Перечень потенциальных каналов угроз конфиденциальной информации

Get Started. It's Free
or sign up with your email address
Перечень потенциальных каналов угроз конфиденциальной информации by Mind Map: Перечень потенциальных каналов угроз конфиденциальной информации

1. Физическая безопасность и защита от воздействий окружающей среды

1.1. Зоны безопасности

1.1.1. Периметр зоны безопасности

1.1.1.1. Мера и средство контроля и управления

1.1.1.1.1. Для защиты зон, которые содержат информацию и средства обработки информации, следует использовать периметры безопасности

1.1.1.2. Рекомендация по реализации

1.1.1.2.1. периметры безопасности должны быть четко определены, а размещение и надежность каждого из периметров должны зависеть от требований безопасности активов, находящихся в пределах периметра, и от результатов оценки риска

1.1.1.2.2. периметры здания или помещений, где расположены средства обработки информации, должны быть физически прочными; внешние стены помещений должны иметь твердую конструкцию, а все внешние двери должны быть соответствующим образом защищены от неавторизованного доступа

1.1.1.2.3. должна быть выделена и укомплектована персоналом зона регистрации посетителей, или должны существовать другие меры для контроля физического доступа в помещения или здания; доступ в помещения и здания должен предоставляться только авторизованному персоналу

1.1.1.2.4. где необходимо, должны быть построены физические барьеры, предотвращающие неавторизованный физический доступ и загрязнение окружающей среды

1.1.1.2.5. все аварийные выходы на случай пожара в периметре безопасности должны быть оборудованы аварийной сигнализацией, должны подвергаться мониторингу и тестированию вместе со стенами, чтобы создать требуемый уровень устойчивости в соответствии с применимыми региональными, национальными и международными стандартами

1.1.1.2.6. следует устанавливать необходимые системы обнаружения вторжения, соответствующие национальным, региональным или международным стандартам, и регулярно тестировать их на предмет охвата всех внешних дверей и доступных окон, свободные помещения необходимо ставить на сигнализацию; аналогично следует оборудовать и другие зоны

1.1.1.2.7. необходимо физически изолировать средства обработки информации, контролируемые организацией, от средств, контролируемых сторонними организациями

1.1.2. Меры и средства контроля и управления физическим входом

1.1.2.1. Мера и средство контроля и управления

1.1.2.1.1. Зоны безопасности необходимо защищать с помощью соответствующих мер и средств контроля и управления входа, чтобы обеспечить уверенность в том, что доступ разрешен только авторизованному персоналу.

1.1.2.2. Рекомендация по реализации

1.1.2.2.1. дату и время входа и выхода посетителей следует регистрировать, и всех посетителей необходимо сопровождать, или они должны обладать соответствующим допуском; доступ следует предоставлять только для выполнения определенных авторизованных задач, а также необходимо инструктировать посетителей на предмет требований безопасности, и действий в случае аварийных ситуаций

1.1.2.2.2. доступ к зонам, где обрабатывается или хранится чувствительная информация, должен контролироваться и предоставляться только авторизованным лицам

1.1.2.2.3. необходимо требовать, чтобы все сотрудники, подрядчики и представители третьей стороны носили ту или иную форму видимого идентификатора и незамедлительно уведомляли сотрудников службы безопасности о замеченных несопровождаемых посетителях и лицах, не носящих видимого идентификатора

1.1.2.2.4. доступ в зоны безопасности или к средствам обработки чувствительной информации персоналу вспомогательных служб третьей стороны следует предоставлять только при необходимости

1.1.2.2.5. права доступа в зоны безопасности следует регулярно анализировать, пересматривать, и аннулировать при необходимости

1.1.3. Безопасность зданий, производственных помещений и оборудования

1.1.3.1. Мера и средство контроля и управления

1.1.3.1.1. Необходимо разработать и реализовать физическую защиту зданий, производственных помещений и оборудования.

