Приложение В (справочное). Практическое руководство по оценке технического соответствия информационной безопасности. Национальный стандарт РФ ГОСТ Р 56045-2021/ISO/IEC TS 27008:2019 "Информационные технологии. Методы и средства обеспечения безопасности. Рекомендации по оценке мер обеспечения информационной безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.05.2021 N 421-ст)

Приложение В
(справочное)

Практическое руководство по оценке технического соответствия информационной безопасности

В.1 Общая информация

В данном приложении представлена совокупность практических руководств по оценке технического соответствия ИБ с использованием технических мер обеспечения ИБ, описанных в ИСО/МЭК 27002. В данном приложении описана каждая мера обеспечения ИБ. ИСО/МЭК 27001 не требует от организаций использования мер обеспечения ИБ ИСО/МЭК 27002. Необходимыми могут быть другие меры обеспечения ИБ, такие как секторальные меры обеспечения ИБ из таких стандартов, как ИСО/МЭК 27010 и ИСО/МЭК 27017. Кроме того, организации могут разрабатывать собственные меры обеспечения ИБ. Однако в данном приложении рассмотрены меры обеспечения ИБ из ИСО/МЭК 27002. Они иллюстрируют различные методы по оценке технического соответствия, которые можно использовать.

В В.2.1 - В.2.14 представлена таблица для каждого элемента ИБ из ИСО/МЭК 27002, содержание которой сгруппировано следующим образом:

"Техническая мера обеспечения ИБ" (с дополнительной технической информацией)

1. Стандарт реализации безопасности (с "Техническими примечаниями к стандарту реализации безопасности")

1.1 Практическое руководство, Предполагаемые свидетельства, Метод

1.2 Практическое руководство, Предполагаемые свидетельства, Метод

2. Стандарт реализации безопасности (с "Техническими примечаниями к стандарту реализации безопасности")

2.1 Практическое руководство, Предполагаемые свидетельства, Метод

2.2 Практическое руководство, Предполагаемые свидетельства, Метод

Для каждой технической меры обеспечения ИБ существует дополнительная техническая информация, помогающая аудиторам ИБ. Она в основном состоит из информации о серии "стандартов реализации безопасности", которые должны регулярно проверяться организацией для подтверждения, реализованы ли и эксплуатируются ли соответствующим образом применяемые стандарты или нет.

В каждом "Стандарте реализации безопасности" есть "Техническое примечание к стандарту реализации безопасности", предоставляющее дополнительную техническую информацию для процесса оценки. В нем также представлены: "Практическое руководство", "Предполагаемые свидетельства" и "Метод".

"Практическое руководство" предоставляет применяемую процедуру оценки соответствия для "стандарта реализации безопасности". В "Предполагаемых свидетельствах" приводятся некоторые примеры систем, файлов, документов или других элементов, которые могут быть приняты в качестве "свидетельств" в процедуре оценки соответствия. Следует обратить внимание на то, что названия свидетельств могут различаться в разных организациях. Однако использованные в данном приложении названия могут считаться общепризнанными в сфере оценки технического соответствия. "Метод" представляет соответствующий подход к технической оценке соответствия согласно приведенному выше "Практическому руководству".

В данном приложении не представлены исчерпывающие практические руководства по технической оценке, которые могут значительно помочь организациям в проведении оценки, внедрены ли соответствующим образом стандарты реализации безопасности и действуют ли они.

В.2 Оценка мер обеспечения информационной безопасности ИСО/МЭК 27002

В.2.1 ИСО/МЭК 27002, раздел 5 Политики информационной безопасности

ИСО/МЭК 27002, 5.1 Руководящие указания в части информационной безопасности
	Мера обеспечения ИБ	ИСО/МЭК 27002, 5.1.1 Политики информационной безопасности Набор политик ИБ должен быть разработан, утвержден высшим руководством, опубликован и доведен до сведения всех сотрудников и причастных внешних сторон
	Мера обеспечения ИБ	ИСО/МЭК 27002, 5.1.2 Пересмотр политик информационной безопасности Политики ИБ должны пересматриваться через заранее определенные промежутки времени или в случае значительных изменений для обеспечения их постоянной применимости, адекватности и эффективности

В.2.2 ИСО/МЭК 27002, раздел 6 Организация деятельности по информационной безопасности

ИСО/МЭК 27002, 6.1 Внутренняя организация деятельности по обеспечению информационной безопасности
	Мера обеспечения ИБ	ИСО/МЭК 27002, 6.1.1 Роли и обязанности по обеспечению информационной безопасности Все обязанности по обеспечению ИБ должны быть определены и распределены
	Мера обеспечения ИБ	ИСО/МЭК 27002, 6.1.2 Разделение обязанностей Пересекающиеся обязанности и зоны ответственности должны быть разделены для уменьшения возможности несанкционированного или непреднамеренного изменения или нецелевого использования активов организации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 6.1.3 Взаимодействие с органами власти Следует поддерживать контакты с соответствующими органами власти
	Мера обеспечения ИБ	ИСО/МЭК 27002, 6.1.4 Взаимодействие с профессиональными сообществами Следует поддерживать соответствующие контакты
	Мера обеспечения ИБ	ИСО/МЭК 27002, 6.1.5 Информационная безопасность при управлении проектом При управлении проектами независимо от типа проекта должна приниматься во внимание информационная безопасность

ИСО/МЭК 27002, 6.2 Мобильные устройства и дистанционная работа
	Мера обеспечения ИБ	ИСО/МЭК 27002, 6.2.1 Политика использования мобильных устройств Должна быть принята политика и меры по управлению рисками, возникающими при использовании мобильных устройств
	Мера обеспечения ИБ	ИСО/МЭК 27002, 6.2.2 Дистанционная работа Должна быть реализована политика и поддерживающие ее меры для защиты информации, доступ к которой, а также обработка или хранение осуществляется на удаленных рабочих местах

В.2.3 ИСО/МЭК 27002, раздел 7 Безопасность, связанная с персоналом

ИСО/МЭК 27002, 7.1 При приеме на работу
	Мера обеспечения ИБ	ИСО/МЭК 27002, 7.1.1 Проверка Проверка кандидатов при приеме на работу должна проводиться в рамках применяемого законодательства, регламентов и этических норм, а также должна быть соразмерна требованиям бизнеса, категории информации, к которой будет предоставлен доступ, и предполагаемым рискам
	Мера обеспечения ИБ	ИСО/МЭК 27002, 7.1.2 Правила и условия работы В соглашениях между организацией и работниками, а также между организацией и подрядчиками должна быть прописана ответственность обеих сторон по обеспечению ИБ

ИСО/МЭК 27002, 7.2 Во время работы
	Мера обеспечения ИБ	ИСО/МЭК 27002, 7.2.1 Обязанности руководства организации Высшее руководство должно требовать от всех сотрудников и подрядчиков соблюдение мер ИБ в соответствии с установленными в организации политиками и процедурами
	Мера обеспечения ИБ	ИСО/МЭК 27002, 7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности Все сотрудники организации и при необходимости подрядчики должны быть соответствующим образом осведомлены и обучены, а также регулярно получать обновленные варианты политик и процедур организации, необходимых для выполнения своих должностных обязанностей
	Мера обеспечения ИБ	ИСО/МЭК 27002, 7.2.3 Дисциплинарный процесс Должен существовать формализованный и доведенный до персонала дисциплинарный процесс по принятию мер в отношении сотрудников, совершивших нарушение ИБ

ИСО/МЭК 27002, 7.3 Увольнение и смена места работы
	Мера обеспечения ИБ	ИСО/МЭК 27002, 7.3.1 Прекращение или изменение трудовых обязанностей Ответственность и обязанности в области ИБ, которые остаются в силе после увольнения или смены места работы, должны быть определены, доведены до сведения работника или подрядчика и юридически закреплены

