоматически или на стандартной основе

Предполагаемые свидетельства

Проект или спецификация системы обнаружения

Метод

Изучение/Проверка

2.2

Практическое руководство

Проверить установки программных средств по обнаружению вредоносной программы и исправлению ситуации на предмет обновления файлов-шаблонов или сигнатур автоматически или на стандартной основе

Предполагаемые свидетельства

Установки системы обнаружения

Метод

Изучение/Наблюдение

2.3

Практическое руководство

Проверить осуществление обновления файлов-шаблонов или сигнатур, проведя наблюдение за наименованием продукта, версией и журналом регистрации обновлений файлов-шаблонов или сигнатур.

Примечание — Информацию о наименовании продукта и версии системы обнаружения и исправления ситуации можно найти в справочном файле продукта

Предполагаемые свидетельства

Информация о системе обнаружения/предупреждения, т.е:

— наименование продукта;

— версия продукта;

— версия файлов-шаблонов или сигнатур

Метод

Изучение/Наблюдение

A.2 Техническая проверка мер и средств контроля и управления для контрольной регистрации

Мера и средство контроля и управления

ИСО/МЭК 27002 10.10.1. Контрольная регистрация

Необходимо вести и хранить в течение согласованного периода времени контрольные журналы, регистрирующие действия пользователей, нештатные ситуации и события информационной безопасности, чтобы помочь в будущих расследованиях и проведении контроля управления доступом

Дополнительная техническая информация

Для обнаружения несанкционированных действий по обработке информации важно создание записей в контрольных журналах, которые используются для отслеживания действий пользователей, операторов систем, связанных с безопасностью событий и систем.

Чтобы можно было проанализировать, происходит ли несанкционированная деятельность и связанные с безопасностью события, контрольные журналы должны содержать следующую информацию:

— идентификатор пользователя;

— дату и время;

— основные события, такие как вход в систему и выход из системы;

— идентификатор терминала;

— сетевой адрес и протоколы.

Для создания необходимых записей, включая вышеприведенную информацию, оборудование, создающее контрольные журналы, должно быть соответствующим образом настроено или к нему должны применяться некоторые правила. Метод протоколирования зависит от структуры и архитектуры системы и реализованных приложений.

Аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны учитывать различие методов протоколирования для различной архитектуры систем, например, серверов и ПК.

Примечание — Примеры структур системы, которые затрагиваются:

— система клиент-сервер;

— система на базе Интернет-технологий;

— система «тонкий клиент»;

— виртуализация;

— использование ASP (поставщиков услуг по аренде приложений), SaaS (программного обеспечения как услуги) или облачных вычислений.

Примеры архитектур систем, которые затрагиваются:

— UNIX, Linux;

— Windows;

— мэйнфрейм.

Примеры видов контрольных журналов, которые затрагиваются:

— системный журнал;

— контрольный журнал прикладных программ.

1

Стандарт реализации безопасности

Должны создаваться контрольные журналы, фиксирующие действия пользователей, отклонения от нормы и события, связанные с информационной безопасностью. Контрольные журналы должны включать, где это необходимо:

a) идентификаторы пользователей;

b) дату, время и подробности основных событий, например, входа в систему и выхода из системы;

c) идентификатор терминала или местонахождение, если это возможно;

d) записи успешных и неудачных попыток доступа к системе;

e) записи успешных и неудачных попыток доступа к данным и другим ресурсам;

f) описания изменений в конфигурации системы;

h) описание использования утилит и приложений;

i) файлы, к которым получен доступ, и вид доступа;

j) сетевые адреса и протоколы;

k) сигналы тревоги, производимые системой управления доступом;

l) описание активации и деактивации систем защиты, таких как антивирусные системы и системы обнаружения вторжений