1.1.3.2. Рекомендация по реализации

1.1.3.2.1. следует принимать в расчет соответствующие правила и стандарты, касающиеся охраны здоровья и безопасности труда

1.1.3.2.2. основное оборудование должно быть расположено в местах, где ограничен доступ посторонним лицам

1.1.3.2.3. здания, где это применимо, должны давать минимальную информацию относительно их предназначения, не должны иметь явных признаков снаружи или внутри здания, позволяющих установить наличие деятельности по обработке информации

1.1.3.2.4. справочники и внутренние телефонные книги, указывающие на местоположение средств обработки чувствительной информации, не должны быть легкодоступными для посторонних лиц

1.1.4. Защита от внешних угроз и угроз со стороны окружающей среды

1.1.4.1. Мера и средство контроля и управления

1.1.4.1.1. Необходимо разработать и реализовать физическую защиту от нанесения ущерба, который может явиться результатом пожара, наводнения, землетрясения, взрыва, общественных беспорядков и других форм природных или антропогенных бедствий.

1.1.4.2. Рекомендация по реализации

1.1.4.2.1. следует принимать в расчет соответствующие правила и стандарты, касающиеся охраны здоровья и безопасности труда

1.1.4.2.2. большие запасы, например бумаги для печатающих устройств, не следует хранить в пределах зоны безопасности

1.1.4.2.3. резервное оборудование и носители данных следует размещать на безопасном расстоянии во избежание повреждения от последствия стихийного бедствия в основном здании

1.1.4.2.4. следует обеспечить и соответствующим образом разместить необходимые средства пожаротушения

1.1.5. Зоны общего доступа, приемки и отгрузки

1.1.5.1. Мера и средство контроля и управления

1.1.5.1.1. Места доступа, например зоны приемки и отгрузки, и другие места, где неавторизованные лица могут проникнуть в помещения, должны находиться под контролем и, по возможности, должны быть изолированы от средств обработки информации, во избежание неавторизованного доступа

1.1.5.2. Рекомендация по реализации

1.1.5.2.1. доступ к зоне приемки и отгрузки с внешней стороны здания должен быть разрешен только определенному и авторизованному персоналу

1.1.5.2.2. зона приемки и отгрузки должна быть организована так, чтобы поступающие материальные ценности могли быть разгружены без предоставления персоналу поставщика доступа к другим частям здания

1.1.5.2.3. должна быть обеспечена безопасность внешних дверей зоны приемки и отгрузки в то время, когда внутренние двери открыты

1.1.5.2.4. поступающие материальные ценности должны быть проверены на предмет потенциальных угроз прежде, чем они будут перемещены из зоны приемки и отгрузки к месту использования

1.1.5.2.5. при поступлении материальные ценности должны регистрироваться в соответствии с процедурами менеджмента активов

1.1.5.2.6. там, где возможно, ввозимые и вывозимые грузы должны быть физически разделены.

1.2. Безопасность оборудования

1.2.1. Размещение и защита оборудования

1.2.1.1. Мера и средство контроля и управления

1.2.1.1.1. Оборудование должно быть размещенои защищено так, чтобы уменьшить риски от угроз окружающей среды и возможности неавторизованного доступа.

1.2.1.2. Рекомендация по реализации

1.2.1.2.1. оборудование следует размещать таким образом, чтобы свести к минимуму излишний доступ в рабочие зоны

1.2.1.2.2. средства обработки информации,обрабатывающие чувствительные данные

1.2.1.2.3. отдельные элементы оборудования, требующие специальной защиты, следует изолировать для снижения общего уровня требуемой защиты

1.2.1.2.4. воровство, пожар, взрывы, задымление, затопление или неисправность водоснабжения, пыль, вибрация, химическое воздействие, помехи в электроснабжении, помехи в работе линий связи, электромагнитное излучение и вандализм

1.2.1.2.5. необходимо устанавливать правила в отношении приема пищи, питья и курения вблизи средств обработки информации

1.2.1.2.6. оборудование, обрабатывающее чувствительную информацию, должно быть защищено, чтобы свести к минимуму риск утечки информации вследствие излучения

1.2.2. Безопасность кабельной сети

1.2.2.1. Мера и средство контроля и управления

1.2.2.1.1. Силовые и телекоммуникационные кабельные сети, по которым передаются данные или поддерживающие информационные услуги, необходимо защищать от перехвата информации или разрушения.

