страница 1
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Похожие работы
|
Система управления информационной безопасностью «Базовый уровень информационной безопасности - страница №1/1
СИСТЕМА ДОБРОВОЛЬНОЙ СЕРТИФИКАЦИИ «СВЯЗЬ – ЭФФЕКТИВНОСТЬ» РОСС RU.М821.04ФБГ0 Требования, программа и методика сертификационных испытаний Москва 2011 Содержание 1 Введение 2 Область применения 3 Нормативные ссылки, определения и сокращения 4 Требования 4.1. Общие рекомендации 4.2.Требования к политикам оператора 4.3.Требования к функциональности 4.4. Требования к взаимодействию 5 Программа сертификационных испытаний 5.1. Объект испытаний 5.2. Цель испытаний 6 Методика проведения сертификационных испытаний 6.1. Условия проведения испытаний 6.2. Методика проверки 1 Введение Требования к Системе управления информационной безопасностью «Базовый уровень информационной безопасности операторов связи» (далее – Требования) определяют базовый уровень информационной безопасности, используя который, каждый оператор может оценить состояние сетевой и информационной безопасности, учитывая то, какие стандарты безопасности актуальны, какие из этих стандартов должны быть использованы, когда они должны быть использованы и как они должны применяться.Кроме того описывается готовность и способность оператора связи взаимодействовать с другими операторами, пользователями и правоохранительные органами с целью совместного противодействия угрозам информационной безопасности. Требования представляют собой минимальный набор рекомендаций, реализация которых будет гарантировать достаточный уровень информационной безопасности коммуникационных услуг, позволяя при этом обеспечить баланс интересов операторов, пользователей и регулятора. Программа и методика определяют все виды, условия, объем и методы сертификационных испытаний базового уровня информационной безопасности операторов связи. Настоящий документ может быть использован для случаев, когда оператор связи:
2 Область применения
3 Нормативные ссылки, определения и сокращения 3.1. В настоящих Требованиях, программе и методике использованы ссылки на следующие нормативные документы:
3.2. В настоящих Требованиях, программе и методике использованы термины соответствующие определениям Федерального закона «О связи», а также дополнительно определены следующие термины и сокращения: Аккаунт – персональная учетная запись пользователя информационной системы, программного обеспечения оборудования, включающее имя пользователя (логин), его скрываемые индивидуальные признаки (пароль) и другие сведения, необходимые для получения доступа. Антивирусное программное обеспечение – специальное программное обеспечение, предназначенное для выявления и деактивации (блокирования) вредоносного программного кода, специально созданного для нарушения целостности, доступности и конфиденциальности данных. Атака типа «отказ в обслуживании» – преднамеренное воздействие на информационную систему или оборудование с целью создания условий, при которых правомерные пользователи не могут получить доступ к предоставляемым системой или оборудованием ресурсам или такой доступ будет затруднен. Информационная безопасность оператора связи – состояние защищенности информационных ресурсов оператора связи и поддерживающей их инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба оператору связи, пользователям услуг связи, и характеризуемая способностью обеспечивать конфиденциальность, целостность и доступность информации при ее хранении, обработке и передаче. Лицензионное соглашение – договор между владельцем программного обеспечения и пользователем ее копии Неавторизованный доступ – способ доступа, при котором пользователи информационной системы или оборудования не различаются между собой. Оператор связи – юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии. Политика безопасности оператора связи – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи. Провайдер услуг – юридическое лицо, занимающееся предоставлением (доставкой) абоненту услуг связи определенного вида и обеспечивающее согласованное использование сетевых возможностей, связанных с данными услугами. Спам – незапрашиваемая корреспонденция, передаваемая в электронном виде (как правила, средствами электронной почты). Управление рисками – процесс определения, контроля, уменьшения или полного устранения (с приемлемыми затратами) рисков для информационной безопасности, которые могут повлиять на информационные системы оператора связи и поддерживающую их инфраструктуру. 4 Требования 4.1. Общие рекомендации Возможный вред, причиняемый применяемыми средствами защиты, должен быть существенно меньше вреда, для противодействия которому эти средства используются. При передаче управляющей информации для коммуникационного оборудования в случаях, когда оно это позволяет, следует применять средства обеспечения конфиденциальности и целостности либо физически изолировать сегменты сети оператора, предназначенные для сетевого управления. В договорах, заключаемых с клиентами-юридическими лицами, следует рекомендовать владельцам информационных ресурсов иметь специально выделенных лиц, ответственных за информационную безопасность ресурсов клиентов. Эти лица должны иметь достаточные квалификацию (подтвержденную аттестатом) и полномочия для противодействия угрозам безопасности. 4.1.9. Оператору и/или владельцу информационного ресурса следует предупреждать пользователей о наиболее распространённых угрозах, связанных с использованием услуг и информационных ресурсов, либо предоставлять ссылку на авторитетные информационные ресурсы по данной проблеме. Операторы должны рекомендовать клиентам использовать антиспуфинговые фильтры на своем пограничном CPE оборудовании. 4.2.Требования к политикам оператора
4.3.Требования к функциональности
4.4. Требования к взаимодействию
5 Программа сертификационных испытаний 5.1. Объект испытаний Объектом сертификационных испытаний является базовый уровень информационной безопасности операторов связи. Целью сертификационных испытаний является подтверждение соответствия системы управления информационной безопасностью оператора электросвязи требованиям к Системе управления информационной безопасностью «Базовый уровень информационной безопасности операторов связи».
