Содержание
- 2. Цель: Обеспечить уверенность в том, что безопасность является неотъемлемой частью информационных систем. Информационные системы включают эксплуатируемые
- 3. Анализ требований безопасности и спецификация Мера и средство контроля и управления Необходимо, чтобы в формулировках требований
- 4. Необходимо, чтобы требования безопасности и соответствующие меры и средства контроля и управления отражали ценность информационных активов
- 5. В случае приобретения готовых продуктов необходимо соблюдение формального процесса приобретения и тестирования. В договорах с поставщиками
- 6. 2 Корректная обработка в прикладных программах Цель: Предотвратить ошибки, потерю, неавторизованную модификацию или нецелевое использование информации
- 7. Подтверждение корректности входных данных Мера и средство контроля и управления Входные данные для прикладных программ должны
- 8. Необходимо рассмотреть следующие рекомендации: a) двойной ввод или другие процедуры проверки ввода, например проверка границ или
- 9. c) сверка печатных копий вводимых документов на предмет выявления любых несанкционированных изменений (необходимо, чтобы все изменения
- 10. Там, где это целесообразно, можно рассмотреть автоматическую экспертизу и проверку вводимых данных, чтобы снизить риск ошибок
- 11. Управление внутренней обработкой Мера и средство контроля и управления Подтверждающие проверки должны быть включены в прикладные
- 12. Необходимо учитывать, в частности, следующее: a) использование функций добавления, модификации и удаления для осуществления изменений данных;
- 13. Необходимо подготавливать соответствующую технологическую карту, действия документально оформлять и надежно хранить результаты. Примеры проверок, которые могут
- 14. c) подтверждение корректности данных, сгенерированных системой ; d) проверки целостности, аутентичности или какого-либо другого свойства безопасности,
- 15. Данные, которые были введены правильно, могут быть искажены вследствие аппаратных ошибок, ошибок обработки или преднамеренных действий.
- 16. Целостность сообщений Мера и средство контроля и управления Необходимо определить требования в отношении обеспечения аутентичности и
- 17. Подтверждение выходных данных Данные, выводимые из прикладной программы, должны быть проверены с целью обеспечения уверенности в
- 18. Как правило, системы и прикладные программы построены на предпосылке, что при наличии соответствующих подтверждений корректности, проверок
- 19. 3 Криптографические меры и средства контроля и управления Цель: Защищать конфиденциальность, аутентичность или целостность информации, используя
- 20. Политика использования криптографических мер и средств контроля и управления Мера и средство контроля и управления В
- 21. При разработке криптографической политики необходимо учитывать следующее: a) позицию руководства в отношении использования средств криптографии во
- 22. e) роли и обязанности, например персональная ответственность за: 1) внедрение политики; 2) управление ключами, включая генерацию
- 23. При внедрении политики организации в области криптографии следует учитывать требования законодательства и ограничения, которые могут применяться
- 24. Криптографические меры и средства контроля и управления могут использоваться для достижения различных целей безопасности, например: a)
- 25. Процесс принятия решения относительно использования криптографии следует рассматривать в рамках более общего процесса оценки рисков и
- 26. Политика использования криптографических мер и средств контроля и управления необходима для того, чтобы максимизировать выгоду и
- 27. Управление ключами Мера и средство контроля и управления Для поддержки использования организацией криптографических методов необходимо применять
- 28. Система управления ключами должна быть основана на согласованном множестве стандартов, процедур и безопасных методов для: a)
- 29. g) аннулирования ключей, в том числе порядок изъятия и деактивации, например в случае компрометации ключей или
- 30. Для уменьшения вероятности компрометации ключей необходимо, чтобы они имели определенные даты активации и деактивации. Данный период
- 31. Необходимо, чтобы соглашение об уровне обслуживания или договоры с внешними поставщиками услуг, связанных с криптографией, например
- 32. Управление криптографическими ключами является существенным аспектом для эффективного использования криптографических средств. Различаются два типа криптографических методов:
- 33. Существует угроза подделки цифровой подписи и замены открытого ключа пользователя на фальсифицированный. Данная проблема решается с
- 34. 4 Безопасность системных файлов Цель: Обеспечить уверенность в безопасности системных файлов. Доступ к системным файлам и
- 35. Управление эксплуатируемым программным обеспечением Мера и средство контроля и управления Необходимо применять процедуры контроля установки программного