В.2.4 ИСО/МЭК 27002, раздел 8 Менеджмент активов

ИСО/МЭК 27002, 8.1 Ответственность за активы
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.1.1 Инвентаризация активов Информация, активы, связанные с информацией и средствами обработки информации, должны быть идентифицированы, а также должен быть составлен и поддерживаться в актуальном состоянии перечень этих активов
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.1.2 Владение активами У активов, включенных в перечень, должны быть определены владельцы
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.1.3 Допустимое использование активов Правила приемлемого использования информации и активов, связанных с информацией и средствами обработки информации, должны быть идентифицированы, документально оформлены и внедрены
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.1.4 Возврат активов Все сотрудники и внешние пользователи должны возвратить все организационные активы, находящиеся в их распоряжении, по окончании действия их трудовых договоров, контрактов или соглашений

ИСО/МЭК 27002, 8.2 Категорирование информации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.2.1 Категорирование информации Информация должна быть категорирована с точки зрения требований законодательства, ценности, критичности и чувствительности к несанкционированному раскрытию или изменению
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.2.2 Маркировка информации Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.2.3 Обращение с активами Должны быть разработаны и реализованы процедуры обращения с активами в соответствии с принятой в организации системой категорирования информации

ИСО/МЭК 27002, 8.3 Обращение с носителями информации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.3.1 Управление съемными носителями информации Должны быть реализованы процедуры по управлению сменными носителями информации в соответствии с принятой в организации системой категорирования информации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.3.2 Утилизация носителей информации Носители информации, в которых больше нет необходимости, должны быть надежным способом утилизированы в соответствии с формальными процедурами
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.3.3 Перемещение физических носителей Во время транспортировки носители информации должны быть защищены от несанкционированного доступа, нецелевого использования или повреждения

В.2.5 ИСО/МЭК 27002, раздел 9 Управление доступом

ИСО/МЭК 27002, 9.1 Требование бизнеса по управлению доступом
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.1.1 Политика управления доступом Политика управления доступом должна быть разработана, задокументирована и периодически пересматриваться с точки зрения требований бизнеса и ИБ
	Дополнительная техническая информация о мере обеспечения ИБ	Правила управления доступом должны быть дополнены официальными процедурами с распределением обязанностей. Управление доступом на основе ролей - это подход, успешно используемый многими организациями для связи прав доступа с бизнес-ролями
1	Стандарт реализации безопасности	Управление доступом может быть реализовано разными способами, включая следующие: - PIM (управление привилегированными учетными записями); - системы электронной блокировки; - услуги охранника; - SIEM (управление информацией о безопасности и событиями безопасности). Примечание - У некоторых из этих способов имеются ограничения. Например, SIEM анализируют и хранят журналы только при использовании того или иного метода контроля доступа. Системы электронной блокировки могут использоваться для контроля физического доступа к ресурсу. PIM может использоваться для управления удостоверениями и соответствующими правами доступа.
	Техническое примечание к стандарту реализации безопасности	Сложность средств контроля доступа повышается с увеличением сложности защищаемого актива, угроз компьютерных атак и последствий успешных атак
	1.1	Практическое руководство	Убедитесь в том, что к ресурсу имеют доступ только имеющие на это право люди
		Предполагаемые свидетельства	- Журналы доступа; - доступ к механизму контроля доступа
		Метод	Тестирование и подтверждение
	1.2	Практическое руководство	Убедитесь в том, что права доступа аннулируются, когда в них отпадает необходимость
		Предполагаемые свидетельства	- Отмененный аккаунт для тестирования; - журналы доступа; - доступ к администрированию пользователей
		Метод	Тестирование и подтверждение
	1.3	Практическое руководство	Проверьте, можно ли обойти запрос на доступ без привилегированного аккаунта
		Предполагаемые свидетельства	- Журналы доступа; - идентификация без прав доступа; - идентификация с привилегиями для сравнения; - доступ к механизму контроля доступа
		Метод	Тестирование и подтверждение
	1.4	Практическое руководство	Убедитесь в том, что все события доступа отражаются в журналах и могут быть использованы для расследования
		Предполагаемые свидетельства	- Файлы журналов; - бизнес-требования к журналам
		Метод	Тестирование и подтверждение
	1.5	Практическое руководство	Проверьте, возможно ли повысить привилегии доступа к ресурсам
		Предполагаемые свидетельства	- Журналы доступа; - идентификация без прав доступа; - доступ к механизму контроля доступа
		Метод	Тестирование и подтверждение
	1.6	Практическое руководство	Убедитесь, что невозможно обойти контроль доступа
		Предполагаемые свидетельства	- Журналы доступа; - идентификация без прав доступа; - доступ к механизму контроля доступа
		Метод	Тестирование и подтверждение
	1.7	Практическое руководство	Проверьте права доступа в черном и в белом списках и убедитесь, что ни один ресурс не пропущен
		Предполагаемые свидетельства	- Бизнес-требования; - бизнес-требования контроля доступа; - доступ к интерфейсу контроля доступа
		Метод	Тестирование и подтверждение
	1.8	Практическое руководство	Убедитесь, что невозможно клонировать или воспроизводить токены доступа или выдавать себя за другого
		Предполагаемые свидетельства	- Идентификация без прав доступа; - идентификация с чьими-либо правами доступа; - доступ к механизму контроля доступа
		Метод	Тестирование и подтверждение
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.1.2 Доступ к сетям и сетевым службам Пользователям следует предоставлять доступ только к тем сетям и сетевым сервисам, на использование которых они получили конкретное разрешение
	Дополнительная техническая информация о мере обеспечения ИБ	Несанкционированные и небезопасные подключения к сетевым услугам могут повлиять на всю организацию. Эта мера обеспечения ИБ имеет особое значение для сетевых подключений к конфиденциальным или критически важным бизнес-приложениям или для пользователей, находящихся в местах повышенного риска, например в общедоступных или внешних средах вне пределов зоны ИБ организации
1	Стандарт реализации безопасности	В отношении использования сетей и сетевых сервисов должна быть сформирована соответствующая политика
	Техническое примечание к стандарту реализации безопасности	Эта политика должна определять: a) сети и сетевые услуги, доступ к которым разрешен; b) процедуры авторизации для определения того, кому и к каким сетям и сетевым услугам разрешен доступ; c) меры обеспечения ИБ и процедуры управления для защиты доступа к сетевым соединениям и сетевым услугам; d) средства, используемые для доступа к сетям и сетевым услугам (например, использование VPN или беспроводной сети); e) требования аутентификации пользователя для доступа к различным сетевым сервисам; f) мониторинг использования сетевых сервисов. Политика использования сетевых сервисов должна соответствовать политике управления доступом организации
	1.1	Практическое руководство	Для определения используемых протоколов из ответов или запросов сетевых сервисов используйте анализ сетевого трафика, если это возможно. Это могут быть, например, протоколы Netbios, ARP, OSPF и т.д.
		Предполагаемые свидетельства	Доступ к сетевому трафику
		Метод	Тестирование и подтверждение
	1.2	Практическое руководство	Убедитесь, что широковещательные запросы и ответы ото всех узлов соответствуют сетевым диаграммам и другим документам
		Предполагаемые свидетельства	- Доступ к схемам сети; - доступ к сетевому трафику
		Метод	Тестирование и подтверждение
	1.3	Практическое руководство	Выявите и идентифицируйте все открытые порты и сервисы в авторизованной сети с помощью сканирования портов. Запросите все сервисные баннеры (флаги) для обнаруженных портов TCP и UDP. Убедитесь, что обнаруженные сервисы обоснованы с учетом привилегий пользователя и системных функций
		Предполагаемые свидетельства	- Доступ к спецификациям системы; - разрешение на сканирование портов в сети
		Метод	Тестирование и подтверждение
	1.4	Практическое руководство	Проверьте меры предотвращения доступа к услугам в сети или других сетях посредством подмены адресов
		Предполагаемые свидетельства	Имитацию адреса можно выполнить в тестовой или малозначимой среде
		Метод	Тестирование и подтверждение
	1.5	Практическое руководство	Подсчитайте и идентифицируйте все системы с доступом к другим закрытым сетям посредством нескольких сетевых карт. Попытайтесь использовать такие точки входа, чтобы войти в закрытые сети
		Предполагаемые свидетельства	Полная схема сети
		Метод	Тестирование и подтверждение
	1.6	Практическое руководство	Подсчитайте и определите все сервисы удаленных рабочих столов, которые можно использовать для получения доступа к системам за пределами авторизованной сети. Попытайтесь получить несанкционированный доступ к закрытым сетям через удаленный рабочий стол
		Предполагаемые свидетельства	- Полная схема сети; - доступные сервисы удаленного рабочего стола, подключенные к системам вне авторизованной сети
		Метод	Тестирование и подтверждение
	1.7	Практическое руководство	Изучите и проверьте правила межсетевого экрана, чтобы убедиться, что сетям и сетевым сервисам предоставляется только предполагаемый доступ
		Предполагаемые свидетельства	- Доступ к правилам межсетевого экрана; - доступ к журналам межсетевого экрана
		Метод	Тестирование и подтверждение

