Приложение В (справочное). Практическое руководство по оценке технического соответствия информационной безопасности. Национальный стандарт РФ ГОСТ Р 56045-2021/ISO/IEC TS 27008:2019 "Информационные технологии. Методы и средства обеспечения безопасности. Рекомендации по оценке мер обеспечения информационной безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.05.2021 N 421-ст)

Приложение В
(справочное)

Практическое руководство по оценке технического соответствия информационной безопасности

В.1 Общая информация

В данном приложении представлена совокупность практических руководств по оценке технического соответствия ИБ с использованием технических мер обеспечения ИБ, описанных в ИСО/МЭК 27002. В данном приложении описана каждая мера обеспечения ИБ. ИСО/МЭК 27001 не требует от организаций использования мер обеспечения ИБ ИСО/МЭК 27002. Необходимыми могут быть другие меры обеспечения ИБ, такие как секторальные меры обеспечения ИБ из таких стандартов, как ИСО/МЭК 27010 и ИСО/МЭК 27017. Кроме того, организации могут разрабатывать собственные меры обеспечения ИБ. Однако в данном приложении рассмотрены меры обеспечения ИБ из ИСО/МЭК 27002. Они иллюстрируют различные методы по оценке технического соответствия, которые можно использовать.

В В.2.1 - В.2.14 представлена таблица для каждого элемента ИБ из ИСО/МЭК 27002, содержание которой сгруппировано следующим образом:

"Техническая мера обеспечения ИБ" (с дополнительной технической информацией)

1. Стандарт реализации безопасности (с "Техническими примечаниями к стандарту реализации безопасности")

1.1 Практическое руководство, Предполагаемые свидетельства, Метод

1.2 Практическое руководство, Предполагаемые свидетельства, Метод

2. Стандарт реализации безопасности (с "Техническими примечаниями к стандарту реализации безопасности")

2.1 Практическое руководство, Предполагаемые свидетельства, Метод

2.2 Практическое руководство, Предполагаемые свидетельства, Метод

Для каждой технической меры обеспечения ИБ существует дополнительная техническая информация, помогающая аудиторам ИБ. Она в основном состоит из информации о серии "стандартов реализации безопасности", которые должны регулярно проверяться организацией для подтверждения, реализованы ли и эксплуатируются ли соответствующим образом применяемые стандарты или нет.

В каждом "Стандарте реализации безопасности" есть "Техническое примечание к стандарту реализации безопасности", предоставляющее дополнительную техническую информацию для процесса оценки. В нем также представлены: "Практическое руководство", "Предполагаемые свидетельства" и "Метод".

"Практическое руководство" предоставляет применяемую процедуру оценки соответствия для "стандарта реализации безопасности". В "Предполагаемых свидетельствах" приводятся некоторые примеры систем, файлов, документов или других элементов, которые могут быть приняты в качестве "свидетельств" в процедуре оценки соответствия. Следует обратить внимание на то, что названия свидетельств могут различаться в разных организациях. Однако использованные в данном приложении названия могут считаться общепризнанными в сфере оценки технического соответствия. "Метод" представляет соответствующий подход к технической оценке соответствия согласно приведенному выше "Практическому руководству".

В данном приложении не представлены исчерпывающие практические руководства по технической оценке, которые могут значительно помочь организациям в проведении оценки, внедрены ли соответствующим образом стандарты реализации безопасности и действуют ли они.

В.2 Оценка мер обеспечения информационной безопасности ИСО/МЭК 27002

В.2.1 ИСО/МЭК 27002, раздел 5 Политики информационной безопасности

ИСО/МЭК 27002, 5.1 Руководящие указания в части информационной безопасности
	Мера обеспечения ИБ	ИСО/МЭК 27002, 5.1.1 Политики информационной безопасности Набор политик ИБ должен быть разработан, утвержден высшим руководством, опубликован и доведен до сведения всех сотрудников и причастных внешних сторон
	Мера обеспечения ИБ	ИСО/МЭК 27002, 5.1.2 Пересмотр политик информационной безопасности Политики ИБ должны пересматриваться через заранее определенные промежутки времени или в случае значительных изменений для обеспечения их постоянной применимости, адекватности и эффективности

В.2.2 ИСО/МЭК 27002, раздел 6 Организация деятельности по информационной безопасности

ИСО/МЭК 27002, 6.1 Внутренняя организация деятельности по обеспечению информационной безопасности
	Мера обеспечения ИБ	ИСО/МЭК 27002, 6.1.1 Роли и обязанности по обеспечению информационной безопасности Все обязанности по обеспечению ИБ должны быть определены и распределены
	Мера обеспечения ИБ	ИСО/МЭК 27002, 6.1.2 Разделение обязанностей Пересекающиеся обязанности и зоны ответственности должны быть разделены для уменьшения возможности несанкционированного или непреднамеренного изменения или нецелевого использования активов организации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 6.1.3 Взаимодействие с органами власти Следует поддерживать контакты с соответствующими органами власти
	Мера обеспечения ИБ	ИСО/МЭК 27002, 6.1.4 Взаимодействие с профессиональными сообществами Следует поддерживать соответствующие контакты
	Мера обеспечения ИБ	ИСО/МЭК 27002, 6.1.5 Информационная безопасность при управлении проектом При управлении проектами независимо от типа проекта должна приниматься во внимание информационная безопасность

ИСО/МЭК 27002, 6.2 Мобильные устройства и дистанционная работа
	Мера обеспечения ИБ	ИСО/МЭК 27002, 6.2.1 Политика использования мобильных устройств Должна быть принята политика и меры по управлению рисками, возникающими при использовании мобильных устройств
	Мера обеспечения ИБ	ИСО/МЭК 27002, 6.2.2 Дистанционная работа Должна быть реализована политика и поддерживающие ее меры для защиты информации, доступ к которой, а также обработка или хранение осуществляется на удаленных рабочих местах

В.2.3 ИСО/МЭК 27002, раздел 7 Безопасность, связанная с персоналом

ИСО/МЭК 27002, 7.1 При приеме на работу
	Мера обеспечения ИБ	ИСО/МЭК 27002, 7.1.1 Проверка Проверка кандидатов при приеме на работу должна проводиться в рамках применяемого законодательства, регламентов и этических норм, а также должна быть соразмерна требованиям бизнеса, категории информации, к которой будет предоставлен доступ, и предполагаемым рискам
	Мера обеспечения ИБ	ИСО/МЭК 27002, 7.1.2 Правила и условия работы В соглашениях между организацией и работниками, а также между организацией и подрядчиками должна быть прописана ответственность обеих сторон по обеспечению ИБ

ИСО/МЭК 27002, 7.2 Во время работы
	Мера обеспечения ИБ	ИСО/МЭК 27002, 7.2.1 Обязанности руководства организации Высшее руководство должно требовать от всех сотрудников и подрядчиков соблюдение мер ИБ в соответствии с установленными в организации политиками и процедурами
	Мера обеспечения ИБ	ИСО/МЭК 27002, 7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности Все сотрудники организации и при необходимости подрядчики должны быть соответствующим образом осведомлены и обучены, а также регулярно получать обновленные варианты политик и процедур организации, необходимых для выполнения своих должностных обязанностей
	Мера обеспечения ИБ	ИСО/МЭК 27002, 7.2.3 Дисциплинарный процесс Должен существовать формализованный и доведенный до персонала дисциплинарный процесс по принятию мер в отношении сотрудников, совершивших нарушение ИБ

ИСО/МЭК 27002, 7.3 Увольнение и смена места работы
	Мера обеспечения ИБ	ИСО/МЭК 27002, 7.3.1 Прекращение или изменение трудовых обязанностей Ответственность и обязанности в области ИБ, которые остаются в силе после увольнения или смены места работы, должны быть определены, доведены до сведения работника или подрядчика и юридически закреплены

В.2.4 ИСО/МЭК 27002, раздел 8 Менеджмент активов

ИСО/МЭК 27002, 8.1 Ответственность за активы
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.1.1 Инвентаризация активов Информация, активы, связанные с информацией и средствами обработки информации, должны быть идентифицированы, а также должен быть составлен и поддерживаться в актуальном состоянии перечень этих активов
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.1.2 Владение активами У активов, включенных в перечень, должны быть определены владельцы
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.1.3 Допустимое использование активов Правила приемлемого использования информации и активов, связанных с информацией и средствами обработки информации, должны быть идентифицированы, документально оформлены и внедрены
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.1.4 Возврат активов Все сотрудники и внешние пользователи должны возвратить все организационные активы, находящиеся в их распоряжении, по окончании действия их трудовых договоров, контрактов или соглашений

ИСО/МЭК 27002, 8.2 Категорирование информации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.2.1 Категорирование информации Информация должна быть категорирована с точки зрения требований законодательства, ценности, критичности и чувствительности к несанкционированному раскрытию или изменению
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.2.2 Маркировка информации Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.2.3 Обращение с активами Должны быть разработаны и реализованы процедуры обращения с активами в соответствии с принятой в организации системой категорирования информации

ИСО/МЭК 27002, 8.3 Обращение с носителями информации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.3.1 Управление съемными носителями информации Должны быть реализованы процедуры по управлению сменными носителями информации в соответствии с принятой в организации системой категорирования информации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.3.2 Утилизация носителей информации Носители информации, в которых больше нет необходимости, должны быть надежным способом утилизированы в соответствии с формальными процедурами
	Мера обеспечения ИБ	ИСО/МЭК 27002, 8.3.3 Перемещение физических носителей Во время транспортировки носители информации должны быть защищены от несанкционированного доступа, нецелевого использования или повреждения