По окончании проведения сертификационных испытаний по приведенным выше показателям, полученные результаты оформляются отдельным протоколом по каждой группе показателей. Каждый протокол должен содержать следующие разделы: - дата и место проведения испытаний; - объект испытаний; - состав комиссии; - цель испытаний; - нормативная документация; - метод испытаний; - результаты испытаний; - выводы. 6 Методика проведения сертификационных испытаний 6.1. Условия проведения испытаний Сертификационные испытания осуществляются путем сбора данных по каждому показателю, установленному в «Требованиях к базовому уровню информационной безопасности операторов связи», их обработке, согласно настоящей Методики, и сравнения их с установленными требованиями. По результатам испытаний делается вывод о соответствии/несоответствии полученных результатов установленным требованиям. 6.2. Методика проверки 6.2.1. Требования к снижению рисков Метод сертификационных испытаний: Анализ внутрифирменной документации, включающей проекты построения сети связи оператора связи. В документации должны быть отражены вопросы о необходимости и целесообразности применения средств защиты и приведена оценка применяемых средств защиты для снижения риска использования нарушителями уязвимостей в защищаемых информационных ценностях и услугах. Также должен быть приведен анализ экономической оправданности применения используемых средств защиты. 6.2.2. Требования к разработке приложений Метод сертификационных испытаний: Анализ внутрифирменной документации, регламентирующей правила разработки приложений и услуг, предоставляемых клиентам. Анализ представленного в декларативной форме соответствия применяемых методов разработки требованиям стандарта ISO 27001. Документы должны отражать вопросы, связанные с анализом, разработкой, внедрением и мониторингом системы управления информационной безопасности. 6.2.3. Требования к методам защиты Метод сертификационных испытаний: Анализ внутрифирменной документации, подтверждающей, что применяемые методы и средства защиты не направлены против третьих лиц и не причиняют умышленный вред третьим лицам или их ресурсам. 6.2.4. Требования к системе обнаружения спама Метод сертификационных испытаний: Анализ внутрифирменной и технической документации, подтверждающей использование на каждом оконечном сервере электронной почты системы обнаружения спама во входящих сообщениях и пометка незапрашиваемых сообщений. При проведении проверок по данному пункту необходимо сгенерировать поток сообщений для тестового почтового ящика. Тело данных сообщений должно содержать информацию, которая может быть идентифицирована как спам. В настройках сервера электронной почты указать заданный контент поиска. Полученные сообщения должны быть идентифицированы и помечены сервером как спам. 6.2.5. Требования к техническим и организационным мерам Метод сертификационных испытаний: Анализ внутрифирменной документации и технической документации на средства, применяемые для обнаружения и предотвращения атак. Анализ должностных инструкций, отражающих действия персонала при обнаружении атак. При проведении проверок по данному пункту должен быть сгенерирован поток пакетов, имитирующий атаку типа «отказ в обслуживании» (например, попытка открытия большого числа TCP-соединений на публичных WEB-серверах и сервере электронной почты). Средства защиты должны обнаружить источник атаки и заблокировать его. После появления на экране АРМ системы обнаружения и предотвращения атак информации о данном событии обслуживающий персонал должен выполнить действия в соответствии со своей должностной инструкцией. 6.2.6. Требования к системам обнаружения и предупреждения атак Метод сертификационных испытаний: Анализ внутрифирменной и технической документации, подтверждающей использование систем обнаружения и предупреждения атак, осуществляющих в реальном масштабе времени выборочную проверку трафика, принимаемого от клиентов или других операторов. Проводится оценка интеграции сетевых и хостовых датчиков сбора информации системы обнаружения и предотвращения атак в структуру действующей сети оператора связи. Датчики должны собирать следующую информацию со всех сегментов и хостов сети:
Журналы регистрации должны фиксировать даты обновления баз сигнатур атак, на противодействие которых направлена данная система обнаружения и предотвращения атак. При проведении проверок по данному пункту должен быть сгенерирован поток пакетов с заранее определенным телом сообщения. Система обнаружения и предотвращения атак должна быть настроена таким образом, чтобы выявить поток заданных сообщений. 