Техническое примечание к стандарту реализации безопасности

Чтобы обнаружить связанные с безопасностью события и выяснить их причины, аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, проверяют и анализируют состояние функционирования, использования и изменения систем по записям контрольного журнала. Чтобы расследовать события и причинную связь инцидентов нужно сочетать контрольные журналы многих систем. По этой причине важно понимание местонахождения и вида контрольных журналов с точки зрения структуры/архитектуры/конфигурации систем

1.1

Практическое руководство

Проверить, основано ли проектирование протоколирования данных аудита системы на стандарте реализации безопасности

Предполагаемые свидетельства

— Документация спецификации

— Документация определения требований

— Документация проектирования программного обеспечения

Метод

Изучение/Проверка

1.2

Практическое руководство

Проверить, таковы ли установки конфигурационных файлов протоколирования данных аудита системы, как описано в документации по проектированию системы

Предполагаемые свидетельства

— Документация проектирования программного обеспечения

— Конфигурационный файл системы

Метод

Изучение/Наблюдение

1.3

Практическое руководство

Проверить, таковы ли записи существующих контрольных журналов, как описано в документации по проектированию системы.

Примечание — В контрольных журналах есть записи, появляющиеся постоянно, и записи, такие как записи об ошибках, появляющиеся в определенных случаях. Чтобы проверить, фиксирует ли система записи, появляющиеся только в определенных случаях, аудиторам, проводящим проверку мер и средств контроля и управления информационной безопасностью, может потребоваться применение различных мер, включая создание совокупности тестовых данных, проверку документации по проектированию системы

Предполагаемые свидетельства

— Контрольный журнал

Метод

Изучение/Наблюдение

1.4

Практическое руководство

Проверить целостность записей в контрольных журналах, чтобы определить, является ли протоколирование данных аудита соответствующим.

Примечание — Некоторые записи, которые должны фиксироваться в контрольных журналах, могут отсутствовать из-за недостатков в функционировании, возможностях системы или по каким-то другим причинам, даже если установка протоколирования данных аудита является соответствующей

Предполагаемые свидетельства

— Контрольный журнал

Метод

Изучение/Наблюдение

2

Стандарт реализации безопасности

Контрольные журналы должны храниться в течение согласованного периода времени для содействия будущим расследованиям и мониторингу управления доступом

Техническое примечание к стандарту реализации безопасности

В некоторых случаях периоды хранения контрольных журналов определяются целями бизнеса, договором и законами/предписаниями. Например, контрольные журналы, которые содержат сигналы тревоги, поднятые системой управления доступом, должны храниться до завершения расследования событий и причинной связи инцидентов.

Примечание — Хранение контрольных журналов относительно «молодой» системы, деятельность которой только что началась, не осуществляется в течение согласованного периода времени. В этом случае для выполнения практического руководства 2.3 нужно провести проверку по практическим руководствам 2.1 и 2.2

2.1

Практическое руководство

Проверить, таков ли период хранения контрольных журналов, как описано в документации по проектированию системы

Предполагаемые свидетельства

— Контрольный журнал

— Документация по проектированию системы

Метод

Изучение/Наблюдение

2.2

Практическое руководство

Проверить, установлен ли период хранения контрольных журналов системы, как описано в документации по проектированию системы, или, не применяются ли установки перезаписи или стирания контрольных журналов до завершения периода хранения

Предполагаемые свидетельства

— Контрольный журнал

— Документация по проектированию системы

Метод

Изучение/Наблюдение

2.3

Практическое руководство

Проверить, превышает ли период хранения контрольных журналов период, установленный путем наблюдения отметок времени в контрольных журналах, или фиксирование времени в контрольном журнале

Предполагаемые свидетельства

— Контрольный журнал

— Документация по проектированию системы

Метод

Изучение/Наблюдение

A.3 Техническая проверка мер и средств контроля и управления для управления привилегиями

Мера и средство контроля и управления

ИСО/МЭК 27002 11.2.2. Управление привилегиями

Предоставление и использование привилегий необходимо ограничивать и контролировать

Дополнительная техническая информация

Управление привилегиями является важной задачей, потому что несоответствующее использование привилегий оказывает существенное влияние на системы. Состояние распределения привилегий должно быть описано в документах, определяющих привилегии (документация определения привилегий). Поскольку привилегии доступа связаны с каждым системным продуктом (операционная система, система управления базой данных и каждое приложение), то они отличаются.