В.2.5 ИСО/МЭК 27002, раздел 9 Управление доступом

ИСО/МЭК 27002, 9.1 Требование бизнеса по управлению доступом
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.1.1 Политика управления доступом Политика управления доступом должна быть разработана, задокументирована и периодически пересматриваться с точки зрения требований бизнеса и ИБ
	Дополнительная техническая информация о мере обеспечения ИБ	Правила управления доступом должны быть дополнены официальными процедурами с распределением обязанностей. Управление доступом на основе ролей - это подход, успешно используемый многими организациями для связи прав доступа с бизнес-ролями
1	Стандарт реализации безопасности	Управление доступом может быть реализовано разными способами, включая следующие: - PIM (управление привилегированными учетными записями); - системы электронной блокировки; - услуги охранника; - SIEM (управление информацией о безопасности и событиями безопасности). Примечание - У некоторых из этих способов имеются ограничения. Например, SIEM анализируют и хранят журналы только при использовании того или иного метода контроля доступа. Системы электронной блокировки могут использоваться для контроля физического доступа к ресурсу. PIM может использоваться для управления удостоверениями и соответствующими правами доступа.
	Техническое примечание к стандарту реализации безопасности	Сложность средств контроля доступа повышается с увеличением сложности защищаемого актива, угроз компьютерных атак и последствий успешных атак
	1.1	Практическое руководство	Убедитесь в том, что к ресурсу имеют доступ только имеющие на это право люди
		Предполагаемые свидетельства	- Журналы доступа; - доступ к механизму контроля доступа
		Метод	Тестирование и подтверждение
	1.2	Практическое руководство	Убедитесь в том, что права доступа аннулируются, когда в них отпадает необходимость
		Предполагаемые свидетельства	- Отмененный аккаунт для тестирования; - журналы доступа; - доступ к администрированию пользователей
		Метод	Тестирование и подтверждение
	1.3	Практическое руководство	Проверьте, можно ли обойти запрос на доступ без привилегированного аккаунта
		Предполагаемые свидетельства	- Журналы доступа; - идентификация без прав доступа; - идентификация с привилегиями для сравнения; - доступ к механизму контроля доступа
		Метод	Тестирование и подтверждение
	1.4	Практическое руководство	Убедитесь в том, что все события доступа отражаются в журналах и могут быть использованы для расследования
		Предполагаемые свидетельства	- Файлы журналов; - бизнес-требования к журналам
		Метод	Тестирование и подтверждение
	1.5	Практическое руководство	Проверьте, возможно ли повысить привилегии доступа к ресурсам
		Предполагаемые свидетельства	- Журналы доступа; - идентификация без прав доступа; - доступ к механизму контроля доступа
		Метод	Тестирование и подтверждение
	1.6	Практическое руководство	Убедитесь, что невозможно обойти контроль доступа
		Предполагаемые свидетельства	- Журналы доступа; - идентификация без прав доступа; - доступ к механизму контроля доступа
		Метод	Тестирование и подтверждение
	1.7	Практическое руководство	Проверьте права доступа в черном и в белом списках и убедитесь, что ни один ресурс не пропущен
		Предполагаемые свидетельства	- Бизнес-требования; - бизнес-требования контроля доступа; - доступ к интерфейсу контроля доступа
		Метод	Тестирование и подтверждение
	1.8	Практическое руководство	Убедитесь, что невозможно клонировать или воспроизводить токены доступа или выдавать себя за другого
		Предполагаемые свидетельства	- Идентификация без прав доступа; - идентификация с чьими-либо правами доступа; - доступ к механизму контроля доступа
		Метод	Тестирование и подтверждение
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.1.2 Доступ к сетям и сетевым службам Пользователям следует предоставлять доступ только к тем сетям и сетевым сервисам, на использование которых они получили конкретное разрешение
	Дополнительная техническая информация о мере обеспечения ИБ	Несанкционированные и небезопасные подключения к сетевым услугам могут повлиять на всю организацию. Эта мера обеспечения ИБ имеет особое значение для сетевых подключений к конфиденциальным или критически важным бизнес-приложениям или для пользователей, находящихся в местах повышенного риска, например в общедоступных или внешних средах вне пределов зоны ИБ организации
1	Стандарт реализации безопасности	В отношении использования сетей и сетевых сервисов должна быть сформирована соответствующая политика
	Техническое примечание к стандарту реализации безопасности	Эта политика должна определять: a) сети и сетевые услуги, доступ к которым разрешен; b) процедуры авторизации для определения того, кому и к каким сетям и сетевым услугам разрешен доступ; c) меры обеспечения ИБ и процедуры управления для защиты доступа к сетевым соединениям и сетевым услугам; d) средства, используемые для доступа к сетям и сетевым услугам (например, использование VPN или беспроводной сети); e) требования аутентификации пользователя для доступа к различным сетевым сервисам; f) мониторинг использования сетевых сервисов. Политика использования сетевых сервисов должна соответствовать политике управления доступом организации
	1.1	Практическое руководство	Для определения используемых протоколов из ответов или запросов сетевых сервисов используйте анализ сетевого трафика, если это возможно. Это могут быть, например, протоколы Netbios, ARP, OSPF и т.д.
		Предполагаемые свидетельства	Доступ к сетевому трафику
		Метод	Тестирование и подтверждение
	1.2	Практическое руководство	Убедитесь, что широковещательные запросы и ответы ото всех узлов соответствуют сетевым диаграммам и другим документам
		Предполагаемые свидетельства	- Доступ к схемам сети; - доступ к сетевому трафику
		Метод	Тестирование и подтверждение
	1.3	Практическое руководство	Выявите и идентифицируйте все открытые порты и сервисы в авторизованной сети с помощью сканирования портов. Запросите все сервисные баннеры (флаги) для обнаруженных портов TCP и UDP. Убедитесь, что обнаруженные сервисы обоснованы с учетом привилегий пользователя и системных функций
		Предполагаемые свидетельства	- Доступ к спецификациям системы; - разрешение на сканирование портов в сети
		Метод	Тестирование и подтверждение
	1.4	Практическое руководство	Проверьте меры предотвращения доступа к услугам в сети или других сетях посредством подмены адресов
		Предполагаемые свидетельства	Имитацию адреса можно выполнить в тестовой или малозначимой среде
		Метод	Тестирование и подтверждение
	1.5	Практическое руководство	Подсчитайте и идентифицируйте все системы с доступом к другим закрытым сетям посредством нескольких сетевых карт. Попытайтесь использовать такие точки входа, чтобы войти в закрытые сети
		Предполагаемые свидетельства	Полная схема сети
		Метод	Тестирование и подтверждение
	1.6	Практическое руководство	Подсчитайте и определите все сервисы удаленных рабочих столов, которые можно использовать для получения доступа к системам за пределами авторизованной сети. Попытайтесь получить несанкционированный доступ к закрытым сетям через удаленный рабочий стол
		Предполагаемые свидетельства	- Полная схема сети; - доступные сервисы удаленного рабочего стола, подключенные к системам вне авторизованной сети
		Метод	Тестирование и подтверждение
	1.7	Практическое руководство	Изучите и проверьте правила межсетевого экрана, чтобы убедиться, что сетям и сетевым сервисам предоставляется только предполагаемый доступ
		Предполагаемые свидетельства	- Доступ к правилам межсетевого экрана; - доступ к журналам межсетевого экрана
		Метод	Тестирование и подтверждение

ИСО/МЭК 27002, 9.2 Процесс управления доступом пользователей
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.2.1 Регистрация и отмена регистрации пользователей Должен быть внедрен формализованный процесс регистрации и снятия с учета пользователей, обеспечивающий возможность назначения прав доступа
	Дополнительная техническая информация о мере обеспечения ИБ	Для определения, ограничения и контроля привилегированного доступа пользователей к сетям, сервисам и ресурсам должны использоваться официальные процедуры
1	Стандарт реализации безопасности	Должны быть документированы и реализованы следующие процессы: - регистрация и снятие с учета пользователей; - предоставление доступа пользователям; - управление привилегированными правами доступа; - управление секретной аутентификационной информацией пользователей; - пересмотр прав доступа пользователей; - аннулирование или изменение прав доступа
	Техническое примечание к стандарту реализации безопасности	Предоставление привилегированных прав доступа должно контролироваться в рамках официального процесса в соответствии с положениями политики контроля доступа
	1.1	Практическое руководство	Убедитесь в том, что идентификаторы всех пользователей уникальны и персонифицированы. Проведите выборочную оценку, чтобы убедиться в том, что учетные записи бывших сотрудников не активны. Убедитесь в отсутствии идентификаторов пользователей, не используемых в течение слишком длительного периода времени
		Предполагаемые свидетельства	- Доступ к администрированию пользователей; - доступ к списку бывших сотрудников или их идентификаторов
		Метод	Тестирование и подтверждение
	1.2	Практическое руководство	Убедитесь в том, что сложность паролей достаточна, чтобы сделать их угадывание проблематичным, а также что имя пользователя не является общедоступной информацией (например, электронным адресом или номером социального страхования)
		Предполагаемые свидетельства	- Доступ к политике паролей; - авторизация по имени пользователя и паролю
		Метод	Тестирование и подтверждение
	1.3	Практическое руководство	Убедитесь в том, что пользователю предлагается ответить на секретный вопрос или предоставить секретный ответ, или предоставить иную заранее определенную информацию для сброса паролей
		Предполагаемые свидетельства	- Доступ к политике паролей; - авторизация по имени пользователя и паролю; - доступ к функции сброса пароля; - авторизованная тестовая учетная запись
		Метод	Тестирование и подтверждение
	1.4	Практическое руководство	Убедитесь в том, что в случае неправильного ввода пароля определенное количество раз учетная запись пользователя блокируется на определенный период времени
		Предполагаемые свидетельства	- Авторизованная тестовая учетная запись; - авторизация по имени пользователя и паролю
		Метод	Тестирование и подтверждение
	1.5	Практическое руководство	Подсчитайте количество случаев использования учетных записей по умолчанию для целевых точек. Протестируйте возможность входа через точки аутентификации с использованием наиболее подходящих и известных методов взлома
		Предполагаемые свидетельства	Авторизация по имени пользователя и паролю
		Метод	Тестирование и подтверждение
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.2.2 Предоставление пользователю права доступа Должен быть реализован формализованный процесс назначения или отмены прав доступа пользователей к системам и сервисам
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.2.3 Управление привилегированными правами доступа Назначение и применение привилегированных прав доступа должно быть ограниченным и контролируемым
	Дополнительная техническая информация	Управление привилегиями имеет большое значение, поскольку ненадлежащее их использование оказывает существенное воздействие на системы. Статус предоставляемых привилегий должен быть описан в документах, содержащих описание привилегий. Это необходимо, поскольку различны привилегии доступа, связанные с каждым системным продуктом (операционной системой, системой управления базами данных и каждым приложением). В качестве примеров типов привилегий можно перечислить: - root (UNIX, Linux); - администратор (Windows); - оператор архива (Windows); - суперпользователь (Windows); - системный администратор (СУБД); - администратор баз данных (СУБД). Привилегии должны предоставляться по минимальному принципу, исходя из насущных потребностей. Кроме того, привилегии не должны предоставляться на постоянной основе. В разных системах используются различные методы управления привилегиями. В качестве примеров управления привилегиями в системах можно привести: - в операционных системах привилегии определяются с помощью ACL (список прав доступа); - в СУБД задаются разнообразные стандартные привилегии; - в приложениях могут существовать разнообразные привилегии по умолчанию для функций управления приложениями, поэтому аудиторам ИБ следует определиться с уровнем оценки заранее; - в Secure OS имеется функция обязательного контроля доступа
1	Стандарт реализации безопасности	Права доступа, связанные с каждым системным продуктом, например, операционная система, система управления базами данных и каждое приложение, а также пользователи, которым они должны быть предоставлены
	Техническое примечание к стандарту реализации безопасности	Активность привилегированных пользователей должна контролироваться, поскольку неправильное использование привилегий оказывает значительное воздействие на системы. Методы обнаружения ненадлежащего использования привилегий различны для систем разных архитектур. Примечание - Типичными архитектурами системы являются: - мэйнфрейм; - Windows; - UNIX, Linux; - Secure OS
	1.1	Практическое руководство	Убедитесь в том, что порядок предоставления привилегий изложен в документе их описания
		Предполагаемые свидетельства	Документ с описанием привилегий
		Метод	Анализ/Наблюдение
	1.2	Практическое руководство	Убедитесь в том, что настройки конфигурации систем соответствуют документу с описанием привилегий. Метод оценки использования привилегий зависит от системной архитектуры. Примеры методов оценки использования привилегий. 1) Мейнфрейм - оценка использования привилегий производится по отчету RACF. 2) UNIX, Linux или Windows - оценка использования привилегий производится путем изучения журналов. Примечания 1 RACF (средства управления доступом к ресурсам) представляет собой встроенное программное обеспечение мейнфрейма для управления безопасностью. 2 В операционных системах UNIX или Linux недостаточно ограничиваться только входом с помощью учетной записи root для оценки правомерности ее использования. Причина заключается в том, что обычный пользователь после входа в систему UNIX или Linux может получить привилегии root с помощью команды "su"
		Предполагаемые свидетельства	- Документ с описанием привилегий; - ACL (список прав доступа); - Отчет RACF
		Метод	Анализ/Наблюдение
2	Стандарт реализации безопасности	Привилегии должны предоставляться идентификаторам пользователей, отличных от тех, которые используются в повседневной работе
	Техническое примечание к стандарту реализации безопасности	При привилегированном доступе существует возможность неправомерного использования. Поэтому использование привилегий на регулярной основе повышает вероятность несанкционированного доступа. При отсутствии необходимости в привилегиях пользователи должны использовать свои обычные идентификаторы. Если разрешен вход с правами root, то по журналу невозможно определить, кто именно входил в систему
	2.1	Практическое руководство	Проверьте ACL-списки систем на наличие у пользователей обычного идентификатора наряду с привилегированным
		Предполагаемые свидетельства	Список прав доступа
		Метод	Анализ/Наблюдение
	2.2	Практическое руководство	Проверьте журнал и убедитесь в том, что для повседневной работы пользователь использует другой идентификатор пользователя. В системах UNIX или Linux следует убедиться в том, что конфигурация системы не дает возможности входа в систему с учетной записью root. Примечание - Если данные журналов показывают, что пользователь с привилегиями использует только свой привилегированный идентификатор, аудиторам ИБ необходимо провести интервью и выяснить возможность использования для повседневных задач непривилегированного идентификатора пользователя
		Предполагаемые свидетельства	- Файл журнала; - конфигурация системы для входа с учетной записью root
		Метод	Анализ/Наблюдение
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.2.4 Процесс управления секретной аутентификационной информацией пользователей Предоставление секретной аутентификационной информации должно быть контролируемо посредством формального процесса управления
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.2.5 Пересмотр прав доступа пользователей Владельцы активов должны регулярно пересматривать права доступа
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.2.6 Аннулирование или корректировка прав доступа Права доступа к информации и средствам обработки информации всех сотрудников и внешних пользователей должны быть аннулированы по окончании действия их трудовых договоров, контрактов или соглашений или скорректированы при изменении