ИСО/МЭК 27002, 9.2 Процесс управления доступом пользователей
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.2.1 Регистрация и отмена регистрации пользователей Должен быть внедрен формализованный процесс регистрации и снятия с учета пользователей, обеспечивающий возможность назначения прав доступа
	Дополнительная техническая информация о мере обеспечения ИБ	Для определения, ограничения и контроля привилегированного доступа пользователей к сетям, сервисам и ресурсам должны использоваться официальные процедуры
1	Стандарт реализации безопасности	Должны быть документированы и реализованы следующие процессы: - регистрация и снятие с учета пользователей; - предоставление доступа пользователям; - управление привилегированными правами доступа; - управление секретной аутентификационной информацией пользователей; - пересмотр прав доступа пользователей; - аннулирование или изменение прав доступа
	Техническое примечание к стандарту реализации безопасности	Предоставление привилегированных прав доступа должно контролироваться в рамках официального процесса в соответствии с положениями политики контроля доступа
	1.1	Практическое руководство	Убедитесь в том, что идентификаторы всех пользователей уникальны и персонифицированы. Проведите выборочную оценку, чтобы убедиться в том, что учетные записи бывших сотрудников не активны. Убедитесь в отсутствии идентификаторов пользователей, не используемых в течение слишком длительного периода времени
		Предполагаемые свидетельства	- Доступ к администрированию пользователей; - доступ к списку бывших сотрудников или их идентификаторов
		Метод	Тестирование и подтверждение
	1.2	Практическое руководство	Убедитесь в том, что сложность паролей достаточна, чтобы сделать их угадывание проблематичным, а также что имя пользователя не является общедоступной информацией (например, электронным адресом или номером социального страхования)
		Предполагаемые свидетельства	- Доступ к политике паролей; - авторизация по имени пользователя и паролю
		Метод	Тестирование и подтверждение
	1.3	Практическое руководство	Убедитесь в том, что пользователю предлагается ответить на секретный вопрос или предоставить секретный ответ, или предоставить иную заранее определенную информацию для сброса паролей
		Предполагаемые свидетельства	- Доступ к политике паролей; - авторизация по имени пользователя и паролю; - доступ к функции сброса пароля; - авторизованная тестовая учетная запись
		Метод	Тестирование и подтверждение
	1.4	Практическое руководство	Убедитесь в том, что в случае неправильного ввода пароля определенное количество раз учетная запись пользователя блокируется на определенный период времени
		Предполагаемые свидетельства	- Авторизованная тестовая учетная запись; - авторизация по имени пользователя и паролю
		Метод	Тестирование и подтверждение
	1.5	Практическое руководство	Подсчитайте количество случаев использования учетных записей по умолчанию для целевых точек. Протестируйте возможность входа через точки аутентификации с использованием наиболее подходящих и известных методов взлома
		Предполагаемые свидетельства	Авторизация по имени пользователя и паролю
		Метод	Тестирование и подтверждение
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.2.2 Предоставление пользователю права доступа Должен быть реализован формализованный процесс назначения или отмены прав доступа пользователей к системам и сервисам
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.2.3 Управление привилегированными правами доступа Назначение и применение привилегированных прав доступа должно быть ограниченным и контролируемым
	Дополнительная техническая информация	Управление привилегиями имеет большое значение, поскольку ненадлежащее их использование оказывает существенное воздействие на системы. Статус предоставляемых привилегий должен быть описан в документах, содержащих описание привилегий. Это необходимо, поскольку различны привилегии доступа, связанные с каждым системным продуктом (операционной системой, системой управления базами данных и каждым приложением). В качестве примеров типов привилегий можно перечислить: - root (UNIX, Linux); - администратор (Windows); - оператор архива (Windows); - суперпользователь (Windows); - системный администратор (СУБД); - администратор баз данных (СУБД). Привилегии должны предоставляться по минимальному принципу, исходя из насущных потребностей. Кроме того, привилегии не должны предоставляться на постоянной основе. В разных системах используются различные методы управления привилегиями. В качестве примеров управления привилегиями в системах можно привести: - в операционных системах привилегии определяются с помощью ACL (список прав доступа); - в СУБД задаются разнообразные стандартные привилегии; - в приложениях могут существовать разнообразные привилегии по умолчанию для функций управления приложениями, поэтому аудиторам ИБ следует определиться с уровнем оценки заранее; - в Secure OS имеется функция обязательного контроля доступа
1	Стандарт реализации безопасности	Права доступа, связанные с каждым системным продуктом, например, операционная система, система управления базами данных и каждое приложение, а также пользователи, которым они должны быть предоставлены
	Техническое примечание к стандарту реализации безопасности	Активность привилегированных пользователей должна контролироваться, поскольку неправильное использование привилегий оказывает значительное воздействие на системы. Методы обнаружения ненадлежащего использования привилегий различны для систем разных архитектур. Примечание - Типичными архитектурами системы являются: - мэйнфрейм; - Windows; - UNIX, Linux; - Secure OS
	1.1	Практическое руководство	Убедитесь в том, что порядок предоставления привилегий изложен в документе их описания
		Предполагаемые свидетельства	Документ с описанием привилегий
		Метод	Анализ/Наблюдение
	1.2	Практическое руководство	Убедитесь в том, что настройки конфигурации систем соответствуют документу с описанием привилегий. Метод оценки использования привилегий зависит от системной архитектуры. Примеры методов оценки использования привилегий. 1) Мейнфрейм - оценка использования привилегий производится по отчету RACF. 2) UNIX, Linux или Windows - оценка использования привилегий производится путем изучения журналов. Примечания 1 RACF (средства управления доступом к ресурсам) представляет собой встроенное программное обеспечение мейнфрейма для управления безопасностью. 2 В операционных системах UNIX или Linux недостаточно ограничиваться только входом с помощью учетной записи root для оценки правомерности ее использования. Причина заключается в том, что обычный пользователь после входа в систему UNIX или Linux может получить привилегии root с помощью команды "su"
		Предполагаемые свидетельства	- Документ с описанием привилегий; - ACL (список прав доступа); - Отчет RACF
		Метод	Анализ/Наблюдение
2	Стандарт реализации безопасности	Привилегии должны предоставляться идентификаторам пользователей, отличных от тех, которые используются в повседневной работе
	Техническое примечание к стандарту реализации безопасности	При привилегированном доступе существует возможность неправомерного использования. Поэтому использование привилегий на регулярной основе повышает вероятность несанкционированного доступа. При отсутствии необходимости в привилегиях пользователи должны использовать свои обычные идентификаторы. Если разрешен вход с правами root, то по журналу невозможно определить, кто именно входил в систему
	2.1	Практическое руководство	Проверьте ACL-списки систем на наличие у пользователей обычного идентификатора наряду с привилегированным
		Предполагаемые свидетельства	Список прав доступа
		Метод	Анализ/Наблюдение
	2.2	Практическое руководство	Проверьте журнал и убедитесь в том, что для повседневной работы пользователь использует другой идентификатор пользователя. В системах UNIX или Linux следует убедиться в том, что конфигурация системы не дает возможности входа в систему с учетной записью root. Примечание - Если данные журналов показывают, что пользователь с привилегиями использует только свой привилегированный идентификатор, аудиторам ИБ необходимо провести интервью и выяснить возможность использования для повседневных задач непривилегированного идентификатора пользователя
		Предполагаемые свидетельства	- Файл журнала; - конфигурация системы для входа с учетной записью root
		Метод	Анализ/Наблюдение
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.2.4 Процесс управления секретной аутентификационной информацией пользователей Предоставление секретной аутентификационной информации должно быть контролируемо посредством формального процесса управления
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.2.5 Пересмотр прав доступа пользователей Владельцы активов должны регулярно пересматривать права доступа
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.2.6 Аннулирование или корректировка прав доступа Права доступа к информации и средствам обработки информации всех сотрудников и внешних пользователей должны быть аннулированы по окончании действия их трудовых договоров, контрактов или соглашений или скорректированы при изменении

