- •Политика информационной безопасности
- •Когда необходимо иметь разработанные правила безопасности
- •Анализ данных защиты
- •1. Какие данные должны быть зарезервированы?
- •Права интеллектуальной собственности и политика безопасности
- •Физическая безопасность информационных ресурсов
- •Размещение компьютеров и монтаж оборудования
- •Средства управления доступом
- •Доступность системы
- •Телекоммуникации и удаленный доступ
- •Руководящие принципы эксплуатации оборудования
- •Административные обязанности
- •Виртуальные частные сети, экстрасети, внутренние сети и другие туннели
- •Модемы и прочие лазейки
- •Администрирование электронной почты .:
- •Вирусы, "черви" и "троянские кони"
- •Правила эксплуатации стороннего программного обеспечения
- •Шифрование
- •Управление криптографией
- •Эксплуатация криптографических систем и обработка зашифрованных данных
- •Соображения о генерировании ключей
- •Управление ключами
- •Этапы разработки программного обеспечения
- •Замена версий и управление конфигурацией
- •Эксплуатация криптографических систем и обработка зашифрованных данных
- •Виртуальная частная сеть (vpn).
- •Внутренняя сеть (intranet). Экстрасеть (extranet).
Управление ключами
Трудности, связанные с управлением ключами, существенно усложняют управление процессом шифрования и разработку правил. Путаницу вызывают не только эти вопросы, но и то, что процесс шифрования зависит от того, используются ли в вашей организации аппаратные акселераторы или системы реализованы чисто программными средствами. Существует также разница между симметричным и асимметричным шифрованием.
Когда возникают вопросы о том, какую использовать технологию, ответ, обычно, заключается в использовании стандартов. Однако, если в организации применяется открытый криптографический ключ и делаются попытки создать инфраструктуру открытого ключа (PKI), то стандарты постоянно меняются, и ответить на этот вопрос сложно. Производители могут предоставлять инструкции, но нужно проявлять осторожность, чтобы эти инструкции не противоречили принятым в организации правилам, потому что это может привести к блокированию собственных решений.
Этапы разработки программного обеспечения
Поскольку каждый любит поговорить о процессе разработки программного обеспечения, правила информационной безопасности не должны реагировать на все эти дебаты. Если организация располагает правилами разработки программного обеспечения и процедурами для их реализации, то разработчики могут отрицательно относиться к необходимости их изменения. Если же в организации еще нет таких правил, это может послужить толчком для разработки процедур. В любом случае этап, на котором правила информационной безопасности начинают влиять на процесс разработки программного обеспечения, полезен тем, что усилия разработчиков подкрепляются директивами правил и вопросы безопасности будут учтены в процессе проектирования и разработки.
Определение обязанностей при разработке программного обеспечения
Правила безопасности для разработки программного обеспечения должны определять, как правильное распределение обязанностей способствует разработке защиты и развертыванию программного обеспечения. Подобно вопросам ответственности за информацию, которые обсуждались в главе 2 "Определение целей политики", распределение обязанностей повысит ответственность персонала за разработку или за освоение решений по вопросам безопасности. Правила, касающиеся этой сферы, должны предписывать, чтобы требования безопасности были определены до разработки или приобретения программного обеспечения. Формулировка правил может выглядеть следующим образом.
В правила разработки и приобретения программного обеспечения необходимо включить требования по безопасности, согласующиеся с этими правилами. Составитель всех этих требований должен нести ответственность за то, что требования по безопасности определены полностью.
Замена версий и управление конфигурацией
Некоторые положения управления конфигурацией повторены в правилах разработки программного обеспечения. Однако не все. что подходит для системы, может быть позаимствовано из правил разработки программного обеспечения. Эти положения включены сюда, чтобы подчеркнуть их важность для процесса разработки программного обеспечения, а также для того, чтобы обеспечить безопасность инсталляции операционной системы и даже разработанных ранее программных продуктов. В правилах безопасности необходимо регламентировать следующие виды работ: процедуры запроса на изменения, требования тестирования и процедуры инсталляции. Эту программу можно утвердить с помощью следующей формулировки.
Программа управления конфигурацией должна быть составлена для поддержания конфигурации всех находящихся в эксплуатации систем, включая операционные системы, заимствованное программное обеспечение и средства обеспечения безопасности.
Процедуры запросов на замену версий
Одним из ключевых моментов, отражающихся на безопасности, при замене версий и управлении конфигурацией, является возможность отслеживать изменения. В случае возникновения проблем администраторы, чтобы установить вызвавшую их причину, могут обследовать программное обеспечение системы и другие установленные программные модули. Первым шагом для обеспечения трассировки системы должна стать разработка правила, официально разрешающего изменение процедур управления для всех систем, находящихся в эксплуатации. В этом правиле предусматривается, что запросы на выполнение изменений в системе, а при необходимости и пересмотра правил безопасности, должны подаваться в письменном виде.