ИСО/МЭК 27002, 9.3 Ответственность пользователей
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.3.1 Использование секретной аутентификационной информации Пользователи должны соблюдать правила организации при использовании секретной аутентификационной информации
	Дополнительная техническая информация о мере обеспечения ИБ	Секретными данными аутентификации могут быть полученные непосредственно биометрические данные пользователя, данные, полученные с помощью интеллектуальной карты 1), и пароли. При использовании всех этих трех методов требуется техническая оценка управления паролями пользователей. Во избежание несанкционированного доступа к ресурсам компьютера, пароль должен быть создан и храниться в тайне ото всех, кому не разрешен доступ. Аутентификация по паролю используется многими ресурсами, такими как операционные системы, программы, базы данных, сети или веб-сайты. Качество паролей зависит от их длины и типа используемых символов, например буквенно-цифровых и специальных символов. В некоторых операционных системах, таких как Windows, пользователи могут настраивать параметры политики паролей. С другой стороны, разработчики приложений могут создать функцию аутентификации для конфигурирования политики паролей. Аудиторам следует проверить наличие и эффективность функций авторизации с помощью паролей, поддерживаемых компьютерными ресурсами
	Стандарт реализации безопасности	Выбирайте качественные пароли с достаточным количеством символов, отвечающие следующим критериям: 1) легкость запоминания; 2) отсутствие в пароле каких-либо элементов, которые могут быть легко угаданы или получены посторонними, исходя из личной информации пользователя, например, имен, телефонных номеров, дат рождения и т.п.; 3) неподверженность словарным атакам (т.е. пароль не должен содержать слов, включенных в словари); 4) отсутствие последовательных идентичных символов, не должен состоять только из цифр или только из букв; 5) отличие от ранее использовавшихся паролей (с учетом n поколений)
	Техническое примечание к стандарту реализации безопасности	Пароли, которые другой пользователь может легко запомнить, по сути, уязвимы
1	1.1	Практическое руководство	Убедитесь в том, что правила выбора паролей отражены в политике паролей организации
		Предполагаемые свидетельства	Политика паролей организации
		Метод	Оценка
	1.2	Практическое руководство	Убедитесь в том, что настройки конфигурации системы (системная политика паролей) отражены в политике паролей организации
		Предполагаемые свидетельства	- Конфигурация системы (системная политика паролей); - политика паролей организации
		Метод	Анализ/Наблюдение
	1.3	Практическое руководство	Убедитесь в том, что в файле журнала отражены изменения паролей пользователями
		Предполагаемые свидетельства	Файл журнала
		Метод	Анализ/Наблюдение

------------------------------

¹⁾_{Интеллектуальная или смарт-карта - это пластиковая карта со встроенной микросхемой. Назначение таких карт - одно- и двухфакторная аутентификация пользователей, хранение ключевой информации и проведение криптографических операций в доверенной среде.}

------------------------------

ИСО/МЭК 27002, 9.4 Управление доступом к системам и приложениям
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.4.1 Ограничение доступа к информации Доступ к информации и функциям прикладных систем должен быть ограничен в соответствии с политикой управления доступом
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.4.2 Безопасные процедуры входа в систему Там, где это требует политика управления доступом, доступ к системам и приложениям должен осуществляться с помощью безопасной процедуры входа в систему
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.4.3 Система управления паролями Система управления паролями должна быть интерактивной и обеспечивать необходимое качество паролей
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.4.4 Использование привилегированных служебных программ Использование утилит, способных обойти меры обеспечения ИБ систем и прикладных программ, следует ограничить и строго контролировать
	Мера обеспечения ИБ	ИСО/МЭК 27002, 9.4.5 Управление доступом к исходному коду программы Доступ к файлам конфигураций программ должен быть ограничен, а сам файл конфигураций должен храниться в зашифрованном виде

В.2.6 ИСО/МЭК 27002, раздел 10 Криптография

ИСО/МЭК 27002, 10.1 Средства криптографической защиты информации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 10.1.1 Политика использования средств криптографической защиты информации Должна быть разработана и внедрена политика использования средств криптографической защиты информации
	Дополнительная техническая информация о мере обеспечения ИБ	Криптография - это инструмент для защиты информации в вычислительных системах и коммуникациях. Криптографические системы являются неотъемлемой частью стандартных протоколов, прежде всего протокола безопасности транспортного уровня TLS, что позволяет легко включать надежное шифрование в широкий спектр приложений. Эти средства криптографической защиты могут использоваться для достижения различных целей ИБ, включая: 1) конфиденциальность: использование шифрования информации для защиты конфиденциальной или критической информации, хранящейся или передаваемой; 2) целостность: криптографические хеш-функции могут использоваться для проверки целостности информации; 3) аутентификация: криптографические протоколы могут использоваться для аутентификации пользователей и систем, запрашивающих доступ к ресурсу; 4) подлинность: неотказуемость сообщений или информации может быть достигнута с использованием криптографических методов, таких как алгоритмы подписи. Для защиты информации следует определить, какие угрозы ИБ следует предотвращать с помощью криптографии
1	Стандарт реализации безопасности	В алгоритмы шифрования заложен определенный уровень сложности, что затрудняет широкое использование средств криптографической защиты информации. При реализации средств криптографической защиты необходимо: 1) использовать ключи достаточной длины; 2) использовать протоколы, которые считаются сильными; 3) использовать криптографические алгоритмы, которые считаются надежными; 4) использовать реализации, которые проверены и известны как безопасные; 5) постоянно оценивать эффективность
	Техническое примечание к стандарту реализации безопасности	Внедрение средств криптографической защиты информации должно осуществляться с использованием надежных и проверенных алгоритмов и реализаций. Не рекомендуется использовать собственные криптографические алгоритмы и реализации
	1.1	Практическое руководство	Убедитесь, что сетевые сервисы с реализованными средствами криптографической защиты информации обеспечивают достаточную длину ключа и не используют слабые алгоритмы
		Предполагаемые свидетельства	- Стандартные криптографические методы; - доступ к зашифрованным сервисам
		Метод	Тестирование и подтверждение
	1.2	Практическое руководство	Убедитесь, что используемые средства криптографической защиты информации считаются надежными
		Предполагаемые свидетельства	- Реализация средств криптографической защиты информации; - механизм контроля используемых версий реализации
		Метод	Тестирование и подтверждение
	1.3	Практическое руководство	Убедитесь, что мобильные устройства и устройства со съемными носителями защищены криптографическими средствами контроля с использованием надежных алгоритмов и достаточной длины ключа
		Предполагаемые свидетельства	- Стандартные криптографические методы; - доступ к мобильным устройствам со съемными носителями
		Метод	Тестирование и подтверждение
	1.4	Практическое руководство	Убедитесь, что все криптографические ключи хранятся в надежном и безопасном месте и могут быть доступны только уполномоченным лицам
		Предполагаемые свидетельства	- Методы контроля доступа для криптографических ключей; - процесс хранения криптографических ключей
		Метод	Тестирование и подтверждение
	1.5	Практическое руководство	Убедитесь в том, что ключи сервисов связи с реализованными средствами криптографической защиты имеют достаточную длину и что в их работе используются надежные алгоритмы
		Предполагаемые свидетельства	- Стандартные методы шифрования; - доступ к сервисам с шифрованием; - доступ к зашифрованным данным связи (например, сертификатам)
		Метод	Тестирование и подтверждение
	Мера обеспечения ИБ	ИСО/МЭК 27002, 10.1.2 Управление ключами Необходимо разработать и внедрить политику по использованию, защите и управлению жизненным циклом криптографических ключей

В.2.7 ИСО/МЭК 27002, раздел 11 Физическая безопасность и защита от воздействия окружающей среды

ИСО/МЭК 27002, 11.1 Зоны безопасности
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.1.1 Физический периметр безопасности Должны быть определены и использованы периметры безопасности для защиты зон, содержащих чувствительную или критически важную информацию и средства ее обработки
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.1.2 Меры и средства контроля и управления физическим доступом Безопасные зоны должны быть защищены соответствующими средствами контроля доступа, чтобы обеспечить доступ только авторизованному персоналу
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.1.3 Безопасность зданий, помещений и оборудования Должна быть разработана и реализована физическая защита зданий, помещений и оборудования
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.1.4 Защита от внешних угроз и угроз со стороны окружающей среды Должна быть разработана и реализована физическая защита зданий, помещений и оборудования от стихийных бедствий, злонамеренных атак или несчастных случаев
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.1.5 Работа в зонах безопасности Должны быть разработаны и применены процедуры для работы в безопасных зонах
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.1.6 Зоны погрузки и разгрузки Зоны погрузки и разгрузки и другие места, в которых могут находиться посторонние лица, должны контролироваться и по возможности изолироваться от средств обработки информации во избежание несанкционированного доступа

ИСО/МЭК 27002, 11.2 Оборудование
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.1 Размещение и защита оборудования Оборудование должно быть размещено и защищено таким образом, чтобы снизить риски ИБ от угроз и опасностей со стороны окружающей среды и возможности несанкционированного доступа
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.2 Вспомогательные услуги Оборудование должно быть защищено от сбоев электропитания и других сбоев, вызванных отказами в предоставлении вспомогательных услуг
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.3 Безопасность кабельной сети Силовые и телекоммуникационные кабели, используемые для передачи данных или для поддержки информационных услуг, должны быть защищены от перехвата информации, помех или повреждения
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.4 Техническое обслуживание оборудования Должно проводиться надлежащее техническое обслуживание оборудования для обеспечения его непрерывной доступности и целостности
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.5 Перемещение активов Оборудование, информация или программное обеспечение не должны выноситься за пределы организации без предварительного разрешения
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.6 Безопасность оборудования и активов вне помещений организации При обеспечении безопасности активов, используемых вне помещений организации, следует принимать во внимание различные риски, связанные с работой вне помещений организации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.7 Безопасная утилизация или повторное использование оборудования Все элементы оборудования, содержащие устройства хранения данных, должны быть проверены, чтобы гарантировать, что любые чувствительные данные и лицензионное программное обеспечение были удалены или надежно перезаписаны перед утилизацией или повторным использованием
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.8 Оборудование, оставленное пользователем без присмотра Пользователи должны гарантировать, что оставленное без присмотра оборудование надлежащим образом защищено
	Мера обеспечения ИБ	ИСО/МЭК 27002, 11.2.9 Политика "чистого стола" и "чистого экрана" Должна быть установлена политика "чистого стола" для бумаг и съемных носителей и политика "чистого экрана" для средств обработки информации