ИСО/МЭК 27002, 9.3 Ответственность пользователей
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.3.1 Использование секретной аутентификационной информации Пользователи должны соблюдать правила организации при использовании секретной аутентификационной информации
	Дополнительная техническая информация о мере обеспечения ИБ	Секретными данными аутентификации могут быть полученные непосредственно биометрические данные пользователя, данные, полученные с помощью интеллектуальной карты 1), и пароли. При использовании всех этих трех методов требуется техническая оценка управления паролями пользователей. Во избежание несанкционированного доступа к ресурсам компьютера, пароль должен быть создан и храниться в тайне ото всех, кому не разрешен доступ. Аутентификация по паролю используется многими ресурсами, такими как операционные системы, программы, базы данных, сети или веб-сайты. Качество паролей зависит от их длины и типа используемых символов, например буквенно-цифровых и специальных символов. В некоторых операционных системах, таких как Windows, пользователи могут настраивать параметры политики паролей. С другой стороны, разработчики приложений могут создать функцию аутентификации для конфигурирования политики паролей. Аудиторам следует проверить наличие и эффективность функций авторизации с помощью паролей, поддерживаемых компьютерными ресурсами
	Стандарт реализации безопасности	Выбирайте качественные пароли с достаточным количеством символов, отвечающие следующим критериям: 1) легкость запоминания; 2) отсутствие в пароле каких-либо элементов, которые могут быть легко угаданы или получены посторонними, исходя из личной информации пользователя, например, имен, телефонных номеров, дат рождения и т.п.; 3) неподверженность словарным атакам (т.е. пароль не должен содержать слов, включенных в словари); 4) отсутствие последовательных идентичных символов, не должен состоять только из цифр или только из букв; 5) отличие от ранее использовавшихся паролей (с учетом n поколений)
	Техническое примечание к стандарту реализации безопасности	Пароли, которые другой пользователь может легко запомнить, по сути, уязвимы
1	1.1	Практическое руководство	Убедитесь в том, что правила выбора паролей отражены в политике паролей организации
		Предполагаемые свидетельства	Политика паролей организации
		Метод	Оценка
	1.2	Практическое руководство	Убедитесь в том, что настройки конфигурации системы (системная политика паролей) отражены в политике паролей организации
		Предполагаемые свидетельства	- Конфигурация системы (системная политика паролей); - политика паролей организации
		Метод	Анализ/Наблюдение
	1.3	Практическое руководство	Убедитесь в том, что в файле журнала отражены изменения паролей пользователями
		Предполагаемые свидетельства	Файл журнала
		Метод	Анализ/Наблюдение

------------------------------

¹⁾_{Интеллектуальная или смарт-карта - это пластиковая карта со встроенной микросхемой. Назначение таких карт - одно- и двухфакторная аутентификация пользователей, хранение ключевой информации и проведение криптографических операций в доверенной среде.}

------------------------------

ИСО/МЭК 27002, 9.4 Управление доступом к системам и приложениям
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.4.1 Ограничение доступа к информации Доступ к информации и функциям прикладных систем должен быть ограничен в соответствии с политикой управления доступом
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.4.2 Безопасные процедуры входа в систему Там, где это требует политика управления доступом, доступ к системам и приложениям должен осуществляться с помощью безопасной процедуры входа в систему
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.4.3 Система управления паролями Система управления паролями должна быть интерактивной и обеспечивать необходимое качество паролей
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.4.4 Использование привилегированных служебных программ Использование утилит, способных обойти меры обеспечения ИБ систем и прикладных программ, следует ограничить и строго контролировать
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.4.5 Управление доступом к исходному коду программы Доступ к файлам конфигураций программ должен быть ограничен, а сам файл конфигураций должен храниться в зашифрованном виде

В.2.6 ИСО/МЭК 27002, раздел 10 Криптография

ИСО/МЭК 27002, 10.1 Средства криптографической защиты информации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 10.1.1 Политика использования средств криптографической защиты информации Должна быть разработана и внедрена политика использования средств криптографической защиты информации
	Дополнительная техническая информация о мере обеспечения ИБ	Криптография - это инструмент для защиты информации в вычислительных системах и коммуникациях. Криптографические системы являются неотъемлемой частью стандартных протоколов, прежде всего протокола безопасности транспортного уровня TLS, что позволяет легко включать надежное шифрование в широкий спектр приложений. Эти средства криптографической защиты могут использоваться для достижения различных целей ИБ, включая: 1) конфиденциальность: использование шифрования информации для защиты конфиденциальной или критической информации, хранящейся или передаваемой; 2) целостность: криптографические хеш-функции могут использоваться для проверки целостности информации; 3) аутентификация: криптографические протоколы могут использоваться для аутентификации пользователей и систем, запрашивающих доступ к ресурсу; 4) подлинность: неотказуемость сообщений или информации может быть достигнута с использованием криптографических методов, таких как алгоритмы подписи. Для защиты информации следует определить, какие угрозы ИБ следует предотвращать с помощью криптографии
1	Стандарт реализации безопасности	В алгоритмы шифрования заложен определенный уровень сложности, что затрудняет широкое использование средств криптографической защиты информации. При реализации средств криптографической защиты необходимо: 1) использовать ключи достаточной длины; 2) использовать протоколы, которые считаются сильными; 3) использовать криптографические алгоритмы, которые считаются надежными; 4) использовать реализации, которые проверены и известны как безопасные; 5) постоянно оценивать эффективность
	Техническое примечание к стандарту реализации безопасности	Внедрение средств криптографической защиты информации должно осуществляться с использованием надежных и проверенных алгоритмов и реализаций. Не рекомендуется использовать собственные криптографические алгоритмы и реализации
	1.1	Практическое руководство	Убедитесь, что сетевые сервисы с реализованными средствами криптографической защиты информации обеспечивают достаточную длину ключа и не используют слабые алгоритмы
		Предполагаемые свидетельства	- Стандартные криптографические методы; - доступ к зашифрованным сервисам
		Метод	Тестирование и подтверждение
	1.2	Практическое руководство	Убедитесь, что используемые средства криптографической защиты информации считаются надежными
		Предполагаемые свидетельства	- Реализация средств криптографической защиты информации; - механизм контроля используемых версий реализации
		Метод	Тестирование и подтверждение
	1.3	Практическое руководство	Убедитесь, что мобильные устройства и устройства со съемными носителями защищены криптографическими средствами контроля с использованием надежных алгоритмов и достаточной длины ключа
		Предполагаемые свидетельства	- Стандартные криптографические методы; - доступ к мобильным устройствам со съемными носителями
		Метод	Тестирование и подтверждение
	1.4	Практическое руководство	Убедитесь, что все криптографические ключи хранятся в надежном и безопасном месте и могут быть доступны только уполномоченным лицам
		Предполагаемые свидетельства	- Методы контроля доступа для криптографических ключей; - процесс хранения криптографических ключей
		Метод	Тестирование и подтверждение
	1.5	Практическое руководство	Убедитесь в том, что ключи сервисов связи с реализованными средствами криптографической защиты имеют достаточную длину и что в их работе используются надежные алгоритмы
		Предполагаемые свидетельства	- Стандартные методы шифрования; - доступ к сервисам с шифрованием; - доступ к зашифрованным данным связи (например, сертификатам)
		Метод	Тестирование и подтверждение
	Мера обеспечения ИБ	ИСО/МЭК 27002, 10.1.2 Управление ключами Необходимо разработать и внедрить политику по использованию, защите и управлению жизненным циклом криптографических ключей

