Чтобы снизить возможность искажения компьютерных программ, необходимо рассмотреть следующие рекомендации:

– по возможности, следует избегать хранения библиотек исходного кода программ в операционных системах;

– управление исходным кодом программы и его библиотеками следует осуществлять в соответствии с установленными процедурами;

– персонал поддержки не должен иметь неограниченный доступ к библиотекам исходного кода программ;

– обновление библиотек исходного кода программ и связанных с ним элементов, а также предоставление исходного кода программистам должны осуществляться только после получения ими соответствующих полномочий;

– распечатки (листинги) программ следует хранить в безопасной среде;

– в журнале аудита должны фиксироваться все обращения к библиотекам исходного кода программ;

– поддержку и копирование библиотек исходного кода программ следует осуществлять в соответствии с четкими процедурами контроля изменений.

Если исходный код программы необходимо опубликовать, должны быть приняты дополнительные меры защиты его целостности (например, цифровая подпись).

6.1. Средства криптографии

Цель: Обеспечить корректное и эффективное использование криптографии для защиты конфиденциальности, достоверности и/или целостности информации.

Управление средствами криптографии определяют следующие составляющие:

– политика использования средств криптографии;

– управление ключами.

Политика использования средств криптографии

Меры и средства

Политика использования средств криптографии для защиты информации должна быть разработана и внедрена.

Рекомендации по реализации

При разработке политики криптографии необходимо учитывать следующее:

– позицию руководства по использованию средств криптографии во всей организации, включая общие принципы защиты бизнес-информации;

– основанный на оценке риска требуемый уровень защиты, который должен быть определен с учетом типа, стойкости и качества требуемого криптоалгоритма;

– использование шифрования для защиты нформации, передаваемой с помощью мобильных устройств или сменных носителей или по линиям связи;

– подход к управлению ключами, включающему методы по защите криптоключей и восстановлению зашифрованной информации в случае потери, компрометации или повреждения ключей;

– роли и ответственности, например, кто отвечает за:

• внедрение политики;

• управление ключами, включая генерацию ключей;

– стандарты, которые должны быть приняты для эффективной реализации во всей организации (какое решение используется для каких бизнес-процессов);

– влияние использования зашифрованной информации на меры защиты, предназначенные для проверки содержимого (например, обнаружения вирусов).

При внедрении политики криптографии должны быть учтены правила и национальные ограничения, применяемые к использованию средств криптографии в разных частях мира и перемещению через границы зашифрованной информации.

Средства криптографии могут использоваться для достижения разных целей ИБ, например:

– конфиденциальности – шифрованием чувствительной или критичной информации как хранимой, так и передаваемой;

– целостности / достоверности – использованием цифровых подписей или кодов аутентификации сообщений для проверки целостности или аутентичности хранимой или передаваемой чувствительной или критичной информации;

– неотказуемости – использованием методов криптографии для получения подтверждения того, что событие или действие имело место;

– аутентификации – использованием методов криптографии для удостоверения пользователей и других системных объектов, запрашивающих доступ к системным пользователям, объектам и ресурсам или работающих с ними.

Выбор надлежащих средств криптографии должен рассматриваться как часть обширного процесса оценки риска и выбора мер защиты. Эта оценка может быть использована для определения соответствия средства криптографии, какой тип защиты надо применить и для какой цели и бизнес-процесса.

Политика использования средств криптографии необходима для обеспечения максимума преимуществ и минимума рисков от их использования, а также для предотвращения неправильного использования.

Управление ключами