В.2.8 ИСО/МЭК 27002, раздел 12 Безопасность при эксплуатации

ИСО/МЭК 27002, 12.1 Эксплуатационные процедуры и обязанности
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.1.1 Документально оформленные эксплуатационные процедуры Эксплуатационные процедуры должны быть документированы и доступны всем нуждающимся в них пользователям
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.1.2 Процесс управления изменениями Изменения в организации, бизнес-процессах, средствах обработки информации и системах, которые влияют на информационную безопасность, должны быть управляемыми
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.1.3 Управление производительностью Необходимо осуществлять мониторинг, регулирование и прогнозирование (исходя из требований к производительности в будущем) использования ресурсов для обеспечения требуемой производительности системы
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.1.4 Разделение сред разработки, тестирования и эксплуатации Для снижения рисков несанкционированного доступа или изменений среды эксплуатации необходимо обеспечивать разделение сред разработки, тестирования и эксплуатации. В средах разработки и тестирования необходимо использовать обезличенные данные для снижения рисков, связанных со ссылками на реальные рабочие данные

ИСО/МЭК 27002, 12.2 Защита от вредоносных программ
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.2.1 Меры и средства информационной безопасности в отношении вредоносных программ Для защиты от вредоносных программ должны быть реализованы меры обеспечения ИБ по обнаружению, предотвращению и восстановлению, в сочетании с соответствующим информированием пользователей
	Дополнительная техническая информация	Вредоносное программное обеспечение - общий термин, используемый для обозначения кода (включая программное обеспечение, программы, скрипты), созданного для нанесения вреда компьютерной системе путем хищения информации, мошеннических или шпионских действий. При внедрении вредоносного программного обеспечения в компьютерную систему возникает угроза ее повреждения либо кражи хранящейся в ней информации. Одним из вариантов действия вредоносного ПО является повреждение других систем. В разряд вредоносного программного обеспечения входят вирусы, компьютерные черви, троянские кони, боты, шпионское ПО, недобросовестная реклама, а также прочие виды вредоносного и нежелательного программного обеспечения. При условии подключения сети организации к интернету аудиторы ИБ должны проверить, что функции обнаружения/нейтрализации вредоносных программ размещены на границе интернета всесторонне и эффективно, и эти функции работают надлежащим образом. В частности, для оценки надлежащей работы функций по выявлению и/или нейтрализации вредоносного ПО аудиторам ИБ необходимо убедиться в своевременном обновлении файлов шаблонов или сигнатур, используемых для обнаружения вредоносных программ. Некоторые системы для обнаружения/нейтрализации вредоносного ПО используют файлы шаблонов или сигнатур, а другие выявляют аномальную работу компьютерной системы без помощи таковых. Поскольку существуют различные схемы подключения к интернету, такие как подключение сети организации к интернету через шлюз или прямое подключение каждого ПК к интернету, аудиторы ИБ должны убедиться, что система обнаружения/нейтрализации работает надлежащим образом в каждом случае. Примечание - Аудиторы ИБ должны иметь в виду, что возможности систем обнаружения/нейтрализации для неизвестных вредоносных программ, таких как атака "нулевого дня", ограничены
1	Стандарт реализации безопасности	Должны проводиться установка и регулярное обновление программного обеспечения обнаружения вредоносных программ и восстановления систем для эффективного сканирования компьютеров и носителей данных в качестве меры предосторожности или на регулярной основе. Сканирование должно включать: 1) проверку всех файлов на электронных или оптических носителях, а также всех получаемых по сети файлов перед их использованием; 2) проверку вложений в электронных письмах и загружаемых файлов перед их использованием. Проверка должна выполняться в разных точках, например, на серверах электронной почты, на настольных компьютерах и при попадании в сеть организации; 3) проверку веб-страниц
	Техническое примечание к стандарту реализации безопасности	В шлюзе, который является входом в сеть организации, система выявления и нейтрализации вредоносного ПО должна выполнять свои функции для определенного набора сервисов и сетевых протоколов, таких как WWW, почта и FTP
	1.1		К пунктам 1), 2) и 3) вышеуказанного стандарта реализации безопасности применимы следующие практические рекомендации: 1) Убедитесь путем анализа спецификации систем или схем сетей, что система обнаружения вредоносного кода и восстановления размещена эффективно и всеобъемлюще для любых файлов на электронных или оптических носителях, а также для файлов, полученных по сети. Аудиторы ИБ должны проверить, что система обнаружения/предотвращения размещена всеобъемлюще и эффективно, анализируя спецификацию системы или схемы сети. 2) Убедитесь путем анализа спецификации систем или схем сетей, что система обнаружения вредоносного кода и восстановления размещена эффективно и всеобъемлюще для любых вложений и загрузок электронной почты, включая серверы электронной почты, настольные компьютеры и шлюз. В спецификации системы система обнаружения вредоносного кода и восстановления может быть представлена как установленная на выделенном устройстве. Однако аудиторы ИБ отмечают, что она может также размещаться на серверах, которые предназначены для обеспечения некоторых других функций/сервисов (WWW, почта и FTP), и, таким образом, может быть представлена в спецификации системы без отдельного четкого описания. Что касается настольных ПК, аудиторы ИБ отмечают, что система обнаружения вредоносного кода и восстановления зачастую представлена в спецификации системы без отдельного четкого описания. 3) Убедитесь путем анализа спецификации систем или схем сетей, которые включают веб-сервер, что система обнаружения вредоносного кода и восстановления размещена эффективно и всеобъемлюще для веб-страниц. Аудиторы по ИБ отмечают, что система обнаружения и восстановления зачастую представлена в спецификации системы без отдельного четкого описания. В таких случаях, как правило, средства обнаружения вредоносного ПО и восстановления системы бывают встроены в браузер. Для веб-сервера средства обнаружения вредоносного ПО и восстановления систем иногда четко описываются в спецификации системы отдельно, однако аудиторы ИБ отмечают, что часто они также размещаются на веб-серверах без четкого описания в спецификации системы
		Предполагаемые свидетельства	- Договорные документы; - проект архитектуры сетевых сервисов; - спецификация системы; - схема сети
		Метод	Анализ/Оценка
	1.2	Практическое руководство	1) Убедитесь путем наблюдения за средствами обработки информации, что система обнаружения вредоносных программ и восстановления работает надлежащим образом для проверки любых файлов на электронном или оптическом носителе, а также файлов, полученных по сети. Проверьте, правильно ли работает управляющее программное обеспечение в интегрированной системе в условиях, когда система обнаружения вредоносных программ и восстановления управляется в интегрированной среде. 2) Путем наблюдения за средствами обработки информации убедитесь, что система обнаружения вредоносных программ и восстановления установлена и работает надлежащим образом для обнаружения любых вложений и загрузок электронной почты на серверах электронной почты, на настольных компьютерах и в шлюзе. Для электронной почты убедитесь, что система обнаружения работает не только с вложенными файлами, но и с вредоносными вставками в тело писем в формате html. 3) Убедитесь путем наблюдения за средствами обработки информации, что система обнаружения вредоносных программ и восстановления работает надлежащим образом для веб-страниц. Для настольных ПК, которые используются для навигации или просмотра веб-страниц, убедитесь, что система обнаружения работает для несанкционированного управления Active X, сценариев и т.д. Для веб-сервера убедитесь, что система обнаружения работает не только для html-файлов, но и для вредоносных программ в веб-сервисах, таких как apache, IIS и т.д.
		Предполагаемые свидетельства	Размещение средств обнаружения вредоносных программ и восстановления системы возможно на следующих системах (примеры): - файловый сервер; - сервер электронной почты; - отдельные настольные ПК; - переносные компьютеры; - отдельные средства обнаружения вредоносного ПО и восстановления систем в шлюзе (на границе между сетью организации и интернетом); - веб-сервер; - прокси-сервер; - веб-браузер; - прочее (устройства для блокирования физического подключения USB)
		Метод	Оценка/Наблюдение
	1.3	Практическое руководство	Соберите файлы журналов системы обнаружения и восстановления и убедитесь, что записи журналов показывают, что система работала и при обнаружении вредоносного ПО необходимые действия предпринимаются. Загрузив тестовый вирус EICAR, убедитесь, что для веб-страниц система обнаружения вредоносного ПО и восстановления работает полностью и эффективно. Примечание - Для настольных ПК журналы системы обнаружения и восстановления обычно хранятся на ПК. Для серверов и внешних устройств эти журналы иногда передаются посредством протокола передачи, такого как syslog, и хранятся в других системах. Для настольных ПК, которые используются для навигации или просмотра веб-страниц, функция обнаружения в веб-браузере может не создавать записи журналов, свидетельствующих, что эта функция была запущена. Но большая часть браузеров выдает сообщение при обнаружении неавторизованных скриптов
		Предполагаемые свидетельства	- Используемая система обнаружения; - файлы журналов системы обнаружения; - оповещения системы обнаружения; - сообщения системы обнаружения в веб-браузере; - веб-сервер с функцией загрузки файлов в веб-браузер
		Метод	- Анализ/Наблюдение; - тестирование и подтверждение
2	Стандарт реализации безопасности	Программное обеспечение для обнаружения вредоносного ПО и восстановления системы, используемое для сканирования компьютеров и носителей данных в качестве меры предосторожности, должно обновляться регулярно или в рамках определенной процедуры
	Техническое примечание к стандарту реализации безопасности	В большинстве случаев имеются функции для автоматического обновления файлов шаблонов или сигнатур
	2.1		Проверка настроек программного обеспечения для обнаружения и восстановления системы на наличие автоматического обновления файлов шаблонов или сигнатур или их регулярного обновления
		Предполагаемые свидетельства	Проект или спецификация системы обнаружения
		Метод	Проверка/Оценка
	2.2	Практическое руководство	Проверьте настройки программного обеспечения для обнаружения и восстановления системы на наличие автоматического обновления файлов шаблонов или сигнатур или их регулярного обновления
		Предполагаемые свидетельства	Настройки системы обнаружения
		Метод	Проверка/Наблюдение
	2.3	Практическое руководство	Убедитесь в том, что файлы шаблонов или сигнатур обновляются, сравнивая наименование продукта, версию и журнал обновлений файлов шаблонов или сигнатур. Примечание - Наименование и версию продукта для обнаружения вредоносного ПО и восстановления системы можно найти в файле справки продукта
		Предполагаемые свидетельства	Информация о системе обнаружения и нейтрализации вредоносного ПО, а именно: - наименование продукта; - версия продукта; - версия файла структуры или подписи
		Метод	Проверка/Наблюдение