В.2.7 ИСО/МЭК 27002, раздел 11 Физическая безопасность и защита от воздействия окружающей среды

ИСО/МЭК 27002, 11.1 Зоны безопасности
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.1.1 Физический периметр безопасности Должны быть определены и использованы периметры безопасности для защиты зон, содержащих чувствительную или критически важную информацию и средства ее обработки
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.1.2 Меры и средства контроля и управления физическим доступом Безопасные зоны должны быть защищены соответствующими средствами контроля доступа, чтобы обеспечить доступ только авторизованному персоналу
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.1.3 Безопасность зданий, помещений и оборудования Должна быть разработана и реализована физическая защита зданий, помещений и оборудования
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.1.4 Защита от внешних угроз и угроз со стороны окружающей среды Должна быть разработана и реализована физическая защита зданий, помещений и оборудования от стихийных бедствий, злонамеренных атак или несчастных случаев
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.1.5 Работа в зонах безопасности Должны быть разработаны и применены процедуры для работы в безопасных зонах
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.1.6 Зоны погрузки и разгрузки Зоны погрузки и разгрузки и другие места, в которых могут находиться посторонние лица, должны контролироваться и по возможности изолироваться от средств обработки информации во избежание несанкционированного доступа

ИСО/МЭК 27002, 11.2 Оборудование
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.1 Размещение и защита оборудования Оборудование должно быть размещено и защищено таким образом, чтобы снизить риски ИБ от угроз и опасностей со стороны окружающей среды и возможности несанкционированного доступа
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.2 Вспомогательные услуги Оборудование должно быть защищено от сбоев электропитания и других сбоев, вызванных отказами в предоставлении вспомогательных услуг
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.3 Безопасность кабельной сети Силовые и телекоммуникационные кабели, используемые для передачи данных или для поддержки информационных услуг, должны быть защищены от перехвата информации, помех или повреждения
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.4 Техническое обслуживание оборудования Должно проводиться надлежащее техническое обслуживание оборудования для обеспечения его непрерывной доступности и целостности
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.5 Перемещение активов Оборудование, информация или программное обеспечение не должны выноситься за пределы организации без предварительного разрешения
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.6 Безопасность оборудования и активов вне помещений организации При обеспечении безопасности активов, используемых вне помещений организации, следует принимать во внимание различные риски, связанные с работой вне помещений организации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.7 Безопасная утилизация или повторное использование оборудования Все элементы оборудования, содержащие устройства хранения данных, должны быть проверены, чтобы гарантировать, что любые чувствительные данные и лицензионное программное обеспечение были удалены или надежно перезаписаны перед утилизацией или повторным использованием
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.8 Оборудование, оставленное пользователем без присмотра Пользователи должны гарантировать, что оставленное без присмотра оборудование надлежащим образом защищено
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.9 Политика "чистого стола" и "чистого экрана" Должна быть установлена политика "чистого стола" для бумаг и съемных носителей и политика "чистого экрана" для средств обработки информации

В.2.8 ИСО/МЭК 27002, раздел 12 Безопасность при эксплуатации

ИСО/МЭК 27002, 12.1 Эксплуатационные процедуры и обязанности
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.1.1 Документально оформленные эксплуатационные процедуры Эксплуатационные процедуры должны быть документированы и доступны всем нуждающимся в них пользователям
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.1.2 Процесс управления изменениями Изменения в организации, бизнес-процессах, средствах обработки информации и системах, которые влияют на информационную безопасность, должны быть управляемыми
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.1.3 Управление производительностью Необходимо осуществлять мониторинг, регулирование и прогнозирование (исходя из требований к производительности в будущем) использования ресурсов для обеспечения требуемой производительности системы
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.1.4 Разделение сред разработки, тестирования и эксплуатации Для снижения рисков несанкционированного доступа или изменений среды эксплуатации необходимо обеспечивать разделение сред разработки, тестирования и эксплуатации. В средах разработки и тестирования необходимо использовать обезличенные данные для снижения рисков, связанных со ссылками на реальные рабочие данные