- 36. c) прикладные программы и программное обеспечение следует внедрять в эксплуатируемую систему только после всестороннего и успешного
- 37. g) предыдущие версии прикладного программного обеспечения следует сохранять на случай непредвиденных обстоятельств; h) старые версии программного
- 38. Необходимо, чтобы поставляемое поставщиком программное обеспечение, используемое в действующей системе, поддерживалось на уровне, обеспечиваемом поставщиком. Со
- 39. Физический или логический доступ следует предоставлять поставщикам только для целей поддержки, по мере необходимости и на
- 40. Эксплуатируемую систему следует обновлять только при необходимости, например, если текущая версия эксплуатируемой системы больше не удовлетворяет
- 41. Защита тестовых данных системы Мера и средство контроля и управления Данные тестирования следует тщательно отбирать, защищать
- 42. Для защиты действующих (рабочих) данных, если они используются для целей тестирования, необходимо применять следующие рекомендации: a)
- 43. Для осуществления системного или приемочного тестирования обычно требуется существенный объем тестовых данных, которые максимально приближены к
- 44. Управление доступом к исходным текстам программ Мера и средство контроля и управления Доступ к исходным текстам
- 45. Чтобы сократить возможность искажения компьютерных программ, необходимо рассмотреть следующие рекомендации по управлению доступом к таким библиотекам
- 46. d) обновление библиотек исходных текстов программ и связанных с ними элементов, а также предоставление программистам исходных
- 47. Безопасность в процессах разработки и поддержки Цель: Поддерживать безопасность прикладных систем и информации. Необходимо строго контролировать
- 48. Процедуры управления изменениями Мера и средство контроля и управления Внесение изменений следует контролировать, используя формальные процедуры
- 49. Указанный процесс должен включать в себя оценку рисков, анализ влияния изменений и детализацию необходимых мер и
- 50. По возможности, прикладные программы и эксплуатационные процедуры управления изменениями должны быть интегрированы. Процедуры изменения должны включить:
- 51. f) обеспечение уверенности в том, что авторизованный пользователь одобрил все изменения до их реализации; g) обеспечение
- 52. Общепринятая практика включает в себя тестирование нового программного обеспечения в среде, которая отделена от среды эксплуатации
- 53. Техническая проверка прикладных программ после изменений эксплуатируемой системы Мера и средство контроля и управления При внесении
- 54. Этот процесс должен охватывать: a) анализ мер и средств контроля и управления прикладными программами и процедур
- 55. Ограничения на изменения пакетов программ Мера и средство контроля и управления Необходимо избегать модификаций пакетов программ,
- 56. Насколько возможно и допустимо с практической точки зрения, пакеты программ, поставляемые поставщиком, следует использовать без изменений.
- 57. Если необходимо внесение изменений, то оригинальное программное обеспечение следует сохранить, а изменения вносить в четко определенную
- 58. Утечка информации Мера и средство контроля и управления Возможность утечки информации должна быть предотвращена.
- 59. Для снижения риска утечки информации, например по причине использования и эксплуатации скрытых каналов, необходимо принимать во
- 60. Скрытые каналы -это каналы, не предназначенные для передачи информационных потоков, но которые, тем не менее, могут
- 61. Аутсорсинг разработки программного обеспечения Мера и средство контроля и управления Аутсорсинг разработки программного обеспечения должен быть
- 62. Там, где для разработки программного обеспечения привлекается сторонняя организация, необходимо учитывать следующее: a) лицензионные соглашения, права
- 63. 6 Менеджмент технических уязвимостей Цель: Снизить риски, являющиеся результатом использования опубликованных технических уязвимостей. Менеджмент технических уязвимостей
- 64. Управление техническими уязвимостями Мера и средство контроля и управления Необходимо получать своевременную информацию о технических уязвимостях
- 65. Постоянно обновляемая и полная опись активов является предпосылкой эффективного менеджмента технических уязвимостей. Специальная информация, необходимая для
- 66. Аналогично, своевременное действие должно предприниматься в ответ на выявление потенциальных технических уязвимостей. Для создания эффективного процесса
- 67. c) необходимо определить временные параметры реагирования на уведомления о потенциально значимых технических уязвимостях; d) после выявления
- 68. g) перед установкой патчи следует тестировать и оценивать для обеспечения уверенности в том, что они являются
- 69. Правильное функционирование процесса менеджмента технических уязвимостей играет важную роль для многих организаций, поэтому процесс должен подвергаться
- 71. Скачать презентацию