ИСО/МЭК 27002, 12.3 Резервное копирование
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.3.1 Резервное копирование информации Следует регулярно создавать и проверять резервные копии информации, программного обеспечения и образов систем в соответствии с установленной политикой резервного копирования
	Дополнительная техническая информация о мере обеспечения ИБ	Чтобы выполнять резервное копирование надлежащим образом, необходимо определить стандарт организации в соответствии с политикой резервного копирования и отразить это в проектном документе по резервному копированию. Резервные копии используются для восстановления важной информации или программного обеспечения в случае события потери данных, такого как сбой или порча носителя информации. При разработке проекта резервного копирования в соответствии с политикой резервного копирования организация должна выбрать подходящее место хранения резервных копий, способ выполнения резервных копий и метод резервного копирования. С точки зрения места хранения резервных копий организация должна выбрать локальный или внешний вариант хранения резервных копий. Считается, что хранение копий на месте требует существенно меньших затрат времени на резервное копирование и восстановление. Хранение резервных копий вне площадки часто выбирается для того, чтобы предотвратить последствия локальных бедствий, таких как пожары, наводнения или землетрясения. Способ выполнения резервной копии может быть либо "онлайн", когда резервное копирование осуществляется через сеть или другой соответствующий канал связи, либо "офлайн". При резервном копировании "офлайн" резервные копии физически транспортируются на съемных носителях, таких как магнитные ленты, CD или DVD-диски. Кроме того, резервное копирование может выполняться различными методами резервного копирования: полное, инкрементное и дифференциальное. При полном резервном копировании создается копия всех выбранных данных. Для этого требуется больше времени и места для данных по сравнению с другими методами, однако последующее восстановление данных будет самым простым и самым легким. Инкрементное резервное копирование означает создание резервных копий только тех данных, которые изменились с момента последнего резервного копирования. Это потребует меньше времени и емкости данных по сравнению с другими методами, но это наиболее сложный метод для восстановления. Дифференциальное резервное копирование подразумевает создание копии только тех данных, которые были изменены с момента последнего полного резервного копирования. Такой способ резервного копирования потребует меньше времени и информационной емкости, чем полное копирование, и последующее восстановление данных будет более простым по сравнению с инкрементным резервным копированием
1	Стандарт реализации безопасности	Степень (т.е. полное или дифференциальное резервное копирование) и регулярность создания резервных копий должны отражать существующие в организации требования, требования к безопасности копируемых данных, а также степень важности копируемых данных для непрерывной работы организации
	Техническое примечание к стандарту реализации безопасности	Организация в соответствии со своими требованиями должна выбрать надлежащую периодичность создания резервных копий и/или восстановления данных, а также определить объем копируемых данных. Аудиторам следует оценить уместность выбранного метода копирования с учетом существующих бизнес-требований. В качестве примера можно привести следующие варианты регулярного резервного копирования: - зеркальное отображение или репликация в режиме реального времени (наивысший уровень важности информации); - ежедневное копирование (при необходимости восстановления данных, как минимум, за день); - еженедельное копирование; - ежемесячное копирование
	1.1	Практическое руководство	Убедитесь в том, что процедура резервного копирования запланирована в соответствии со стандартом реализации безопасности
		Предполагаемые свидетельства	- Спецификация резервного копирования; - документ, определяющий бизнес; - требования и требования безопасности; - план резервного копирования
		Метод	Проверка/Оценка
	1.2	Практическое руководство	Убедитесь в том, что настройки файлов конфигурации системы для резервного копирования соответствуют его описанию в плане
		Предполагаемые свидетельства	- План резервного копирования; - файлы конфигурации системы резервного копирования
		Метод	Проверка/Оценка
	1.3	Практическое руководство	Убедитесь в том, что резервное копирование осуществлено в соответствии с планом резервного копирования.
		Предполагаемые свидетельства	- План резервного копирования; - файлы журналов; - носители резервного копирования
		Метод	Проверка/наблюдение
	1.4	Практическое руководство	Убедитесь в том, что резервные копии хранятся в безопасном, изолированном помещении достаточных размеров
		Предполагаемые свидетельства	Спецификация места для хранения резервных копий
		Метод	Проверка/Оценка
2	Стандарт реализации безопасности	Процедуры восстановления следует регулярно проверять и тестировать, чтобы убедиться в их эффективности и в том, что они могут быть выполнены в течение времени, отведенного в оперативных процедурах для восстановления
	Техническое примечание к стандарту реализации безопасности	Сложность и длительность восстановления данных зависит от применяемого метода, например, полное или дифференциальное копирование. Необходимо подготовить и отразить в документации план тестирования и проверки процедур восстановления данных
	2.1	Практическое руководство	Убедитесь в том, что план тестирования и само тестирование проверяются регулярно
		Предполагаемые свидетельства	Записи о проверке плана и тестировании процедур восстановления данных
		Метод	Проверка/Оценка
	2.2	Практическое руководство	Проверьте, регулярно ли тестировался план тестирования и проверки, чтобы убедиться, что запланированные меры эффективны и могут быть выполнены в течение времени, отведенного в оперативных процедурах восстановления
		Предполагаемые свидетельства	- Записи о проведении тестирования процедуры восстановления; - план тестирования и проверки
		Метод	Проверка/Оценка

ИСО/МЭК 27002, 12.4 Регистрация и мониторинг
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.4.1 Регистрация событий Необходимо обеспечивать формирование, ведение и регулярный анализ журналов событий, фиксирующих действия пользователей, нештатные ситуации, ошибки и события ИБ
	Дополнительная техническая информация о мере обеспечения ИБ	Для выявления несанкционированной обработки данных важно вести журналы аудита, с помощью которых можно отследить действия пользователей, операторов системы, события безопасности и работу систем. Для обнаружения несанкционированных действий по обработке информации важно вести журналы аудита, которые используются для отслеживания действий пользователей, системных операторов, событий безопасности и систем. Чтобы обеспечить возможность анализа несанкционированных действий и событий безопасности, в журналах аудита должна содержаться следующая информация: - идентификаторы пользователя; - дата и время; - ключевые события, такие как вход и выход из системы; - идентификатор терминала; - сетевой адрес и протоколы. Для формирования необходимых записей, включающих вышеперечисленные данные, требуется, чтобы оборудование, которое записывает информацию в журналы, было соответствующим образом настроено. Технология ведения журнала зависит от структуры системы, архитектуры и используемых приложений. Аудиторы ИБ должны учитывать различия в технологии ведения журналов для разных архитектур систем, таких как серверы и ПК. Примечание - Примерами возможных структур системы являются: - система клиент-сервер; - веб-система; - система тонких клиентов; - виртуализация; - использование ASP (поставщик сервисов приложений), SaaS (программное обеспечение как услуга) или облачных услуг. Примерами системных архитектур являются: - UNIX, Linux; - Windows; - Мэйнфрейм. Примерами типов журналов являются: - системный журнал; - журнал приложения
1	Стандарт реализации безопасности	Необходимо обеспечить формирование журналов аудита, где фиксируются действия пользователей, исключения, а также события ИБ. По возможности журналы аудита должны содержать следующую информацию: a) идентификаторы пользователей; b) даты, время и детали ключевых событий, например входа в систему и выхода из нее; c) идентификаторы терминалов и по возможности их местонахождение; d) записи об успешных и неудачных попытках входа в систему; e) записи об успешных и неудачных попытках доступа к данным и другим ресурсам; f) изменения конфигурации системы; g) использование системных утилит и приложений; h) файлы, к которым осуществлялся доступ, и тип доступа; i) сетевые адреса и протоколы; j) аварийные оповещения системы контроля доступа; k) включение и выключение систем защиты, таких как антивирусные системы и системы обнаружения вторжений
	Техническое примечание к стандарту реализации безопасности	Соответствующие меры защиты конфиденциальности должны быть приняты. По возможности системные администраторы не должны иметь разрешения на удаление или деактивацию журналов своих действий
	1.1	Практическое руководство	Убедитесь в том, что процедура ведения журналов спроектирована в соответствии со стандартом реализации безопасности
		Предполагаемые свидетельства	- Спецификация; - документ с описанием требований; - проектная документация программного обеспечения
		Метод	Проверка/Оценка
	1.2	Практическое руководство	Убедитесь в том, что настройки файлов конфигурации системы для ведения журналов соответствуют описанию в проектной документации программного обеспечения
		Предполагаемые свидетельства	- Проектная документация программного обеспечения; - файл конфигурации системы
		Метод	Проверка/Оценка
	1.3	Практическое руководство	Убедитесь в том, что данные фактических файлов создаваемых журналов аудита соответствуют проектной документации системы. Примечание - Некоторые записи в журналах аудита появляются постоянно, а некоторые - в зависимости от ситуации, например, данные об ошибках. Чтобы проверить, ведет ли система учет событий, появляющихся в зависимости от ситуации, от аудиторов ИБ могут потребоваться различные меры, такие как создание контрольного примера, проверка проектной документации системы
		Предполагаемые свидетельства	Файл журнала
		Метод	Проверка/Наблюдение
	1.4	Практическое руководство	В конкретных случаях длительность хранения журналов аудита определяется коммерческой целесообразностью, условиями договора или законодательными и/или нормативными требованиями. Например, журналы аудита с аварийными оповещениями, создаваемыми системой контроля доступа, должны храниться до завершения расследования событий, приведших к появлению инцидента. Примечание - В относительно новых и недолго работающих системах журналы аудита за согласованный период времени могут отсутствовать. В таких случаях для выполнения требования практического руководства 2.3 необходимо проверить выполнение требований 2.1 и 2.2
		Предполагаемые свидетельства	Файл журнала
		Метод	Проверка/Наблюдение
2	Стандарт реализации безопасности	Журналы аудита должны храниться в течение согласованного периода времени для проведения возможных расследований и мониторинга контроля доступа
	Техническое примечание к стандарту реализации безопасности	В некоторых случаях длительность хранения журналов аудита определяется коммерческой целесообразностью, условиями договора или законодательными и/или нормативными требованиями. Например, журналы аудита с аварийными оповещениями, создаваемыми системой контроля доступа, должны храниться до завершения расследования событий, приведших к появлению инцидента. Примечание - В относительно новых и недолго работающих системах журналы аудита за согласованный период времени могут отсутствовать. В таких случаях для выполнения требований практического руководства 2.3 необходимо проверить пункты 2.1 и 2.2 практического руководства
	2.1	Практическое руководство	Убедитесь в том, что срок хранения журналов аудита соответствует указанному в проектной документации системы
		Предполагаемые свидетельства	- Файл журнала; - проектная документация системы
		Метод	Проверка/Оценка
	2.2	Практическое руководство	Убедитесь в том, что настройки периода хранения журналов аудита в системе соответствуют проектной документации системы, или задан запрет на перезапись или удаление журналов аудита, если время хранения не определено
		Предполагаемые свидетельства	- Файл журнала; - проектная документация системы
		Метод	Проверка/Оценка
	2.3	Практическое руководство	Убедитесь в том, что период хранения журналов аудита превышает согласованный период, исходя из временных меток файлов журнала или отметок времени в журнале
		Предполагаемые свидетельства	- Файл журнала; - проектная документация системы
		Метод	Проверка/Оценка
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.4.2 Защита информации регистрационных журналов Информация журналов и средств регистрации должна быть защищена от подделки и несанкционированного доступа
	Дополнительная техническая информация о мере обеспечения ИБ	В системных журналах зачастую содержатся большие объемы информации, значительная часть которой не имеет отношения к мониторингу ИБ. Чтобы упростить поиск событий, имеющих значение для ИБ, можно рассмотреть возможность автоматического копирования нужных типов сообщений во второй журнал или использовать специальные системные утилиты или инструменты аудита для выполнения запросов и рационализации файлов
1	Стандарт реализации безопасности	Меры обеспечения ИБ должны быть нацелены на защиту от несанкционированных изменений данных журналов и от проблем в работе средств ведения журналов
	Техническое примечание к стандарту реализации безопасности	Необходимо обеспечивать защиту системных журналов, поскольку изменение или удаление в них данных может создать ложную уверенность в безопасности. Для защиты журналов их можно копировать в режиме реального времени в систему, находящуюся вне контроля системного администратора или оператора
	1.1	Практическое руководство	Убедитесь, что только авторизованные и привилегированные пользователи могут получить доступ к файлам журналов. Доступ для чтения и записи должен быть ограничен привилегированными пользователями
		Предполагаемые свидетельства	- Доступ к серверу журналов; - доступ к журналам; - учетная запись привилегированного пользователя и обычная учетная запись
		Метод	Тестирование и подтверждение
	1.2	Практическое руководство	Убедитесь в том, что все файлы журналов передаются через безопасное соединение в систему управления (т.е. сервер журналов или СМИБ)
		Предполагаемые свидетельства	- Доступ к серверу журналов; - доступ к сетевым сервисам, используемым для передачи данных журналов
		Метод	Тестирование и подтверждение
	1.3	Практическое руководство	Убедитесь в том, что все изменения файлов журналов могут отслеживаться системой менеджмента
		Предполагаемые свидетельства	- Доступ к системе управления журналами; - доступ к файлам журналов
		Метод	Тестирование и подтверждение
	1.4	Практическое руководство	Убедитесь, что все непривилегированные или неожиданные изменения в файлах журнала могут быть идентифицированы
		Предполагаемые свидетельства	- Использование хешей/подписей; - доступ к системе управления журналами
		Метод	Тестирование и подтверждение
	1.5	Практическое руководство	Убедитесь, что привилегированные и авторизованные пользователи не могут манипулировать своими собственными файлами журналов
		Предполагаемые свидетельства	- Учетная запись привилегированного пользователя; - доступ к системе управления журналами
		Метод	Тестирование и подтверждение
	1.6	Практическое руководство	Убедитесь в том, что у пользователей имеется доступ только к тем файлам журналов, которые соответствуют их правам
		Предполагаемые свидетельства	- Доступ к системе управления журналами; - доступ к журналам; - доступ к двум учетным записям пользователей с разными привилегиями
		Метод	Тестирование и подтверждение
	1.7	Практическое руководство	Убедитесь в том, что все изменения файлов журналов могут отслеживаться системой менеджмента
		Предполагаемые свидетельства	Убедитесь в надежности шифрования файлов журналов
		Метод	Тестирование и подтверждение
	1.8	Практическое руководство	Убедитесь в надежной защите системы управления журналами от несанкционированного доступа
		Предполагаемые свидетельства	Сетевой доступ к системе управления журналами
		Метод	Тестирование и подтверждение
	1.9	Практическое руководство	Проверьте возможность непривилегированного доступа к аварийным оповещениям, журналам, местам хранения уведомлений и активам
		Предполагаемые свидетельства	- Доступ к системе управления журналами; - доступ к файлам журналов
		Метод	Тестирование и подтверждение
2	Стандарт реализации безопасности	Журналы аудита должны храниться в течение согласованного периода времени, достаточного для проведения возможных расследований и мониторинга контроля доступа
	Техническое примечание к стандарту реализации безопасности	В некоторых случаях длительность хранения журналов аудита определяется коммерческой целесообразностью, условиями договора или законодательными и/или нормативными требованиями. Например, журналы аудита с аварийными оповещениями, создаваемыми системой контроля доступа, должны храниться до завершения расследования событий, приведших к появлению инцидента. Примечание - В относительно новых и недолго работающих системах журналы аудита за согласованный период времени могут отсутствовать. В таких случаях для выполнения требований практического руководства 2.3 необходимо проверить пункты 2.1 и 2.2 практического руководства
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.4.4 Синхронизация часов Часы всех систем обработки информации в рамках организации или домена безопасности должны быть синхронизированы с единым эталонным источником времени