ИСО/МЭК 27002, 12.2 Защита от вредоносных программ
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.2.1 Меры и средства информационной безопасности в отношении вредоносных программ Для защиты от вредоносных программ должны быть реализованы меры обеспечения ИБ по обнаружению, предотвращению и восстановлению, в сочетании с соответствующим информированием пользователей
	Дополнительная техническая информация	Вредоносное программное обеспечение - общий термин, используемый для обозначения кода (включая программное обеспечение, программы, скрипты), созданного для нанесения вреда компьютерной системе путем хищения информации, мошеннических или шпионских действий. При внедрении вредоносного программного обеспечения в компьютерную систему возникает угроза ее повреждения либо кражи хранящейся в ней информации. Одним из вариантов действия вредоносного ПО является повреждение других систем. В разряд вредоносного программного обеспечения входят вирусы, компьютерные черви, троянские кони, боты, шпионское ПО, недобросовестная реклама, а также прочие виды вредоносного и нежелательного программного обеспечения. При условии подключения сети организации к интернету аудиторы ИБ должны проверить, что функции обнаружения/нейтрализации вредоносных программ размещены на границе интернета всесторонне и эффективно, и эти функции работают надлежащим образом. В частности, для оценки надлежащей работы функций по выявлению и/или нейтрализации вредоносного ПО аудиторам ИБ необходимо убедиться в своевременном обновлении файлов шаблонов или сигнатур, используемых для обнаружения вредоносных программ. Некоторые системы для обнаружения/нейтрализации вредоносного ПО используют файлы шаблонов или сигнатур, а другие выявляют аномальную работу компьютерной системы без помощи таковых. Поскольку существуют различные схемы подключения к интернету, такие как подключение сети организации к интернету через шлюз или прямое подключение каждого ПК к интернету, аудиторы ИБ должны убедиться, что система обнаружения/нейтрализации работает надлежащим образом в каждом случае. Примечание - Аудиторы ИБ должны иметь в виду, что возможности систем обнаружения/нейтрализации для неизвестных вредоносных программ, таких как атака "нулевого дня", ограничены
1	Стандарт реализации безопасности	Должны проводиться установка и регулярное обновление программного обеспечения обнаружения вредоносных программ и восстановления систем для эффективного сканирования компьютеров и носителей данных в качестве меры предосторожности или на регулярной основе. Сканирование должно включать: 1) проверку всех файлов на электронных или оптических носителях, а также всех получаемых по сети файлов перед их использованием; 2) проверку вложений в электронных письмах и загружаемых файлов перед их использованием. Проверка должна выполняться в разных точках, например, на серверах электронной почты, на настольных компьютерах и при попадании в сеть организации; 3) проверку веб-страниц
	Техническое примечание к стандарту реализации безопасности	В шлюзе, который является входом в сеть организации, система выявления и нейтрализации вредоносного ПО должна выполнять свои функции для определенного набора сервисов и сетевых протоколов, таких как WWW, почта и FTP
	1.1		К пунктам 1), 2) и 3) вышеуказанного стандарта реализации безопасности применимы следующие практические рекомендации: 1) Убедитесь путем анализа спецификации систем или схем сетей, что система обнаружения вредоносного кода и восстановления размещена эффективно и всеобъемлюще для любых файлов на электронных или оптических носителях, а также для файлов, полученных по сети. Аудиторы ИБ должны проверить, что система обнаружения/предотвращения размещена всеобъемлюще и эффективно, анализируя спецификацию системы или схемы сети. 2) Убедитесь путем анализа спецификации систем или схем сетей, что система обнаружения вредоносного кода и восстановления размещена эффективно и всеобъемлюще для любых вложений и загрузок электронной почты, включая серверы электронной почты, настольные компьютеры и шлюз. В спецификации системы система обнаружения вредоносного кода и восстановления может быть представлена как установленная на выделенном устройстве. Однако аудиторы ИБ отмечают, что она может также размещаться на серверах, которые предназначены для обеспечения некоторых других функций/сервисов (WWW, почта и FTP), и, таким образом, может быть представлена в спецификации системы без отдельного четкого описания. Что касается настольных ПК, аудиторы ИБ отмечают, что система обнаружения вредоносного кода и восстановления зачастую представлена в спецификации системы без отдельного четкого описания. 3) Убедитесь путем анализа спецификации систем или схем сетей, которые включают веб-сервер, что система обнаружения вредоносного кода и восстановления размещена эффективно и всеобъемлюще для веб-страниц. Аудиторы по ИБ отмечают, что система обнаружения и восстановления зачастую представлена в спецификации системы без отдельного четкого описания. В таких случаях, как правило, средства обнаружения вредоносного ПО и восстановления системы бывают встроены в браузер. Для веб-сервера средства обнаружения вредоносного ПО и восстановления систем иногда четко описываются в спецификации системы отдельно, однако аудиторы ИБ отмечают, что часто они также размещаются на веб-серверах без четкого описания в спецификации системы
		Предполагаемые свидетельства	- Договорные документы; - проект архитектуры сетевых сервисов; - спецификация системы; - схема сети
		Метод	Анализ/Оценка
	1.2	Практическое руководство	1) Убедитесь путем наблюдения за средствами обработки информации, что система обнаружения вредоносных программ и восстановления работает надлежащим образом для проверки любых файлов на электронном или оптическом носителе, а также файлов, полученных по сети. Проверьте, правильно ли работает управляющее программное обеспечение в интегрированной системе в условиях, когда система обнаружения вредоносных программ и восстановления управляется в интегрированной среде. 2) Путем наблюдения за средствами обработки информации убедитесь, что система обнаружения вредоносных программ и восстановления установлена и работает надлежащим образом для обнаружения любых вложений и загрузок электронной почты на серверах электронной почты, на настольных компьютерах и в шлюзе. Для электронной почты убедитесь, что система обнаружения работает не только с вложенными файлами, но и с вредоносными вставками в тело писем в формате html. 3) Убедитесь путем наблюдения за средствами обработки информации, что система обнаружения вредоносных программ и восстановления работает надлежащим образом для веб-страниц. Для настольных ПК, которые используются для навигации или просмотра веб-страниц, убедитесь, что система обнаружения работает для несанкционированного управления Active X, сценариев и т.д. Для веб-сервера убедитесь, что система обнаружения работает не только для html-файлов, но и для вредоносных программ в веб-сервисах, таких как apache, IIS и т.д.
		Предполагаемые свидетельства	Размещение средств обнаружения вредоносных программ и восстановления системы возможно на следующих системах (примеры): - файловый сервер; - сервер электронной почты; - отдельные настольные ПК; - переносные компьютеры; - отдельные средства обнаружения вредоносного ПО и восстановления систем в шлюзе (на границе между сетью организации и интернетом); - веб-сервер; - прокси-сервер; - веб-браузер; - прочее (устройства для блокирования физического подключения USB)
		Метод	Оценка/Наблюдение
	1.3	Практическое руководство	Соберите файлы журналов системы обнаружения и восстановления и убедитесь, что записи журналов показывают, что система работала и при обнаружении вредоносного ПО необходимые действия предпринимаются. Загрузив тестовый вирус EICAR, убедитесь, что для веб-страниц система обнаружения вредоносного ПО и восстановления работает полностью и эффективно. Примечание - Для настольных ПК журналы системы обнаружения и восстановления обычно хранятся на ПК. Для серверов и внешних устройств эти журналы иногда передаются посредством протокола передачи, такого как syslog, и хранятся в других системах. Для настольных ПК, которые используются для навигации или просмотра веб-страниц, функция обнаружения в веб-браузере может не создавать записи журналов, свидетельствующих, что эта функция была запущена. Но большая часть браузеров выдает сообщение при обнаружении неавторизованных скриптов
		Предполагаемые свидетельства	- Используемая система обнаружения; - файлы журналов системы обнаружения; - оповещения системы обнаружения; - сообщения системы обнаружения в веб-браузере; - веб-сервер с функцией загрузки файлов в веб-браузер
		Метод	- Анализ/Наблюдение; - тестирование и подтверждение
2	Стандарт реализации безопасности	Программное обеспечение для обнаружения вредоносного ПО и восстановления системы, используемое для сканирования компьютеров и носителей данных в качестве меры предосторожности, должно обновляться регулярно или в рамках определенной процедуры
	Техническое примечание к стандарту реализации безопасности	В большинстве случаев имеются функции для автоматического обновления файлов шаблонов или сигнатур
	2.1		Проверка настроек программного обеспечения для обнаружения и восстановления системы на наличие автоматического обновления файлов шаблонов или сигнатур или их регулярного обновления
		Предполагаемые свидетельства	Проект или спецификация системы обнаружения
		Метод	Проверка/Оценка
	2.2	Практическое руководство	Проверьте настройки программного обеспечения для обнаружения и восстановления системы на наличие автоматического обновления файлов шаблонов или сигнатур или их регулярного обновления
		Предполагаемые свидетельства	Настройки системы обнаружения
		Метод	Проверка/Наблюдение
	2.3	Практическое руководство	Убедитесь в том, что файлы шаблонов или сигнатур обновляются, сравнивая наименование продукта, версию и журнал обновлений файлов шаблонов или сигнатур. Примечание - Наименование и версию продукта для обнаружения вредоносного ПО и восстановления системы можно найти в файле справки продукта
		Предполагаемые свидетельства	Информация о системе обнаружения и нейтрализации вредоносного ПО, а именно: - наименование продукта; - версия продукта; - версия файла структуры или подписи
		Метод	Проверка/Наблюдение