Примеры видов привилегий:

— суперпользователь (UNIX, Linux);

— администратор (Windows);

— оператор резервного копирования (Windows);

— опытный пользователь (Windows);

— администратор системы (DBMS <1>);

— администратор базы данных (DBMS).

Распределение привилегий должно быть минимальным, на основе принципа необходимого использования. К тому же они не обязательно должны распределяться постоянно.

Метод управления привилегиями различается в системах. Примеры управления привилегиями на основе систем:

— в операционной системе (ОС) привилегии определяет ACL <2>;

— в DBMS различные привилегии определяются по умолчанию;

— в приложении могут определяться различные привилегии по умолчанию для функции менеджмента приложения, поэтому аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны заранее определить уровень проверки;

— в защищенных ОС есть функция обязательного управления доступом

1

Стандарт реализации безопасности

Должны быть определены привилегии доступа, связанные с каждым системным продуктом, например, ОС, системой управления базой данных и каждым приложением, а также пользователи, среди которых нужно распределить привилегии

Техническое примечание к стандарту реализации безопасности

Деятельность наделенных привилегиями пользователей должна подвергаться мониторингу, поскольку несоответствующее использование привилегий оказывает существенное влияние на системы. Методы обнаружения несоответствующего использования привилегий различаются, если архитектура систем различна.

Примечание — Типичными архитектурами систем являются:

— мэйнфрейм;

— Windows;

— UNIX, Linux;

— защищенные операционные системы

1.1

Практическое руководство

Проверить, описано ли распределение привилегий в документации определения привилегий

Предполагаемые свидетельства

Документация определения привилегий

Метод

Изучение/Наблюдение

1.2

Практическое руководство

Проверить, таковы ли установки конфигурации системы, как описано в документах, определяющих привилегии. Метод проверки действия привилегий различается в зависимости от архитектуры систем.

Примеры метода проверки действия привилегий:

1) (в случае мэйнфрейма) проверить, является ли состояние использования привилегий соответствующим, посредством проверки отчета RACF <1>;

2) (в случае UNIX, Linux или Windows) проверить, является ли состояние использования привилегий соответствующим, путем изучения журналов регистрации, показывающих использование привилегий.

Примечания

1 RACF — это связующее программное обеспечение менеджмента безопасности в мэйнфрейме.

2 В UNIX или Linux рискованно проверять только вход в систему с полномочиями суперпользователя для исследования несоответствующего использования привилегий суперпользователя. Причина этого заключается в том, что обычный пользователь может стать суперпользователем, использовав команду «su» после входа в систему UNIX или Linux.

Предполагаемые свидетельства

— Документация определения привилегий

— Список управления доступом

— Отчет RACF

Метод

Изучение/Наблюдение

2

Стандарт реализации безопасности

Привилегии должны быть назначены другому идентификатору пользователя, отличному от того, который применяется для обычного использования в бизнесе

Техническое примечание к стандарту реализации безопасности

В случае доступа по привилегиям существует возможность несанкционированной деятельности по случайности, и ситуация использования привилегий регулярно становится очагом несанкционированного доступа.

Если деятельность не требует привилегий, пользователи должны использовать стандартный идентификатор. Если разрешен вход в систему по привилегии «суперпользователь», то из журнала регистрации невозможно идентифицировать, кто входит в систему

2.1

Практическое руководство

Проверить, имеют ли привилегированные пользователи обычный идентификатор пользователя помимо привилегированного идентификатора, путем наблюдения за ACLs систем

Предполагаемые свидетельства

— Список управления доступом

Метод

Изучение/Наблюдение

2.2

Практическое руководство

Проверить, используют ли для привилегии иной идентификатор пользователя, отличный от того, который применяется для обычного бизнеса, посредством наблюдения за системным журналом регистрации.

