ISO27001:2013信息安全控制實(shí)用守則之操作安全
發(fā)布時(shí)間:2018-11-07 瀏覽次數(shù):2369
12 操作安全
12.1 操作程序和職責(zé)
目標(biāo):確保正確、安全的信息處理設(shè)施運(yùn)行�。
12.1.1 文件化的操作程序(原 10.1.1)
控制措施
運(yùn)行程序應(yīng)形成文件��、并對(duì)所有需要的用戶�����。
實(shí)施指南
應(yīng)為與信息處理和通信設(shè)施相關(guān)的操作活動(dòng)準(zhǔn)備形成文件的程序,例如計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)程序�、備份�、設(shè)備維護(hù)、介質(zhì)處理��、計(jì)算機(jī)機(jī)房��、郵件處置管理和安全設(shè)備等�。
運(yùn)行程序應(yīng)詳述操作指南�����,包括:
a) 系統(tǒng)的安裝和配置��;
b) 自動(dòng)和手動(dòng)加工和處理信息����;
c) 備份(見 12.3)�;
d) 規(guī)劃要求����,包括與其他系統(tǒng)的相互關(guān)系�、最早工作開始時(shí)間和最后工作完成時(shí)間;
e) 在工作執(zhí)行期間處理錯(cuò)誤或其它的異常條件的操作指南���,包括對(duì)系統(tǒng)工具的使用限制(見 9.4.4);
f) 支持和升級(jí)聯(lián)系���,包括出現(xiàn)非預(yù)期操作或技術(shù)難題時(shí)的外部支持聯(lián)系����;
g) 特定輸出及介質(zhì)處理的指作指南,諸如特殊文具的使用或保密輸出的管理����,包括任務(wù)失敗時(shí)輸出的安全處置程序(見 8.3 和 11.2.7);
h) 系統(tǒng)失敗事件使用的系統(tǒng)重啟和恢復(fù)程序��;
i) 審計(jì)跟蹤和系統(tǒng)日志信息的管理(見 12.4);
j) 監(jiān)視程序����。
操作程序和系統(tǒng)活動(dòng)的文檔化程序應(yīng)作為正式的文件處理�����,其變更由管理者授權(quán)。技術(shù)上可行時(shí)����,信息系統(tǒng)應(yīng)使用相同的程序�����、工具和工具軟件進(jìn)行一貫的管理����。
12.1.2 變更管理(原 10.1.2)
控制措施
對(duì)影響信息安全的組織、業(yè)務(wù)流程����、信息處理設(shè)施和系統(tǒng)的變更應(yīng)加以控制。
實(shí)施指南
特別的��,下列條款應(yīng)予以考慮����。
a)重大變更的識(shí)別和記錄;
b)變更的策劃和測(cè)試�����;
c)對(duì)這種變更的潛在影響的評(píng)估����,包括信息安全影響;
d)對(duì)建議變更的正式批準(zhǔn)程序�;
e)驗(yàn)證信息安全要求已被滿足�;
f) 向所有有關(guān)人員傳達(dá)變更細(xì)節(jié);
g)回退程序��,包括從不成功變更和未預(yù)料事件中中止和恢復(fù)的程序與職責(zé)���;
h)緊急變更處理的規(guī)定使需要恢復(fù)事件的變更能快速且在受控下完成���。
正式的管理職責(zé)和程序應(yīng)是適當(dāng)?shù)?�,以確保所有的變更的的控制。當(dāng)發(fā)生變更時(shí)��,包含所有相關(guān)信息的審計(jì)日志要予以保留�����。
其它信息
對(duì)信息處理設(shè)施和系統(tǒng)的變更缺乏控制是系統(tǒng)或安全故障的常見原因���。對(duì)運(yùn)行環(huán)境的變更,特別是當(dāng)系統(tǒng)從開發(fā)階段向運(yùn)行階段轉(zhuǎn)移時(shí)�,可能影響應(yīng)用程序的可靠性。(見14.2.2)�����。
12.1.3
容量管理(原 10.3.1)
控制措施
資源的使用應(yīng)加以監(jiān)視��、調(diào)整,并應(yīng)作出對(duì)于未來容量要求的預(yù)測(cè)����,以確保擁有所需的系統(tǒng)性能。
實(shí)施指南
關(guān)注有關(guān)系統(tǒng)的業(yè)務(wù)臨界狀態(tài)����,應(yīng)識(shí)別容量要求���。應(yīng)使用系統(tǒng)調(diào)整和監(jiān)視確保必需提高的系統(tǒng)可用性和效率���。應(yīng)有檢測(cè)控制措施以及時(shí)地指示問題����。未來容量要求的預(yù)測(cè)應(yīng)考慮新業(yè)務(wù)和系統(tǒng)的要求以及組織信息處理容量的當(dāng)前和預(yù)期的趨勢(shì)��。需要特別關(guān)注長(zhǎng)訂貨交貨周期或高成本相關(guān)的所有資源�;因此管理者應(yīng)監(jiān)視關(guān)鍵系統(tǒng)資源的使用。他們應(yīng)識(shí)別出使用的趨勢(shì)���,特別是有關(guān)業(yè)務(wù)應(yīng)用或信息系統(tǒng)管理工具�����。管理者應(yīng)使用這些信息來識(shí)別和避免潛在的瓶頸及對(duì)關(guān)鍵員工的依賴�����,他們可能引起對(duì)系統(tǒng)安全或服務(wù)的威脅,并策劃適當(dāng)?shù)男袆?dòng)���。
