Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников

Управление информационной безопасностью. Стандарты СУИБ - Вадим Гребенников


Скачать книгу
курьеров;

      – упаковка должна быть прочной для защиты содержимого от физического повреждения, возможного при транспортировке и соответствовать рекомендациям изготовителей, например, защищать от экологических факторов, снижающих эффективность восстановления носителя, таких как высокая температура, влажность или электромагнитные поля;

      – должны храниться записи, определяющие содержимое носителей, применяемую защиту, а также времени передачи курьерам и доставки адресату.

      Информация может быть уязвимой для несанкционированного доступа, неправильного использования или повреждения в физическом транспорте, например, при отправлении почтой или курьером. В этом случае носители должны иметь сопроводительные документы.

      Если конфиденциальная информация на носителе незашифрована, должна быть применена дополнительная физическая защита носителя.

      5. Управление доступом

      Управление доступом определяют следующие составляющие:

      – правила разграничения доступа;

      – управление доступом пользователей;

      – ответственность пользователя;

      – управление доступом к системе и приложениям.

      5.1. Требования разграничения доступа

      Цель: Ограничить доступ к информации и средствам обработки информации.

      Требования по управлению доступом определяют следующие составляющие:

      – правила разграничения доступа;

      – доступ к сетям и сетевым сервисам.

      Правила разграничения доступа

      Меры и средства

      Правила разграничения доступа должны быть разработаны, задокументированы и пересматриваться на основе требований ИБ и бизнеса.

      Рекомендации по реализации

      Владельцы активов должны определить надлежащие правила разграничения доступа, права доступа и ограничения для определенных пользовательских ролей по отношению к их активам с детализацией и строгостью разграничений, отражающих соответствующие риски ИБ.

      Разграничения доступа являются как логическими, так и физическими, и должны рассматриваться вместе. Пользователи и провайдеры услуг должны четко обозначить требования бизнеса, которые должны удовлетворить разграничения доступа.

      Правила должны учесть следующее:

      – требования к безопасности прикладных программ бизнеса;

      – политики распространения информации и авторизации, например, общепризнанные принципы и уровни ИБ и классификацию информации;

      – согласованность между правами доступом и политиками классификации информации систем и сетей;

      – требования законодательства и договорные обязательства по ограничению доступа к данным или услугам;

      – управление правами доступа в распределенных и сетевых средах, которые распознают все типы возможных соединений;

      – разделение ролей разграничения доступа, например, запрос доступа, авторизация доступа, администрирование


Скачать книгу