Организационные процедуры обеспечения безопасности

Для поддержки политики обеспечения безопасности систем следует разработать и соблюдать документацию по организационным процедурам обеспечения безопасности. В них следует подробно изложить повседневные действия, связанные с обеспечением безопасности, и назначить лиц, ответственных за их проведение.

13.2.3 Проверка соответствия требованиям безопасности

Проверку соответствия требованиям безопасности в отношении сетевых соединений следует проводить в соответствии с контрольным перечнем, составленным на основе защитных мер. Дальше перечистленны документы, содержащие защитные меры. Проверку соответствия следует проводить до операционного включения любого сетевого соединения, перед основным новым выпуском (имеющим отношение к значимому бизнесу или изменению в сети) либо ежегодно.

 

Условия обеспечения безопасности для соединения

 

Если условия обеспечения безопасности для соединения не согласованы на месте или по контракту, то организация принимает на себя риски, связанные с внешним концом сетевого соединения.

Возможны также случаи, когда организации согласуют документ по условиям обеспечения безопасности для соединения, в котором записывают обязательства и ответственность для всех сторон, включая взаимную проверку соответствия требованиям по безопасности.

Условия безопасности, подтвержденные документально, для пользователей услуг, предоставляемых сетью

Для пользователей услуг, желающих работать дистанционно, разрабатывают документ с условиями обеспечения безопасности предоставляемых сетью услуг. В документе определяют ответственность пользователя за безопасную эксплуатацию аппаратных и программных средств, а также за обеспечение защиты данных.

Обработка инцидентов

Организация с сетевыми соединениями должна предусмотреть документированные и осуществимые схемы действий при обработке инцидентов, обладать соответствующей инфраструктурой, способной быстро реагировать по мере идентификации инцидентов, уменьшать их воздействие, а также извлекать уроки из непредвиденных ситуаций в целях предотвращения их повтора.

Идентификация и аутентификация

 

Введение

 

Организация должна обеспечивать безопасность услуг, предоставляемых сетью, и защиту связанной с ними информации путем ограничения доступа через соединения с авторизованным персоналом (внутри или за пределами организации). Эти требования распространяются не только на использование сетевых соединений.

Дистанционная регистрация при входе в систему

Дистанционная регистрация авторизованного персонала, работающего вдали от организации, специалистов дистанционного технического обслуживания или персонала других организаций осуществляется через кодовые вызовы организации, соединения Интернет, выделенные магистральные линии других организаций или коллективный доступ по Интернет. Дальше приведены примеры дополнительных защитных мер, соответствующих особенностям типа соединения.

Совершенствование аутентификации

 

Использование пар имя/пароль является простым путем установления подлинности пользователей, но пары имя/пароль могут быть дискредитированы или вскрыты.

В случае, если необходима усовершенствованная аутентификация по сетевым соединениям (например по контракту) или она оправдана рисками, то организации следует рассмотреть процесс определения подлинности пользователя с помощью перечисленных в пункте 13.3.3 защитных мер.

 

Дистанционная идентификация системы

Аутентификацию следует совершенствовать путем проверки системы (и ее местоположения/точки доступа), из которой осуществляется внешний доступ.