В случае UNIX или Linux проверить, что системная конфигурация способствует тому, что система не допускает вход с полномочиями «суперпользователя».

Примечание — Аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны прибегнуть к опросам для проверки, применяется ли в случае привилегии иной идентификатор пользователя, отличный от того, который применяется для обычного использования в бизнесе, когда журнал регистрации показывает, что в случае привилегии используется только привилегированный идентификатор

Предполагаемые свидетельства

— Системный журнал регистрации

— Системная конфигурация входа с полномочиями «суперпользователя»

Метод

Изучение/Наблюдение

A.4 Техническая проверка мер и средств контроля и управления для резервирования информации

Мера и средство контроля и управления

ИСО/МЭК 27002 10.5.1. Резервирование информации

Резервное копирование информации и программного средства должно выполняться и тестироваться на регулярной основе в соответствии с установленной политикой резервирования

Дополнительная техническая информация

Чтобы соответствующим образом проводить резервное копирование, должен быть определен стандарт организации в соответствии с политикой резервного копирования, и он должен отражаться в проектной документации по резервному копированию.

Резервные копии используются для восстановления важной информации или программ в случаях, сопровождающихся потерей данных, таких как бедствие или сбой носителя данных.

При проектировании резервного копирования организации следует выбрать адекватную площадку для резервного копирования, канал резервного копирования и метод резервного копирования в соответствии с политикой резервного копирования.

Организация должна выбрать, какой будет площадка для резервного копирования — внутренней или внешней. Создание резервной копии и восстановление при резервном копировании на месте считаются значительно более быстрыми по сравнению с их осуществлением при внешнем резервном копировании.

Внешнее резервное копирование часто выбирается с целью предотвращения влияния локальных бедствий, таких как пожар, затопление или землетрясение. Организация должна определить, каким будет канал резервного копирования — онлайновый или офлайновый. Онлайновое резервное копирование означает, что данные копируются через сеть или линию связи. Офлайновое резервное копирование означает, что резервные копии данных физически транспортируются на переносных носителях, таких как цифровая лента с линейной записью или компакт-диск/цифровой многофункциональный диск.

Метод резервного копирования подразделяется на полное резервное копирование, инкрементное резервное копирование и дифференциальное резервное копирование.

Полное резервное копирование означает, что делается резервная копия всех данных, выбранных для резервного копирования. Оно требует больше времени и информационной емкости по сравнению с другими методами, но является наиболее простым и легким методом с точки зрения восстановления.

Инкрементное резервное копирование означает, что делается резервная копия данных, изменившихся со времени последнего резервного копирования. Оно требует меньше времени и информационной емкости по сравнению с другими методами, но является наиболее сложным методом с точки зрения восстановления.

Дифференциальное резервное копирование означает, что делается резервная копия данных, изменившихся со времени последнего полного резервного копирования. Оно требует меньше времени и информационной емкости, чем полное резервное копирование, и является более простым и легким методом с точки зрения восстановления, по сравнению с инкрементным резервным копированием

1

Стандарт реализации безопасности

Степень (например, полное или дифференциальное резервное копирование) и частота резервного копирования должны определяться требованиями бизнеса организации, требованиями безопасности задействованной информации и критичностью информации для непрерывной деятельности организации

Техническое примечание к стандарту реализации безопасности

В соответствии с требованиями своего бизнеса организация должна выбрать адекватное время резервного копирования/восстановления и информационную емкость для резервного копирования. Специалисты по оценке должны оценить, адекватный ли метод резервного копирования выбран для выполнения требований бизнеса.

Примерами повторяемости, которая используется, являются:

— зеркальное копирование или тиражирование в режиме реального времени (когда критичность информации максимальна);

— ежедневное копирование (когда требуется восстановление данных с резервной копии с давностью, по крайней мере, в пределах дня);

— еженедельное копирование;

— ежемесячное копирование.