6.2.7. Требования к хранению и передаче информации Метод сертификационных испытаний: Анализ внутрифирменной документации, регламентирующей правила хранения и доступа к информации систем управления, автоматизированных систем расчета за услуги связи и персональных данных абонентов. Анализ технической документации, описывающей средства, применяемые для обеспечения целостности и конфиденциальности хранимой и передаваемой информации. При проведении проверок по данному пункту проводятся попытки неавторизованного доступа к базам данных. Защита от несанкционированного доступа к информации должна быть реализована путем введения системы паролей, обеспечивающих различный уровень доступа пользователей к базам данных, нормативно-справочной информации и программному обеспечению. Неавторизованный доступ должен быть запрещен. Анализ технической документации на правила построения сети связи оператора, описание программных и/или технических средств, используемых для обеспечения целостности передаваемой управляющей информации на коммуникационное оборудование. Сегмент сети, в котором содержащий конфиденциальную информацию, должен быть отделен от общего сегмента сети. 6.2.8. Требования к действиям при утрате баз данных Метод сертификационных испытаний: Анализ внутрифирменной документации и инструкций, регламентирующих действия при утрате баз данных абонентов других операторов связи. Наличие соглашений между операторами связи при совместном использовании информационных баз данных абонентов, в которых должны быть определены сроки об информировании операторов связи при утрате баз данных их абонентов. 6.2.9. Требования к предупреждению пользователей об угрозах Метод сертификационных испытаний: Анализ внутрифирменной документации и инструкций, регламентирующих действия при работе с клиентом, обеспечивающих предоставление информации клиентам о возможных угрозах, связанных с использованием услуг и информационных ресурсов. Анализ отражения данной политики в рекламных материалах, предоставляемых клиентам, или в зарегистрированных мероприятиях по предупреждению данных угроз. 6.2.10. Требования к политике безопасности оператора связи Метод сертификационных испытаний: Анализ внутрифирменной документации, регламентирующей процедуры, правила, директивы и практические навыки, которые определяют то, как информационные ценности обрабатываются, защищаются и распространяются в организации и между информационными системами. Анализ набора критериев для предоставления сервисов безопасности. Анализ должностных инструкций и регламентов использования вычислительных и коммуникационных ресурсов, а также разработанных процедур, предотвращающих или реагирующих на нарушения режима безопасности. Анализ нормативной документации, определяющей ответственность, полномочия и требования к профессиональной подготовке персонала в рамках информационной безопасности. Анализ документов, подтверждающих профессиональную подготовку персонала, обеспечивающего поддержку средств информационной защиты (дипломов, сертификатов, удостоверений). Анализ внутрифирменной документации, регламентирующей процедуру и периодичность оценки профессиональной пригодности персонала. Политика безопасности должна быть утверждена и доведена до каждого сотрудника организации связи. 6.2.11. Требования к лицензиям и сертификатам Метод сертификационных испытаний: Анализ лицензий и сертификатов на установленное коммуникационное оборудование и используемые технические и программные средства. Проверяется наличие государственных сертификатов при использовании средств шифрования. Лицензии и сертификаты предоставляются оператором связи. 6.2.12. Требования к доступу к коммуникационному оборудованию Метод сертификационных испытаний: Анализ технической документации описывающей правила проверки и идентификации клиента при доступе к управляющим функциям коммуникационного оборудования, правила разграничение прав доступа к управляющим портам, административным учетным данным коммуникационного оборудования и программного обеспечения. При проведении проверок по данному пункту проводятся попытки неавторизованного доступа к управляющим функциям коммуникационного оборудования выбранного сегмента сети. Неавторизованный доступ к управляющим функциям коммуникационного оборудования должен быть запрещен. Также проводится проверка доступа к учетным данным. Неавторизованный доступ к учетным данным должен быть запрещен. 6.2.13. Требования к обновлению программного обеспечения Метод сертификационных испытаний: Анализ внутрифирменной документации и должностных инструкций, регламентирующих процедуру и периодичность установки обновлений используемого коммуникационного программного обеспечения и программного обеспечения коммуникационного оборудования. Проверка журналов регистрации выполненных обновлений. 