ИСО/МЭК 27002, 12.3 Резервное копирование
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.3.1 Резервное копирование информации Следует регулярно создавать и проверять резервные копии информации, программного обеспечения и образов систем в соответствии с установленной политикой резервного копирования
	Дополнительная техническая информация о мере обеспечения ИБ	Чтобы выполнять резервное копирование надлежащим образом, необходимо определить стандарт организации в соответствии с политикой резервного копирования и отразить это в проектном документе по резервному копированию. Резервные копии используются для восстановления важной информации или программного обеспечения в случае события потери данных, такого как сбой или порча носителя информации. При разработке проекта резервного копирования в соответствии с политикой резервного копирования организация должна выбрать подходящее место хранения резервных копий, способ выполнения резервных копий и метод резервного копирования. С точки зрения места хранения резервных копий организация должна выбрать локальный или внешний вариант хранения резервных копий. Считается, что хранение копий на месте требует существенно меньших затрат времени на резервное копирование и восстановление. Хранение резервных копий вне площадки часто выбирается для того, чтобы предотвратить последствия локальных бедствий, таких как пожары, наводнения или землетрясения. Способ выполнения резервной копии может быть либо "онлайн", когда резервное копирование осуществляется через сеть или другой соответствующий канал связи, либо "офлайн". При резервном копировании "офлайн" резервные копии физически транспортируются на съемных носителях, таких как магнитные ленты, CD или DVD-диски. Кроме того, резервное копирование может выполняться различными методами резервного копирования: полное, инкрементное и дифференциальное. При полном резервном копировании создается копия всех выбранных данных. Для этого требуется больше времени и места для данных по сравнению с другими методами, однако последующее восстановление данных будет самым простым и самым легким. Инкрементное резервное копирование означает создание резервных копий только тех данных, которые изменились с момента последнего резервного копирования. Это потребует меньше времени и емкости данных по сравнению с другими методами, но это наиболее сложный метод для восстановления. Дифференциальное резервное копирование подразумевает создание копии только тех данных, которые были изменены с момента последнего полного резервного копирования. Такой способ резервного копирования потребует меньше времени и информационной емкости, чем полное копирование, и последующее восстановление данных будет более простым по сравнению с инкрементным резервным копированием
1	Стандарт реализации безопасности	Степень (т.е. полное или дифференциальное резервное копирование) и регулярность создания резервных копий должны отражать существующие в организации требования, требования к безопасности копируемых данных, а также степень важности копируемых данных для непрерывной работы организации
	Техническое примечание к стандарту реализации безопасности	Организация в соответствии со своими требованиями должна выбрать надлежащую периодичность создания резервных копий и/или восстановления данных, а также определить объем копируемых данных. Аудиторам следует оценить уместность выбранного метода копирования с учетом существующих бизнес-требований. В качестве примера можно привести следующие варианты регулярного резервного копирования: - зеркальное отображение или репликация в режиме реального времени (наивысший уровень важности информации); - ежедневное копирование (при необходимости восстановления данных, как минимум, за день); - еженедельное копирование; - ежемесячное копирование
	1.1	Практическое руководство	Убедитесь в том, что процедура резервного копирования запланирована в соответствии со стандартом реализации безопасности
		Предполагаемые свидетельства	- Спецификация резервного копирования; - документ, определяющий бизнес; - требования и требования безопасности; - план резервного копирования
		Метод	Проверка/Оценка
	1.2	Практическое руководство	Убедитесь в том, что настройки файлов конфигурации системы для резервного копирования соответствуют его описанию в плане
		Предполагаемые свидетельства	- План резервного копирования; - файлы конфигурации системы резервного копирования
		Метод	Проверка/Оценка
	1.3	Практическое руководство	Убедитесь в том, что резервное копирование осуществлено в соответствии с планом резервного копирования.
		Предполагаемые свидетельства	- План резервного копирования; - файлы журналов; - носители резервного копирования
		Метод	Проверка/наблюдение
	1.4	Практическое руководство	Убедитесь в том, что резервные копии хранятся в безопасном, изолированном помещении достаточных размеров
		Предполагаемые свидетельства	Спецификация места для хранения резервных копий
		Метод	Проверка/Оценка
2	Стандарт реализации безопасности	Процедуры восстановления следует регулярно проверять и тестировать, чтобы убедиться в их эффективности и в том, что они могут быть выполнены в течение времени, отведенного в оперативных процедурах для восстановления
	Техническое примечание к стандарту реализации безопасности	Сложность и длительность восстановления данных зависит от применяемого метода, например, полное или дифференциальное копирование. Необходимо подготовить и отразить в документации план тестирования и проверки процедур восстановления данных
	2.1	Практическое руководство	Убедитесь в том, что план тестирования и само тестирование проверяются регулярно
		Предполагаемые свидетельства	Записи о проверке плана и тестировании процедур восстановления данных
		Метод	Проверка/Оценка
	2.2	Практическое руководство	Проверьте, регулярно ли тестировался план тестирования и проверки, чтобы убедиться, что запланированные меры эффективны и могут быть выполнены в течение времени, отведенного в оперативных процедурах восстановления
		Предполагаемые свидетельства	- Записи о проведении тестирования процедуры восстановления; - план тестирования и проверки
		Метод	Проверка/Оценка