1.1

Практическое руководство

Проверить, основано ли проектирование резервного копирования на стандарте реализации безопасности

Предполагаемые свидетельства

— Документально оформленная спецификация резервного копирования

— Документально оформленные определения требований бизнеса и требований безопасности

— Проектная документация по резервному копированию

Метод

Изучение/Проверка

1.2

Практическое руководство

Проверить, таковы ли установки конфигурационных файлов системы для резервного копирования, как описано в проектной документации по резервному копированию

Предполагаемые свидетельства

— Проектная документация по резервному копированию

— Конфигурационные файлы системы для резервного копирования

Метод

Изучение/Проверка

1.3

Практическое руководство

Проверить, осуществляется ли резервное копирование, как описано в проектной документации по резервному копированию

Предполагаемые свидетельства

— Проектная документация по резервному копированию

— Журналы регистрации

— Резервные носители данных

Метод

Изучение/Наблюдение

2

Стандарт реализации безопасности

Процедуры восстановления должны регулярно проверяться и тестироваться, чтобы обеспечить уверенность в их эффективности и возможности их выполнения в течение времени, выделенного в операционных процедурах для восстановления

Техническое примечание к стандарту реализации безопасности

Сложность и требуемое время восстановления различаются в зависимости от используемого метода, такого как полное или дифференциальное резервное копирование.

Должен подготавливаться и документироваться план тестирования и проверки процедур восстановления

2.1

Практическое руководство

Проверить, регулярно ли проверяется план тестирования и проверки

Предполагаемые свидетельства

— Записи о проверке плана тестирования и проверки

Метод

Изучение/Проверка

2.2

Практическое руководство

Проверить, регулярно ли тестируется план тестирования и проверки, чтобы обеспечить уверенность в эффективности процедур восстановления и возможности их выполнения в течение времени, выделенного в операционных процедурах для восстановления

Предполагаемые свидетельства

— Записи тестирования восстановления

— План тестирования и проверки

Метод

Изучение/Проверка

A.5 Техническая проверка мер и средств контроля и управления для обеспечения безопасности сетевых услуг

Мера и средство контроля и управления

ИСО/МЭК 27002 10.6.2. Безопасность сетевых услуг

Средства обеспечения безопасности, уровни услуг и требования в отношении менеджмента всех сетевых услуг должны быть определены и включены в любой договор по сетевым услугам, вне зависимости от того, будут ли они обеспечиваться силами организации или в рамках договоров аутсорсинга

Дополнительная техническая информация

Сетевая услуга — это услуга, предоставляемая в сетевой вычислительной среде либо внутри организации, либо с использованием аутсорсинга. Когда организация использует сетевые услуги, конфиденциальная информация организации может передаваться способом, присущем аутсорсинговой сетевой услуге. Таким образом, специалисты по оценке должны учитывать, что необходимые функции безопасности, такие как шифрование и/или аутентификация, обеспечиваются привлеченным поставщиком сетевых услуг.

Примерами систем, используемых для сетевых услуг, являются:

— DNS <1>;

— DHCP <2>;

— межсетевой экран/виртуальная частная сеть;

— антивирусный детектор;

— IDS <3>/IPS <4>

1

Стандарт реализации безопасности

Должны быть идентифицированы необходимые для конкретных услуг меры безопасности, такие как функции безопасности, уровни услуг и требования менеджмента. Организация должна обеспечить уверенность в том, что поставщики сетевых услуг реализуют эти меры

Техническое примечание к стандарту реализации безопасности

При использовании сетевых услуг важны меры безопасности, обеспечивающие защиту передаваемой посредством их информации.

Требования функций безопасности обычно включаются в требования бизнеса.