ИСО/МЭК 27002, 12.5 Контроль программного обеспечения, находящегося в эксплуатации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.5.1 Установка программного обеспечения в эксплуатируемых системах Должны быть реализованы процедуры контроля установки программного обеспечения в системах, находящихся в эксплуатации

ИСО/МЭК 27002, 12.6 Менеджмент технических уязвимостей
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.6.1 Процесс управления техническими уязвимостями Должна быть своевременно получена информация о технических уязвимостях используемых информационных систем, оценена подверженность организации таким уязвимостям и приняты соответствующие меры в отношении связанного с этим риска ИБ
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.6.2 Ограничения на установку программного обеспечения Должны быть установлены и реализованы правила, регулирующие установку программного обеспечения пользователями

ИСО/МЭК 27002, 12.7 Особенности аудита информационных систем
	Мера обеспечения ИБ	ИСО/МЭК 27002, 12.7.1 Меры обеспечения информационной безопасности в отношении аудита информационных систем Требования к процессу регистрации событий [аудиту] и деятельности, связанной с контролем находящихся в эксплуатации систем, должны быть тщательно спланированы и согласованы для минимизации сбоев в бизнес-процессах

В.2.9 ИСО/МЭК 27002, раздел 13 Безопасность коммуникаций

ИСО/МЭК 27002, 13.1 Менеджмент информационной безопасности сетей
	Мера обеспечения ИБ	ИСО/МЭК 27002, 13.1.1 Меры и средства информационной безопасности сетей Сети должны управляться и контролироваться для обеспечения защиты информации систем и приложений
	Дополнительная техническая информация о мере обеспечения ИБ	Сетевой сервис - это услуга, которая предоставляется в сетевой компьютерной среде внутри организации или по методу аутсорсинга. Если организация пользуется сетевыми сервисами, ее конфиденциальная информация может передаваться с использованием аутсорсинговых сетевых сервисов. В связи с этим аудиторы должны учитывать, что необходимые функции безопасности, такие как шифрование и/или аутентификация, предоставляются сторонним поставщиком сетевых сервисов. Примеры систем, используемых для предоставления сетевых сервисов: - DNS; - DHCP; - брандмауэр/VPN; - антивирусный детектор; - система обнаружения/предотвращения вторжений
1	Стандарт реализации безопасности	Для конкретных сервисов должны быть определены необходимые меры безопасности, такие как функции безопасности, уровни обслуживания и требования к управлению. Организация должна иметь гарантии, что поставщики сетевых сервисов реализуют эти меры
	Техническое примечание к стандарту реализации безопасности	Важно обеспечить безопасность передачи информации, передаваемой с использованием сетевых сервисов. Требования к функциям безопасности обычно отражаются в бизнес-требованиях. В качестве примеров функций безопасности, связанных с сетевыми сервисами, можно указать следующие: - шифрование для предотвращения прослушивания; - контроль доступа к сети для предотвращения несанкционированного доступа; - система обнаружения/предотвращения вторжений для противодействия злонамеренным действиям; - фильтрация URL-адресов для предотвращения несанкционированного доступа через интернет; - реагирование на инциденты, связанные с неожиданными событиями системы безопасности
	1.1		Убедитесь в том, что договорный документ с поставщиком услуг, в том числе и соглашение об уровне обслуживания (SLA), отвечает деловым и юридическим требованиям организации, а также требованиям безопасности
		Предполагаемые свидетельства	- Договорный документ; - документ с описанием требований
		Метод	Проверка/Оценка
	1.2		При проведении внутренней проверки убедитесь в том, что настройки системы, используемые для сетевых сервисов, соответствуют описанию в проекте сетевых сервисов
		Предполагаемые свидетельства	- Конфигурация системы; - проект сетевых сервисов
		Метод	Проверка/Оценка
	1.3		При проведении внутренней проверки убедитесь в том, что записи системы управления сетевыми сервисами в файлах журналов соответствуют проектной документации сетевых сервисов. Примеры записей сетевых сервисов: - аутентификация; - шифрование; - средства управления сетевым соединением; - скорость соединения; - отклик (если система работает в режиме реального времени); - длительность простоя
		Предполагаемые свидетельства	- Файлы журналов; - оповещения; - проектный документ сетевых сервисов
		Метод	Проверка/Наблюдение
	Мера обеспечения ИБ	ИСО/МЭК 27002, 13.1.2 Безопасность сетевых сервисов Механизмы обеспечения безопасности, уровни обслуживания и требования к управлению для всех сетевых сервисов должны быть идентифицированы и включены в соглашения по сетевым сервисам независимо от того, будут ли они обеспечиваться силами организации или осуществляться с использованием аутсорсинга
	Дополнительная техническая информация о мере обеспечения ИБ	Сетевой сервис - это услуга, которая предоставляется в сетевой компьютерной среде внутри организации или по методу аутсорсинга. Если организация пользуется сетевыми сервисами, ее конфиденциальная информация может передаваться с использованием аутсорсинговых сетевых сервисов. В связи с этим аудиторы должны учитывать, что необходимые функции безопасности, такие как шифрование и/или аутентификация, предоставляются сторонним поставщиком сетевых сервисов. Примеры систем, используемых для предоставления сетевых сервисов: - система имен доменов (DNS); - DHCP (протокол динамической настройки хостов); - межсетевой экран/VPN; - антивирусные системы; - системы обнаружения и предотвращения вторжений (IDS/IPS)
1	Стандарт реализации безопасности	Необходимо определить и регулярно проверять способность поставщика сетевых сервисов обеспечивать безопасное управление согласованным набором услуг. Необходимо также согласовать возможность проведения аудита. Необходимо определить меры безопасности для конкретных услуг, такие как функции безопасности, уровни обслуживания и требования к управлению. Организация должна иметь гарантию того, что поставщики сетевых сервисов реализуют эти меры
	Техническое примечание к стандарту реализации безопасности	Сетевые сервисы включают в себя предоставление соединений, сервисы частных сетей и сетей с дополнительными услугами, а также решения для обеспечения безопасности управляемых сетей, такие как использование межсетевых экранов и применение системы обнаружения вторжений. Сетевые сервисы могут варьироваться от простого сервиса с неуправляемой полосой пропускания до сложных предложений с дополнительными услугами
	1.1	Практическое руководство	Убедитесь, что механизмы безопасности, включенные в соглашения о сетевых сервисах, регулярно тестируются и проверяются
		Предполагаемые свидетельства	- Доступ к соглашениям о сетевых сервисах; - доступ к отчетам о тестировании безопасности
		Метод	Изучение
	1.2	Практическое руководство	Убедитесь в том, что системы обнаружения и предотвращения вторжений распознают различные автоматизированные компьютерные атаки, а также злонамеренные действия, выполняемые вручную
		Предполагаемые свидетельства	- Наличие реализованных решений систем обнаружения и предотвращения вторжений; - доступ к журналам системы обнаружения и предотвращения вторжений
		Метод	Тестирование и подтверждение
	1.3	Практическое руководство	При проведении внутренней проверки убедитесь в том, что записи в полученных файлах журналов соответствуют проектной документации сетевых сервисов. Примеры записей сетевых сервисов: - аутентификация; - шифрование; - средства управления сетевым соединением; - скорость соединения; - отклик (если система работает в режиме реального времени); - длительность простоя
		Предполагаемые свидетельства	- Доступ к отдельной среде тестирования; - документально оформленная политика в отношении антивирусных средств и/или защиты от вредоносного ПО
		Метод	Тестирование и подтверждение
	1.4	Практическое руководство	Убедитесь в том, что доступ к виртуальным частным сетям (VPN) и другим средствам удаленного доступа ограничен использованием надежных средств, таких как механизмы проверки подлинности и выхода за пределы среды
		Предполагаемые свидетельства	- VPN и прочие реализованные сервисы удаленного сетевого доступа; - список точек удаленного доступа
		Метод	Тестирование и подтверждение
	Мера обеспечения ИБ	ИСО/МЭК 27002, 13.1.3 Разделение в сетях Группы информационных сервисов, пользователей и информационных систем в сети должны быть разделены
	Дополнительная техническая информация о мере обеспечения ИБ	Одним из методов управления безопасностью больших сетей является разделение их на отдельные сетевые домены. Домены могут быть выбраны на основе уровней доверия (например, домен общего доступа, домен рабочего стола, домен сервера), на основе организационных единиц (например, кадры, финансы, маркетинг) или на основе некоторой комбинации, например, серверный домен, объединяющий несколько организационных единиц. Разделение может быть выполнено посредством использования или физически разных сетей, или разных логических сетей, например, виртуальных частных сетей
1	Стандарт реализации безопасности	Необходимо четко определить периметр каждого домена. Доступ из одного домена в другой разрешается, но должен контролироваться по периметру посредством шлюза, например, межсетевого экрана или маршрутизатора с фильтрацией. Критерии разделения сетей на домены и возможности доступа через шлюзы должны быть основаны на оценке требований безопасности каждого домена. Оценка должна производиться в соответствии с политикой контроля доступа (см. 9.1.1), требованиями к доступу, ценностью и классификацией обрабатываемой информации. Необходимо также учитывать сравнительную стоимость требуемой технологии шлюза и ее воздействие на производительность сети. Беспроводные сети требуют особого внимания из-за присущих им нечетких периметров. В уязвимых средах необходимо рассматривать любой беспроводной доступ как внешнее соединение (см. 9.4.2) и обеспечивать изоляцию такого доступа от внутренних сетей до тех пор, пока доступ к внутренним системам не будет предоставлен шлюзом в соответствии с политикой безопасности сетей (см. 13.1.1)
	Техническое примечание к стандарту реализации безопасности	Сети часто выходят за пределы границ организации вследствие формирующихся деловых партнерств, требующих объединения или совместного использования средств обработки информации и сетевых средств. Подобное расширение сети может повышать риск несанкционированного доступа к подключенным к сети информационным системам организаций, некоторые из которых требуют защиты от пользователей других сетей из-за их конфиденциальности или критичности
	1.1	Практическое руководство	Убедитесь в том, что в виртуально разделенные сети нельзя проникнуть с помощью сканирования ping, переключения VLAN и/или внедрения новых виртуальных интерфейсов
		Предполагаемые свидетельства	Разделение сетей посредством виртуальных локальных сетей
		Метод	Тестирование и подтверждение
	1.2	Практическое руководство	Проведите тестирование межсетевых экранов и убедитесь в том, что у злоумышленников нет возможности несанкционированного доступа к сети, а также в том, что контрольные точки не имеют известных уязвимостей
		Предполагаемые свидетельства	Сети разделены межсетевыми экранами
		Метод	Тестирование и подтверждение
	1.3	Практическое руководство	Убедитесь в том, что системы с несколькими сетевыми интерфейсами в разных сетях регулярно получают обновления безопасности и не имеют известных уязвимостей. Уязвимые системы с интерфейсами в разных сетях могут использоваться для доступа к другим закрытым сетям
		Предполагаемые свидетельства	Документация со списком всех беспроводных сетей
		Метод	Тестирование и подтверждение
	1.4	Практическое руководство	Убедитесь, что в помещениях нет фальшивых точек доступа, которые не отражены в документации и могут предоставить доступ к отделенным сетям
		Предполагаемые свидетельства	Документация со списком всех беспроводных сетей
		Метод	Тестирование и подтверждение