ИСО/МЭК 27002, 12.4 Регистрация и мониторинг
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.4.1 Регистрация событий Необходимо обеспечивать формирование, ведение и регулярный анализ журналов событий, фиксирующих действия пользователей, нештатные ситуации, ошибки и события ИБ
	Дополнительная техническая информация о мере обеспечения ИБ	Для выявления несанкционированной обработки данных важно вести журналы аудита, с помощью которых можно отследить действия пользователей, операторов системы, события безопасности и работу систем. Для обнаружения несанкционированных действий по обработке информации важно вести журналы аудита, которые используются для отслеживания действий пользователей, системных операторов, событий безопасности и систем. Чтобы обеспечить возможность анализа несанкционированных действий и событий безопасности, в журналах аудита должна содержаться следующая информация: - идентификаторы пользователя; - дата и время; - ключевые события, такие как вход и выход из системы; - идентификатор терминала; - сетевой адрес и протоколы. Для формирования необходимых записей, включающих вышеперечисленные данные, требуется, чтобы оборудование, которое записывает информацию в журналы, было соответствующим образом настроено. Технология ведения журнала зависит от структуры системы, архитектуры и используемых приложений. Аудиторы ИБ должны учитывать различия в технологии ведения журналов для разных архитектур систем, таких как серверы и ПК. Примечание - Примерами возможных структур системы являются: - система клиент-сервер; - веб-система; - система тонких клиентов; - виртуализация; - использование ASP (поставщик сервисов приложений), SaaS (программное обеспечение как услуга) или облачных услуг. Примерами системных архитектур являются: - UNIX, Linux; - Windows; - Мэйнфрейм. Примерами типов журналов являются: - системный журнал; - журнал приложения
1	Стандарт реализации безопасности	Необходимо обеспечить формирование журналов аудита, где фиксируются действия пользователей, исключения, а также события ИБ. По возможности журналы аудита должны содержать следующую информацию: a) идентификаторы пользователей; b) даты, время и детали ключевых событий, например входа в систему и выхода из нее; c) идентификаторы терминалов и по возможности их местонахождение; d) записи об успешных и неудачных попытках входа в систему; e) записи об успешных и неудачных попытках доступа к данным и другим ресурсам; f) изменения конфигурации системы; g) использование системных утилит и приложений; h) файлы, к которым осуществлялся доступ, и тип доступа; i) сетевые адреса и протоколы; j) аварийные оповещения системы контроля доступа; k) включение и выключение систем защиты, таких как антивирусные системы и системы обнаружения вторжений
	Техническое примечание к стандарту реализации безопасности	Соответствующие меры защиты конфиденциальности должны быть приняты. По возможности системные администраторы не должны иметь разрешения на удаление или деактивацию журналов своих действий
	1.1	Практическое руководство	Убедитесь в том, что процедура ведения журналов спроектирована в соответствии со стандартом реализации безопасности
		Предполагаемые свидетельства	- Спецификация; - документ с описанием требований; - проектная документация программного обеспечения
		Метод	Проверка/Оценка
	1.2	Практическое руководство	Убедитесь в том, что настройки файлов конфигурации системы для ведения журналов соответствуют описанию в проектной документации программного обеспечения
		Предполагаемые свидетельства	- Проектная документация программного обеспечения; - файл конфигурации системы
		Метод	Проверка/Оценка
	1.3	Практическое руководство	Убедитесь в том, что данные фактических файлов создаваемых журналов аудита соответствуют проектной документации системы. Примечание - Некоторые записи в журналах аудита появляются постоянно, а некоторые - в зависимости от ситуации, например, данные об ошибках. Чтобы проверить, ведет ли система учет событий, появляющихся в зависимости от ситуации, от аудиторов ИБ могут потребоваться различные меры, такие как создание контрольного примера, проверка проектной документации системы
		Предполагаемые свидетельства	Файл журнала
		Метод	Проверка/Наблюдение
	1.4	Практическое руководство	В конкретных случаях длительность хранения журналов аудита определяется коммерческой целесообразностью, условиями договора или законодательными и/или нормативными требованиями. Например, журналы аудита с аварийными оповещениями, создаваемыми системой контроля доступа, должны храниться до завершения расследования событий, приведших к появлению инцидента. Примечание - В относительно новых и недолго работающих системах журналы аудита за согласованный период времени могут отсутствовать. В таких случаях для выполнения требования практического руководства 2.3 необходимо проверить выполнение требований 2.1 и 2.2
		Предполагаемые свидетельства	Файл журнала
		Метод	Проверка/Наблюдение
2	Стандарт реализации безопасности	Журналы аудита должны храниться в течение согласованного периода времени для проведения возможных расследований и мониторинга контроля доступа
	Техническое примечание к стандарту реализации безопасности	В некоторых случаях длительность хранения журналов аудита определяется коммерческой целесообразностью, условиями договора или законодательными и/или нормативными требованиями. Например, журналы аудита с аварийными оповещениями, создаваемыми системой контроля доступа, должны храниться до завершения расследования событий, приведших к появлению инцидента. Примечание - В относительно новых и недолго работающих системах журналы аудита за согласованный период времени могут отсутствовать. В таких случаях для выполнения требований практического руководства 2.3 необходимо проверить пункты 2.1 и 2.2 практического руководства
	2.1	Практическое руководство	Убедитесь в том, что срок хранения журналов аудита соответствует указанному в проектной документации системы
		Предполагаемые свидетельства	- Файл журнала; - проектная документация системы
		Метод	Проверка/Оценка
	2.2	Практическое руководство	Убедитесь в том, что настройки периода хранения журналов аудита в системе соответствуют проектной документации системы, или задан запрет на перезапись или удаление журналов аудита, если время хранения не определено
		Предполагаемые свидетельства	- Файл журнала; - проектная документация системы
		Метод	Проверка/Оценка
	2.3	Практическое руководство	Убедитесь в том, что период хранения журналов аудита превышает согласованный период, исходя из временных меток файлов журнала или отметок времени в журнале
		Предполагаемые свидетельства	- Файл журнала; - проектная документация системы
		Метод	Проверка/Оценка
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.4.2 Защита информации регистрационных журналов Информация журналов и средств регистрации должна быть защищена от подделки и несанкционированного доступа
	Дополнительная техническая информация о мере обеспечения ИБ	В системных журналах зачастую содержатся большие объемы информации, значительная часть которой не имеет отношения к мониторингу ИБ. Чтобы упростить поиск событий, имеющих значение для ИБ, можно рассмотреть возможность автоматического копирования нужных типов сообщений во второй журнал или использовать специальные системные утилиты или инструменты аудита для выполнения запросов и рационализации файлов
1	Стандарт реализации безопасности	Меры обеспечения ИБ должны быть нацелены на защиту от несанкционированных изменений данных журналов и от проблем в работе средств ведения журналов
	Техническое примечание к стандарту реализации безопасности	Необходимо обеспечивать защиту системных журналов, поскольку изменение или удаление в них данных может создать ложную уверенность в безопасности. Для защиты журналов их можно копировать в режиме реального времени в систему, находящуюся вне контроля системного администратора или оператора
	1.1	Практическое руководство	Убедитесь, что только авторизованные и привилегированные пользователи могут получить доступ к файлам журналов. Доступ для чтения и записи должен быть ограничен привилегированными пользователями
		Предполагаемые свидетельства	- Доступ к серверу журналов; - доступ к журналам; - учетная запись привилегированного пользователя и обычная учетная запись
		Метод	Тестирование и подтверждение
	1.2	Практическое руководство	Убедитесь в том, что все файлы журналов передаются через безопасное соединение в систему управления (т.е. сервер журналов или СМИБ)
		Предполагаемые свидетельства	- Доступ к серверу журналов; - доступ к сетевым сервисам, используемым для передачи данных журналов
		Метод	Тестирование и подтверждение
	1.3	Практическое руководство	Убедитесь в том, что все изменения файлов журналов могут отслеживаться системой менеджмента
		Предполагаемые свидетельства	- Доступ к системе управления журналами; - доступ к файлам журналов
		Метод	Тестирование и подтверждение
	1.4	Практическое руководство	Убедитесь, что все непривилегированные или неожиданные изменения в файлах журнала могут быть идентифицированы
		Предполагаемые свидетельства	- Использование хешей/подписей; - доступ к системе управления журналами
		Метод	Тестирование и подтверждение
	1.5	Практическое руководство	Убедитесь, что привилегированные и авторизованные пользователи не могут манипулировать своими собственными файлами журналов
		Предполагаемые свидетельства	- Учетная запись привилегированного пользователя; - доступ к системе управления журналами
		Метод	Тестирование и подтверждение
	1.6	Практическое руководство	Убедитесь в том, что у пользователей имеется доступ только к тем файлам журналов, которые соответствуют их правам
		Предполагаемые свидетельства	- Доступ к системе управления журналами; - доступ к журналам; - доступ к двум учетным записям пользователей с разными привилегиями
		Метод	Тестирование и подтверждение
	1.7	Практическое руководство	Убедитесь в том, что все изменения файлов журналов могут отслеживаться системой менеджмента
		Предполагаемые свидетельства	Убедитесь в надежности шифрования файлов журналов
		Метод	Тестирование и подтверждение
	1.8	Практическое руководство	Убедитесь в надежной защите системы управления журналами от несанкционированного доступа
		Предполагаемые свидетельства	Сетевой доступ к системе управления журналами
		Метод	Тестирование и подтверждение
	1.9	Практическое руководство	Проверьте возможность непривилегированного доступа к аварийным оповещениям, журналам, местам хранения уведомлений и активам
		Предполагаемые свидетельства	- Доступ к системе управления журналами; - доступ к файлам журналов
		Метод	Тестирование и подтверждение
2	Стандарт реализации безопасности	Журналы аудита должны храниться в течение согласованного периода времени, достаточного для проведения возможных расследований и мониторинга контроля доступа
	Техническое примечание к стандарту реализации безопасности	В некоторых случаях длительность хранения журналов аудита определяется коммерческой целесообразностью, условиями договора или законодательными и/или нормативными требованиями. Например, журналы аудита с аварийными оповещениями, создаваемыми системой контроля доступа, должны храниться до завершения расследования событий, приведших к появлению инцидента. Примечание - В относительно новых и недолго работающих системах журналы аудита за согласованный период времени могут отсутствовать. В таких случаях для выполнения требований практического руководства 2.3 необходимо проверить пункты 2.1 и 2.2 практического руководства
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.4.4 Синхронизация часов Часы всех систем обработки информации в рамках организации или домена безопасности должны быть синхронизированы с единым эталонным источником времени

ИСО/МЭК 27002, 12.5 Контроль программного обеспечения, находящегося в эксплуатации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.5.1 Установка программного обеспечения в эксплуатируемых системах Должны быть реализованы процедуры контроля установки программного обеспечения в системах, находящихся в эксплуатации

ИСО/МЭК 27002, 12.6 Менеджмент технических уязвимостей
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.6.1 Процесс управления техническими уязвимостями Должна быть своевременно получена информация о технических уязвимостях используемых информационных систем, оценена подверженность организации таким уязвимостям и приняты соответствующие меры в отношении связанного с этим риска ИБ
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.6.2 Ограничения на установку программного обеспечения Должны быть установлены и реализованы правила, регулирующие установку программного обеспечения пользователями

ИСО/МЭК 27002, 12.7 Особенности аудита информационных систем
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.7.1 Меры обеспечения информационной безопасности в отношении аудита информационных систем Требования к процессу регистрации событий [аудиту] и деятельности, связанной с контролем находящихся в эксплуатации систем, должны быть тщательно спланированы и согласованы для минимизации сбоев в бизнес-процессах

В.2.9 ИСО/МЭК 27002, раздел 13 Безопасность коммуникаций

ИСО/МЭК 27002, 13.1 Менеджмент информационной безопасности сетей
	Мера обеспечения ИБ	ИСО/МЭК 27002, 13.1.1 Меры и средства информационной безопасности сетей Сети должны управляться и контролироваться для обеспечения защиты информации систем и приложений
	Дополнительная техническая информация о мере обеспечения ИБ	Сетевой сервис - это услуга, которая предоставляется в сетевой компьютерной среде внутри организации или по методу аутсорсинга.