Примеры функций безопасности, связанных с сетевыми услугами:

— шифрование для защиты от подслушивания;

— управление сетевым доступом для защиты от несанкционированного доступа;

— IDS/IPS для защиты от злонамеренных действий;

— фильтрация URL <5> для защиты от несанкционированного веб-доступа;

— реагирование на инциденты, т.е. на неожиданные события, связанные с безопасностью

1.1

Практическое руководство

Проверить, удовлетворяет ли требованиям бизнеса, правовым требованиям и требованиям безопасности организации договорная документация, включая предоставляемое поставщиком услуг SLA

Предполагаемые свидетельства

— Договорная документация

— Документация, определяющая требования

Метод

Изучение/Проверка

1.2

Практическое руководство

В случае внутренних сетевых услуг проверить, таковы ли, как описано в проектной документации на сетевые услуги, установки системы, используемой для сетевых услуг

Предполагаемые свидетельства

— Конфигурация системы

— Проектная документация на сетевые услуги

Метод

Изучение/Проверка

1.3

Практическое руководство

В случае внутренних сетевых услуг проверить, таковы ли, как описано в проектной документации на сетевые услуги, записи существующих системных журналов регистрации, используемых для сетевых услуг.

Примеры записей, относящихся к сетевым услугам:

— аутентификация;

— шифрование;

— меры и средства контроля и управления сетевыми соединениями;

— скорость коммутации;

— реакция (в случае онлайновых систем);

— продолжительность простоя

Предполагаемые свидетельства

— Системные журналы регистрации

— Предупредительные сигналы тревоги

— Проектная документация на сетевые услуги

Метод

Изучение/Наблюдение

A.6 Техническая проверка мер и средств контроля и управления для обязанностей пользователей

Мера и средство контроля и управления

ИСО/МЭК 27002 11.3.1. Использование паролей

Пользователи должны придерживаться общепринятой практики в области безопасности при выборе и использовании паролей

Дополнительная техническая информация

Для предотвращения несанкционированного доступа к компьютерным ресурсам следует создавать пароли и хранить их в секрете от тех, кому не разрешен доступ.

Паролевая аутентификация — это метод аутентификации пользователя, используемый несколькими ресурсами, такими как операционные системы, программы, базы данных, сети или веб-сайты. Качество пароля зависит от его длины и вида символов, таких как буквенно-цифровые символы и знаки.

В некоторых операционных системах, таких как Windows, у пользователей может быть возможность конфигурирования параметров политики паролей. С другой стороны, разработчики приложений могут разработать функцию аутентификации для конфигурирования политики паролей.

Специалисты по оценке должны оценить эффективность функций авторизации с паролями, размещенных на вычислительных средствах, и соответствующую работу этих функций

1

Стандарт реализации безопасности

Выбор качественных паролей достаточной минимальной длины, которые:

1) легко запоминаются;

2) не основаны на том, что кто-то другой может легко отгадать или получить, используя связанную с данным лицом информацию, например, фамилии, номера телефонов, даты рождения и т.д.;

3) невосприимчивы к атакам методом подбора по словарю (т.е. не состоят из слов, включенных в словари);

4) не состоят из последовательных, идентичных, полностью цифровых или полностью буквенных символов

Техническое примечание к стандарту реализации безопасности

Пароли, которые легко запомнить другому пользователю, уязвимы в целом

1.1

Практическое руководство

Проверить, прописаны ли в политике паролей организации правила выбора паролей

Предполагаемые свидетельства

— Политика паролей организации

Метод

Изучение/Проверка

1.2

Практическое руководство

Проверить, таковы ли, как описано в политике паролей организации, установки конфигурации системы (политика паролей системы)

Предполагаемые свидетельства

— Конфигурация системы (политика паролей системы)

— Политика паролей организации

Метод

Изучение/Наблюдение

1.3

Практическое руководство

Проверить, отражено ли изменение пользователями паролей в журналах регистрации

Предполагаемые свидетельства

— Системный журнал регистрации

Метод

Изучение/Наблюдение