6.2.14. Требования к использованию антиспуффинговых фильтров Метод сертификационных испытаний: Анализ технической документации на используемые программные и технические средства для обнаружения и предотвращения угроз информационной безопасности. Проверка в точках взаимодействия с другими сетями наличия средств, обеспечивающих фильтрацию пакетов, не принадлежащих подключаемым сетям, с широковещательными адресами, с некорректными адресами. При проведении проверок по данному пункту генерируется трафик с адресами, не принадлежащими проверяемому сегменту сети. Антиспуффинговые фильтры не должны пропустить заданный трафик за пределы своего сегмента. При проверке используются средства мониторинга сети. 6.2.15. Требования к использованию антивирусного программного обеспечения Метод сертификационных испытаний: Анализ технической документации на используемые программные средства для обнаружения и предотвращения угроз информационной безопасности. Проверка инсталлированного антивирусного программного обеспечения на серверах, предоставляющих услуги информационных сервисов, журнала обновления этого программного обеспечения, журнала регистрации и произведенных действий при обнаружении вирусов. Сообщения, зараженные вирусом, должны быть деактивированы и, по возможности, удалены. 6.2.16. Требования к использованию средств защиты от спама Метод сертификационных испытаний: Анализ технической документации на используемые программные средства для обнаружения и предотвращения угроз информационной безопасности. Проверка наличия средств обнаружения и фильтрации спама внутри сети. При проведении проверок по данному пункту необходимо сгенерировать поток сообщений, идентифицированных, как спам (по адресу, по заголовку, по контенту). Адреса отправителя и получателя должны принадлежать сети оператора связи. Сообщения, идентифицированные как спам, должны быть отфильтрованы. 6.2.17. Требования к серверу электронной почты Метод сертификационных испытаний: Анализ технической документации на используемые программные средства для обнаружения рассылки спама. Проверка наличия средств обнаружения рассылки спама в составе программного обеспечения инсталлированного на сервере электронной почты. Проверка возможности ограничения числа исходящих сообщений от одного отправителя. При проведении проверок по данному пункту необходимо сгенерировать поток исходящих сообщений с одного клиентского рабочего места и оценить реакцию системы на данный поток. 6.2.18. Требования к использованию средств защиты от атак типа “отказ в обслуживании” Метод сертификационных испытаний: Анализ технической документации на используемые программные и технические средства для обнаружения и предотвращения угроз информационной безопасности. Проверка наличия автоматизированных систем обнаружения статистических аномалий трафика. Анализ журналов регистрации трафика и действий сотрудников оператора связи при обнаружении атак. При проведении проверок по данному пункту необходимо сгенерировать поток пакетов, которые можно идентифицировать как атаку типа «отказ в обслуживании» (например, попытка открытия большого числа TCP-соединений на публичных WEB-серверах и сервере электронной почты). Система обнаружения статистических аномалий трафика должна зафиксировать данное событие и выдать соответствующее предупреждение. 6.2.19. Требования к журналам регистрации событий ИБ и действий оператора Метод сертификационных испытаний: Анализ журнала регистрации событий, имеющих отношение к информационной безопасности, журнала регистрации действий оператора на коммуникационном оборудовании. При проведении проверок по данному пункту делаются попытки неавторизованных действий, нарушения защиты информации (целостности, конфиденциальности), попытки атаки «отказ в обслуживании» путем открытия большого количества ТСР-соединений с одного рабочего места. После попыток нарушения информационной безопасности проводится проверка записей о соответствующих событиях в журналах регистрации. Для каждого коммуникационного оборудования проводится проверка наличия журнала регистрации действий персонала оператора связи на данном оборудовании. Записи журнала регистрации действий персонала должны последовательно отражать информацию обо всех текущих событиях. 6.2.20. Требования к фильтрации трафика по запросу клиента Метод сертификационных испытаний: Анализ технической документации на коммуникационное оборудование и проверка возможности фильтрации входящего трафика по запросу клиента. При проведении проверок по данному пункту выбирается контрольный сегмент сети, осуществляется настройка параметров входящего трафика (задаются адреса сетей, трафик которых должен быть отброшен). Осуществляется попытка доступа к контрольному сегменту из запрещенных сетей (например, ping). Трафик запрещенных сетей должен быть отброшен. 6.2.21. Требования к процессам взаимодействия с клиентом и оператором Метод сертификационных испытаний: Анализ структуры службы реагирования оператора связи на инциденты безопасности и документации, регламентирующей её работу. Служба должна обеспечивать круглосуточную работу по телефону и/или электронной почте для авторизованных в соответствие с политикой оператора и/или договором на предоставление услуг связи. Анализ внутрифирменной документации, регламентирующей действия при работе с клиентом, обеспечивающих информирование клиентов об обнаруженных уязвимостях используемого оборудования (программного обеспечения) и/или нарушениях системы безопасности. Должны быть представлены средства, подтверждающие возможность оператора связи о соответствующем информировании. |
|