1.2.2.2. Рекомендация по реализации

1.2.2.2.1. силовые и телекоммуникационные линии, связанные со средством обработки информации, должны, по возможности, располагаться под землей или иметь адекватную альтернативную защиту

1.2.2.2.2. силовые кабели должны быть отделены от коммуникационных, чтобы предотвращать помехи

1.2.2.2.3. для уменьшения вероятности ошибок следует использовать документально оформленный перечень исправлений

1.2.2.2.4. сетевой кабель должен быть защищен от неавторизованных подключений или повреждения, например посредством использования специального кожуха или выбора маршрутов прокладки кабеля в обход общедоступных участков

1.2.2.2.5. следует использовать кабель и оборудование с четкой маркировкой, чтобы свести к минимуму эксплуатационные ошибки, например случайного внесения исправлений при ремонте сетевых кабелей

1.2.2.2.6. дополнительные меры и средства контроля и управления для чувствительных или критических систем включают

1.2.3. Безопасность оборудования вне помещений организации

1.2.3.1. Мера и средство контроля и управления

1.2.3.1.1. При обеспечении безопасности оборудования, используемого вне места его постоянной эксплуатации, следует учитывать различные риски, связанные с работой вне помещений организации.

1.2.3.2. Рекомендация по реализации

1.2.3.2.1. оборудование и носители информации, взятые из помещений организации, не следует оставлять без присмотра в общедоступных местах

1.2.3.2.2. во время поездок портативные компьютеры нужно перевозить как ручную кладь и по возможности маскировать

1.2.3.2.3. необходимо соблюдать инструкции изготовителей по защите оборудования, например по защите от воздействия сильных электромагнитных полей;

1.2.3.2.4. для работы на дому следует определить соответствующие меры и средства контроля и управления, исходя из оценки рисков, например использование запираемых шкафов для хранения документов, соблюдение политики «чистого стола», управление доступом к компьютерам и связь с офисом по защищенным сетям

1.2.3.2.5. с целью защиты оборудования, используемого вне помещений организации, должно проводиться адекватное страхование, покрывающее указанные риски

2. Защита от вредоносной и мобильной программы

2.1. Меры и средства контроля и управления против вредоносной программы

2.1.1. Мера и средство контроля и управления

2.1.1.1. Необходимо внедрить меры и средства контроля и управления, связанные с обнаружением, предотвращением и восстановлением, с целью защиты от вредоносной программы, а также процедуры, обеспечивающие соответствующую осведомленность пользователей.

2.1.2. Рекомендация по реализации

2.1.2.1. создать официальную политику, устанавливающую запрет на использование неавторизованного программного обеспечения

2.1.2.2. создать официальную политику защиты от рисков, связанных с получением файлов и программного обеспечения, либо из внешних сетей, либо через другие передающие среды, показывающую, какие защитные меры следует принять

2.1.2.3. проводить регулярный анализ программного обеспечения и содержания данных систем, поддерживающих критические процессы бизнеса; необходима формальная процедура расследования причин наличия любых неавторизованных или измененных файлов

2.1.2.4. осуществлять в качестве превентивной меры или обычным порядком инсталляцию и регулярное обновление программного обеспечения по обнаружению вредоносной программы и восстановлению для сканирования компьютеров и носителей информации; проводимые проверки должны включать

2.1.2.4.1. проверку на наличие вредоносной программы любых файлов на электронных или оптических носителях и файлов, полученных из сетей перед их использованием;

2.1.2.4.2. проверку любых вложений электронной почты и скачиваемой информации до их использования на наличие вредоносной программы

2.1.2.4.3. проверку web-страниц на наличие вредоносной программы

2.1.2.5. определять управленческие процедуры и обязанности, связанные с защитой от вредоносной программы в системах, тренинг их использования, оповещение и восстановление после атак вредоносной программы

2.1.2.6. подготовить соответствующие планы по обеспечению непрерывности бизнеса в части восстановления после атак вредоносной программы, включая все необходимые мероприятия по резервированию и восстановлению данных и программного обеспечения

2.2. Меры и средства контроля и управления при использовании мобильной программы

2.2.1. Мера и средство контроля и управления

2.2.1.1. Там, где разрешено использование мобильной программы, конфигурация должна обеспечивать уверенность в том, что разрешенная мобильная программа функционирует в соответствии с ясно сформулированной политикой безопасности, а исполнение неразрешенной мобильной программы будет запрещено.