ИСО/МЭК 27002, 13.2 Передача информации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 13.2.1 Политики и процедуры передачи информации Должны существовать формализованные политики и процедуры передачи информации, а также соответствующие меры обеспечения ИБ, обеспечивающие защиту информации, передаваемой с использованием всех видов средств связи
	Мера обеспечения ИБ	ИСО/МЭК 27002, 13.2.2 Соглашения о передаче информации Безопасная передача деловой информации между организацией и внешними сторонами должна быть определена соглашениями
	Мера обеспечения ИБ	ИСО/МЭК 27002, 13.2.3 Электронный обмен сообщениями Следует обеспечивать соответствующую защиту информации при электронном обмене сообщениями
	Мера обеспечения ИБ	ИСО/МЭК 27002, 13.2.4 Соглашения о конфиденциальности или неразглашении Требования в отношении соглашений о конфиденциальности или неразглашении, отражающие потребности организации в обеспечении защиты информации, должны быть идентифицированы, документально оформлены и регулярно пересматриваться

В.2.10 ИСО/МЭК 27002, раздел 14 Приобретение, разработка и поддержка систем

ИСО/МЭК 27002, 14.1 Требования к безопасности информационных систем
	Мера обеспечения ИБ	ИСО/МЭК 27002, 14.1.1 Анализ и спецификация требований информационной безопасности Требования, относящиеся к ИБ, должны быть включены в перечень требований для новых информационных систем или для усовершенствования существующих информационных систем
	Мера обеспечения ИБ	ИСО/МЭК 27002, 14.1.2 Обеспечение безопасности прикладных сервисов, предоставляемых с использованием сетей общего пользования Информация, используемая в прикладных сервисах и передаваемая по сетям общего пользования, должна быть защищена от мошеннической деятельности, оспаривания договоров, а также несанкционированного раскрытия и модификации
	Дополнительная техническая информация о мере обеспечения ИБ	Необходимо обеспечить безопасную связь между клиентом и сервисами приложений. Для этого можно использовать: - аутентификацию; - реализацию отраженных в документации процессов подтверждения контента; - предоставление взаимодействующим партнерам всей информации о разрешениях на использования сервиса; - выполнение требований безопасности всеми взаимодействующими сторонами; - предоставление сторонами механизмов, обеспечивающих целостность, конфиденциальность и аутентичность передаваемых сообщений и содержащейся в них информации. Большинство из этих требований может быть выполнено при использовании соответствующих мер и средств криптографической защиты информации (см. А.10). В договорах на обслуживание должны быть учтены все правовые аспекты
1	Стандарт реализации безопасности	Безопасность сервисов приложений в общедоступных сетях тесно связана со средствами криптографической защиты информации. Эти средства могут быть использованы для достижения многих из описанных выше целей. Аутентификация и авторизация могут осуществляться с использованием хорошо известных и надежных протоколов аутентификации. Для обеспечения безопасной связи между клиентом и сервисом приложения через общедоступную сеть такой сервис может быть защищен с использованием известных криптографических методов с открытым ключом для обмена ключами и методов симметричной криптографии с блочным или потоковым шифрованием. Целостность данных, передаваемых через общедоступную сеть, можно обеспечить с помощью надежных алгоритмов криптографической подписи
	Техническое примечание к стандарту реализации безопасности	Для защиты сервиса приложения в общедоступной сети от различных угроз ИБ и компьютерных атак необходимо, чтобы все протоколы и алгоритмы шифрования соответствовали мерам и средствам защиты информации, указанным в разделе А.10. Доступные через сети общего пользования приложения подвержены целому спектру связанных с сетями угроз. В их число входят мошеннические действия, споры по договорам или из-за разглашения информации. В связи с этим необходимо проведение детальной оценки рисков и выбор надлежащих мер и средств обеспечения безопасности. В разряд необходимых часто входят криптографические методы для аутентификации и защиты передаваемых данных
	1.1	Практическое руководство	Убедитесь в том, что для данных и процессов аутентификации и авторизации используются надежные, хорошо известные и проверенные протоколы и алгоритмы
		Предполагаемые свидетельства	- Доступ к реализованному процессу аутентификации и авторизации; - доступ к алгоритмам и протоколам; - действительные данные аутентификации
		Метод	Тестирование и подтверждение
	1.2	Практическое руководство	Убедитесь в том, что приложение устойчиво к различным угрозам ИБ и компьютерным атакам уровня протоколов
		Предполагаемые свидетельства	- Доступ к протоколу связи; - доступ к каналу связи
		Метод	Тестирование и подтверждение
	1.3	Практическое руководство	Убедитесь в том, что обмен информацией устойчив к различным угрозам ИБ и компьютерным атакам уровня приложения, таким как внедрение кода, повышение привилегий, перехват сессий и небезопасные прямые ссылки на объекты
		Предполагаемые свидетельства	- Доступ к приложению без привилегий; - доступ к приложению с привилегиями
		Метод	Тестирование и подтверждение
	1.4	Практическое руководство	Проведите идентификацию и тестирование использования и несоответствия данных от мониторов и датчиков с целью регистрации доступа к активам или взаимодействия с активами для конкретных свидетельств оспаривания отказа от своих действий. Отразите в документации степень фиксируемого взаимодействия
		Предполагаемые свидетельства	Доступ к журналам и системе мониторинга
		Метод	Изучение
	1.5	Практическое руководство	Убедитесь в том, что все методы взаимодействия надлежащим образом регистрируются с надлежащей идентификацией
		Предполагаемые свидетельства	Доступ к журналам и системе мониторинга
		Метод	Изучение
	1.6	Практическое руководство	Убедитесь в том, что у пользователей приложений нет возможности удалить журналы приложений
		Предполагаемые свидетельства	Доступ к приложению
		Метод	Тестирование и подтверждение
	Мера обеспечения ИБ	ИСО/МЭК 27002, 14.1.3 Защита транзакций прикладных сервисов Информацию, используемую в транзакциях прикладных сервисов, следует защищать для предотвращения неполной передачи, ложной маршрутизации, несанкционированного изменения, раскрытия, дублирования или воспроизведения сообщений
	Дополнительная техническая информация о мере обеспечения ИБ	Защита транзакций сервисов приложений является важным фактором при реализации и поддержании соответствующих служб системы безопасности. Сервисы приложений используют определенную информацию для аутентификации, управления системой или общего обмена информацией. В такую информацию могут входить реквизиты доступа, системные команды, личная информация и многие другие данные, требующие защиты. Необходимые сервисам приложений данные должны быть защищены от различных компьютерных атак и угроз ИБ
1	Стандарт реализации безопасности	Для защиты информации, передаваемой в службу приложений, рекомендуется: 1) использовать цифровые подписи для каждой вовлеченной стороны; 2) использовать шифрование каналов связи между всеми вовлеченными сторонами; 3) использовать проверенные и надежные безопасные протоколы; 4) использовать протоколы, гарантирующие, что транзакция является действительной, конфиденциальной и закрытой; 5) для хранения деталей транзакций не использовать общедоступную систему
	Техническое примечание к стандарту реализации безопасности	Объем принятых мер и средств должен соответствовать уровню риска, связанного с каждой формой транзакции сервиса приложений
	1.1	Практическое руководство	Убедитесь, что все сертификаты SSL организации действительны и выданы надежным центром сертификации
		Предполагаемые свидетельства	- Используемый сертификат SSL; - доступ к сервису приложения
		Метод	Тестирование и подтверждение
	1.2	Практическое руководство	Убедитесь в том, что обмен данными между всеми сторонами шифруется с использованием надежных криптографических алгоритмов с достаточной длиной ключа
		Предполагаемые свидетельства	- Стандартные методы шифрования и длина ключей; - доступ к обмену данными с шифрованием
		Метод	Тестирование и подтверждение
	1.3	Практическое руководство	Убедитесь в том, что обмен данными устойчив к различным угрозам ИБ и компьютерным атакам на уровне приложений, таким как межсайтовый скриптинг, подделка межсайтовых запросов и недействительные перенаправления и пересылки
		Предполагаемые свидетельства	- Доступ к приложению без привилегий; - доступ к приложению с привилегиями
		Метод	Тестирование и подтверждение
	1.4	Практическое руководство	Проверьте устойчивость приложения или протокола к известным компьютерным атакам, таким как атака через посредника или атака повторением
		Предполагаемые свидетельства	- Доступ к обмену данными; - стандартные протоколы связи
		Метод	Тестирование и подтверждение
	1.5	Практическое руководство	Убедитесь в надежном хранении приложения всех конфиденциальных данных
		Предполагаемые свидетельства	Доступ к базе данных приложения
		Метод	Тестирование и подтверждение
	1.6	Практическое руководство	Убедитесь в том, что внешний доступ к базе данных закрыт, а также что для ограничения доступа используются надежные механизмы аутентификации
		Предполагаемые свидетельства	Доступ к базе данных приложения
		Метод	Тестирование и подтверждение
	1.7	Практическое руководство	Убедитесь в том, что транзакция остается действительной даже при потере соединения из-за неправильного перенаправления или неполной передачи данных
		Предполагаемые свидетельства	- Доступ к обмену данными; - доступ к журналам приложения
		Метод	Тестирование и подтверждение
	1.8	Практическое руководство	Убедитесь в том, что приложение пользуется минимальным набором прав. Убедитесь в том, что прав не больше, чем это необходимо
		Предполагаемые свидетельства	Доступ к данным о пользователях в базе данных приложения
		Метод	Тестирование и подтверждение

ИСО/МЭК 27002, 14.2 Безопасность в процессах разработки и поддержки
	Мера обеспечения ИБ	ИСО/МЭК 27002, 14.2.1 Политика безопасной разработки Правила разработки программного обеспечения и систем должны быть установлены и применены к разработкам в рамках организации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 14.2.2 Процедуры управления изменениями системы Необходимо управлять изменениями в системах в течение жизненного цикла разработки посредством применения формализованных процедур управления изменениями
	Мера обеспечения ИБ	ИСО/МЭК 27002, 14.2.3 Техническая экспертиза приложений (прикладных программ) после изменений операционной платформы При внесении изменений в операционные платформы критически важные для бизнеса приложения должны быть проверены и протестированы, чтобы обеспечить уверенность в отсутствии неблагоприятного воздействия на деятельность или безопасность организации
	Мера обеспечения ИБ	ИСО/МЭК 27002, 14.2.4 Ограничения на изменения пакетов программ Следует избегать модификаций пакетов программ, ограничиваясь необходимыми изменениями, и строго контролировать все изменения
	Мера обеспечения ИБ	ИСО/МЭК 27002, 14.2.5 Принципы безопасного проектирования систем Принципы безопасного проектирования систем должны быть установлены, документированы, поддерживаться и применяться к любым работам по реализации информационной системы
	Мера обеспечения ИБ	ИСО/МЭК 27002, 14.2.6 Безопасная среда разработки Организация должна установить и надлежащим образом защищать безопасные среды разработки, используемые для разработки и интеграции систем на всех стадиях жизненного цикла разработки системы
	Мера обеспечения ИБ	ИСО/МЭК 27002, 14.2.7 Разработка с использованием аутсорсинга Организация должна осуществлять надзор и мониторинг разработки систем, выполняемой подрядчиками
	Мера обеспечения ИБ	ИСО/МЭК 27002, 14.2.8 Тестирование безопасности систем Тестирование функциональных возможностей безопасности должно осуществляться в процессе разработки
	Мера обеспечения ИБ	ИСО/МЭК 27002, 14.2.9 Приемо-сдаточные испытания системы Для новых информационных систем, обновлений и новых версий должны быть разработаны программы приемо-сдаточных испытаний и установлены связанные с ними критерии

ИСО/МЭК 27002, 14.3 Тестовые данные
	Мера обеспечения ИБ	ИСО/МЭК 27002, 14.3.1 Защита тестовых данных Тестовые данные следует тщательно выбирать, защищать и контролировать

В.2.11 ИСО/МЭК 27002, раздел 15 Взаимоотношения с поставщиками

ИСО/МЭК 27002, 15.1 Информационная безопасность во взаимоотношениях с поставщиками
	Мера обеспечения ИБ	ИСО/МЭК 27002, 15.1.1 Политика информационной безопасности во взаимоотношениях с поставщиками Требования ИБ, направленные на снижение рисков, связанных с доступом поставщиков к активам организации, должны быть согласованы с поставщиком и документированы
	Мера обеспечения ИБ	ИСО/МЭК 27002, 15.1.2 Рассмотрение вопросов безопасности во взаимоотношениях с поставщиками Все соответствующие требования ИБ должны быть установлены и согласованы с каждым поставщиком, который может получить доступ к информации организации, обрабатывать, хранить, передавать информацию или предоставлять соответствующие компоненты ИТ-инфраструктуры
	Мера обеспечения ИБ	ИСО/МЭК 27002, 15.1.3 Цепочка поставок информационно-коммуникационных технологий Соглашения с поставщиками должны содержать требования по рассмотрению рисков ИБ, связанных с цепочкой поставок продуктов и услуг информационно-коммуникационных технологий

ИСО/МЭК 27002, 15.2 Управление услугами, предоставляемыми поставщиком
	Мера обеспечения ИБ	ИСО/МЭК 27002, 15.2.1 Мониторинг и анализ услуг поставщика Организация должна регулярно проводить мониторинг, проверку и аудит деятельности поставщика по предоставлению услуг
	Мера обеспечения ИБ	ИСО/МЭК 27002, 15.2.2 Управление изменениями услуг поставщика Требуется управлять изменениями в предоставляемых поставщиками услугах, включая поддержку и улучшение существующих политик, процедур, а также мер обеспечения ИБ, с учетом категории информации бизнеса, задействованных систем и процессов, а также результатов переоценки рисков ИБ

В.2.12 ИСО/МЭК 27002, раздел 16 Менеджмент инцидентов информационной безопасности

ИСО/МЭК 27002, 16.1 Менеджмент инцидентов информационной безопасности и улучшений
	Мера обеспечения ИБ	ИСО/МЭК 27002, 16.1.1 Обязанности и процедуры Должны быть установлены обязанности и процедуры менеджмента для обеспечения уверенности в быстром, эффективном и надлежащем реагировании на инциденты ИБ
	Мера обеспечения ИБ	ИСО/МЭК 27002, 16.1.2 Сообщения о событиях информационной безопасности Требуется как можно скорее сообщать о событиях ИБ по соответствующим каналам управления
	Мера обеспечения ИБ	ИСО/МЭК 27002, 16.1.3 Сообщения о недостатках информационной безопасности Работники и подрядчики, использующие информационные системы и услуги организации, должны обращать внимание на любые замеченные или предполагаемые недостатки ИБ в системах или сервисах и сообщать о них
	Мера обеспечения ИБ	ИСО/МЭК 27002, 16.1.4 Оценка и принятие решений в отношении событий информационной безопасности Должна быть проведена оценка событий ИБ и принято решение, следует ли их классифицировать как инциденты ИБ
	Мера обеспечения ИБ	ИСО/МЭК 27002, 16.1.5 Реагирование на инциденты информационной безопасности Реагирование на инциденты ИБ должно осуществляться в соответствии с документально оформленными процедурами
	Мера обеспечения ИБ	ИСО/МЭК 27002, 16.1.6 Анализ инцидентов информационной безопасности Знания, приобретенные в результате анализа и урегулирования инцидентов ИБ, должны использоваться для уменьшения вероятности или влияния будущих инцидентов
	Мера обеспечения ИБ	ИСО/МЭК 27002, 16.1.7 Сбор свидетельств В организации должны быть определены и применяться процедуры для идентификации, сбора, получения и сохранения информации, которая может использоваться в качестве свидетельств

В.2.13 ИСО/МЭК 27002, раздел 17 Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации

ИСО/МЭК 27002, 17.1 Непрерывность информационной безопасности
	Мера обеспечения ИБ	ИСО/МЭК 27002, 17.1.1 Планирование непрерывности информационной безопасности Организация должна определить свои требования к ИБ и менеджменту непрерывности ИБ при неблагоприятных ситуациях, например, во время кризиса или бедствия
	Мера обеспечения ИБ	ИСО/МЭК 27002, 17.1.2 Реализация непрерывности информационной безопасности Организация должна устанавливать, документировать, реализовывать и поддерживать процессы, процедуры, а также меры и средства для обеспечения требуемого уровня непрерывности ИБ при неблагоприятных ситуациях
	Мера обеспечения ИБ	ИСО/МЭК 27002, 17.1.3 Проверка, анализ и оценивание непрерывности информационной безопасности Организация должна регулярно проверять установленные и реализованные меры и средства по обеспечению непрерывности ИБ, чтобы обеспечить уверенность в их актуальности и эффективности при возникновении неблагоприятных ситуаций

ИСО/МЭК 27002, 17.2 Резервирование оборудования
	Мера обеспечения ИБ	ИСО/МЭК 27002, 17.2.1 Доступность средств обработки информации Средства обработки информации должны быть внедрены с учетом резервирования, достаточного для выполнения требований доступности

В.2.14 ИСО/МЭК 27002, раздел 18 Соответствие

ИСО/МЭК 27002, 18.1 Соответствие правовым и договорным требованиям
	Мера обеспечения ИБ	ИСО/МЭК 27002, 18.1.1 Идентификация применимых законодательных и договорных требований Все значимые для организации и каждой информационной системы правовые, регулятивные и договорные требования, а также подходы организации к выполнению этих требований должны быть четко определены, документированы и поддерживаться в актуальном состоянии
	Мера обеспечения ИБ	ИСО/МЭК 27002, 18.1.2 Права на интеллектуальную собственность Должны быть реализованы соответствующие процедуры для обеспечения уверенности в соблюдении правовых, регулятивных и договорных требований, связанных с правами на интеллектуальную собственность и правами использования проприетарных программных продуктов
	Мера обеспечения ИБ	ИСО/МЭК 27002, 18.1.3 Защита записей Записи должны быть защищены от потери, уничтожения, фальсификации, несанкционированного доступа и разглашения в соответствии с правовыми, регулятивными, договорными и бизнес-требованиями
	Мера обеспечения ИБ	ИСО/МЭК 27002, 18.1.4 Конфиденциальность и защита персональных данных Конфиденциальность и защита персональных данных должны обеспечиваться в соответствии с требованиями соответствующего законодательства и правилами там, где это применимо
	Мера обеспечения ИБ	ИСО/МЭК 27002, 18.1.5 Регулирование криптографических мер обеспечения информационной безопасности Криптографические меры обеспечения информационной безопасности должны использоваться с соблюдением требований всех соответствующих соглашений, правовых и регулятивных актов

ИСО/МЭК 27002, 18.2 Проверки информационной безопасности
	Мера обеспечения ИБ	ИСО/МЭК 27002, 18.2.1 Независимая проверка информационной безопасности Подход организации к менеджменту информационной безопасностью и ее реализация (т.е. цели, меры и средства, политики, процессы и процедуры ИБ) должны проверяться независимо друг от друга через запланированные интервалы времени или в случае значительных изменений
	Мера обеспечения ИБ	ИСО/МЭК 27002, 18.2.2 Соответствие политикам и стандартам безопасности Руководители в пределах своей зоны ответственности должны регулярно проверять соответствие процессов и процедур обработки информации соответствующим политикам безопасности, стандартам и любым другим требованиям безопасности
	Мера обеспечения ИБ	ИСО/МЭК 27002, 18.2.3 Анализ технического соответствия Информационные системы должны регулярно проверяться на предмет соответствия стандартам и политикам ИБ организации