2.2.2. Рекомендация по реализации

2.2.2.1. обеспечивать выполнение мобильной программы в логически изолированной среде;

2.2.2.2. блокировать любое несанкционированное использование мобильной программы;

2.2.2.3. блокировать прием мобильной программы

2.2.2.4. активизировать технические меры, доступные в отношении определенной системы, чтобы обеспечить уверенность в управляемости мобильной программы;

2.2.2.5. контролировать ресурсы, доступные мобильной программе

2.2.2.6. применять криптографические меры и средства контроля и управления для однозначной аутентификации мобильной программы

3. Менеджмент безопасности сети

3.1. Меры и средства контроля и управления сетями

3.1.1. Мера и средство контроля и управления

3.1.1.1. Сети должны адекватно управляться и контролироваться, чтобы быть защищенными от угроз и обеспечить безопасность систем и прикладных программ, использующих сеть, включая информацию во время ее передачи.

3.1.2. Рекомендация по реализации

3.1.2.1. следует разделить, где это необходимо, ответственность за поддержку сетевых ресурсов и за поддержку компьютерных операций

3.1.2.2. следует определить обязанности и процедуры для управления удаленным оборудованием, включая оборудование, установленное у конечных пользователей

3.1.2.3. специальные меры и средства контроля и управления следует внедрить для обеспечения конфиденциальности и целостности данных, передаваемых по общедоступным сетям, или по беспроводным сетям, а также для защиты подключенных систем и прикладных программ

3.1.2.4. соответствующая регистрация и мониторинг должны применяться с целью обеспечения возможности регистрации действий, имеющих значение для безопасности

3.2. Безопасность сетевых услуг

3.2.1. Мера и средство контроля и управления

3.2.1.1. Средства обеспечения безопасности, уровни услуг и требования в отношении менеджмента всех сетевых услуг должны быть определены и включены в любой договор по сетевым услугам, вне зависимости оттого, будут ли они обеспечиваться силами организации или в рамках договоров аутсорсинга.

3.2.2. Рекомендация по реализации

3.2.2.1. Способность провайдера сетевых услуг безопасно осуществлять менеджмент установленных услуг следует определять и подвергать регулярному мониторингу, а право проведения аудита должно быть согласовано

3.2.2.2. Должны быть определены меры безопасности, необходимые для конкретных услуг, например средства обеспечения безопасности, уровни услуг и требования в отношении менеджмента. Организация должна обеспечивать уверенность в том, что провайдеры сетевых услуг реализуют эти меры.

4. Безопасность системной документации

4.1. Мера и средство контроля и управления

4.1.1. Системная документация должна быть защищена от неавторизованного доступа.

4.2. Рекомендация по реализации

4.2.1. системную документацию надлежит хранить безопасным образом;

4.2.2. список лиц, имеющих доступ к системной документации, необходимо свести к минимуму; доступ должен быть авторизован владельцем прикладной программы

4.2.3. системную документацию, полученную или поддерживаемую через общедоступную сеть, следует защищать надлежащим образом.

5. Управление доступом

5.1. Требование бизнеса по управлению доступом

5.1.1. Менеджмент доступа пользователей

5.1.1.1. Регистрация пользователей

5.1.1.1.1. Мера и средство контроля и управления

5.1.1.1.2. Рекомендация по реализации

5.1.1.2. Управление паролями пользователей

5.1.1.2.1. Мера и средство контроля и управления

5.1.1.2.2. Рекомендация по реализации

5.1.2. Управление доступом к сети

5.1.2.1. Аутентификация пользователей для внешних соединений

5.1.2.1.1. Мера и средство контроля и управления

5.1.2.1.2. Рекомендация по реализации

5.1.2.2. Управление сетевыми соединениями

5.1.2.2.1. Мера и средство контроля и управления

5.1.2.2.2. Рекомендация по реализации

5.1.3. Управление доступом к информации и прикладным программа

5.1.3.1. Ограничение доступа к информации

5.1.3.1.1. Мера и средство контроля и управления

5.1.3.1.2. Рекомендация по реализации

5.1.4. Мобильная вычислительная техника и дистанционная работа

5.1.4.1. Мобильная вычислительная техника и связь

5.1.4.1.1. Мера и средство контроля и управления

5.1.4.1.2. Рекомендация по реализации

5.1.4.2. Дистанционная работ

5.1.4.2.1. Мера и средство контроля и управления

5.1.4.2.2. Рекомендация по реализации