提供足夠的容量可以由增加容量或降低需求來獲得�����。管理容量需求的例子包括:
a) 廢棄數(shù)據(jù)的刪除(磁盤空間)�����;
b) 應(yīng)用��、系統(tǒng)����、數(shù)據(jù)庫(kù)或環(huán)境的退役�;
c) 優(yōu)化批處理和進(jìn)度;
d) 優(yōu)化應(yīng)用邏輯或數(shù)據(jù)庫(kù)隊(duì)列���;
e) 拒絕或限制渴求資源的帶寬��,如果這些不是關(guān)鍵業(yè)務(wù)(如����,視頻流)�。應(yīng)考慮關(guān)鍵任務(wù)系統(tǒng)的文檔化的容量管理計(jì)劃。
其它信息
這個(gè)控制措施也處理人力資源����、辦公室和設(shè)備的容量�,
12.1.4 開發(fā)、測(cè)試和運(yùn)行環(huán)境分離(原 10.1.4)
控制措施
開發(fā)����、測(cè)試和運(yùn)行環(huán)境應(yīng)被分離���,以減少未授權(quán)訪問或?qū)\(yùn)行環(huán)境變更的風(fēng)險(xiǎn)。
實(shí)施指南
為防止操作的問題����,運(yùn)行、測(cè)試和開發(fā)環(huán)境之間的的分離級(jí)別應(yīng)被識(shí)別并實(shí)施是必須的����。
下列條款應(yīng)加以考慮:
a) 軟件從開發(fā)轉(zhuǎn)移到運(yùn)行狀態(tài)的規(guī)則應(yīng)被定義并形成文件����;
b) 開發(fā)和運(yùn)行應(yīng)運(yùn)行在不同的系統(tǒng)或計(jì)算機(jī)處理器上�����,且在不同的域或目錄內(nèi)�;
c) 運(yùn)行系統(tǒng)和應(yīng)用的變更應(yīng)在應(yīng)用到運(yùn)行系統(tǒng)之前�,在測(cè)試或升級(jí)環(huán)境中進(jìn)行測(cè)試�����;
d) 除特殊例外情況��,測(cè)試不應(yīng)在運(yùn)行系統(tǒng)上完成��;
e) 編譯器�����、編輯器�����、其他開發(fā)工具或系統(tǒng)工具如果沒有要求�����,不應(yīng)從運(yùn)行系統(tǒng)中訪問到���;
f) 用戶應(yīng)在運(yùn)行和測(cè)試系統(tǒng)中使用不同的用戶檔案文件���,菜單要顯示合適的標(biāo)識(shí)消息以減少出錯(cuò)的風(fēng)險(xiǎn);
g) 敏感數(shù)據(jù)不應(yīng)拷貝到測(cè)試系統(tǒng)環(huán)境中����,除非為測(cè)試環(huán)境提供等效的控制措施(見14.3)��。
其它信息
開發(fā)和測(cè)試活動(dòng)可能引起嚴(yán)重的問題����,例如�,文件或系統(tǒng)環(huán)境的不需要的修改或者系統(tǒng)故障����。有必要保持一種已知的和穩(wěn)定的環(huán)境�����,來執(zhí)行有意義的測(cè)試并防止不適當(dāng)?shù)拈_發(fā)者訪問到運(yùn)行環(huán)境�。若開發(fā)和測(cè)試人員訪問運(yùn)行系統(tǒng)及其信息����,那么他們可能會(huì)引入未授權(quán)和未測(cè)試的代碼或改變運(yùn)行數(shù)據(jù)���。在某些系統(tǒng)中�����,這種能力可能被誤用于實(shí)施欺詐�,或引入未測(cè)試的或惡意代碼��,從而導(dǎo)致嚴(yán)重的運(yùn)行問題。開發(fā)者和測(cè)試者還造成對(duì)運(yùn)行信息保密性的威脅���。如果開發(fā)和測(cè)試活動(dòng)共享相同的計(jì)算環(huán)境���,那么可能引起非故意的軟件和信息的變更。因此����,為了減少意外變更或未授權(quán)訪問運(yùn)行軟件和業(yè)務(wù)數(shù)據(jù)的風(fēng)險(xiǎn),分離開發(fā)����、測(cè)試和運(yùn)行環(huán)境是有必要的(見 14.3 的測(cè)試數(shù)據(jù)保護(hù))。
12.2 惡意軟件防護(hù)
目標(biāo):確保信息和信息處理設(shè)施不受惡意軟件侵害���。
12.2.1 控制惡意軟件(原 10.4.1)
控制措施
與適當(dāng)?shù)挠脩粢庾R(shí)相結(jié)合���,實(shí)施檢測(cè)、預(yù)防和恢復(fù)控制措施來防范惡意軟件���。
實(shí)施指南
防范惡意代碼要基于惡意代碼監(jiān)測(cè)、修復(fù)軟件�����、信息安全意識(shí)����、適當(dāng)?shù)南到y(tǒng)訪問和變更管理控制��。下列指南要加以考慮:
a)建立禁止使用未授權(quán)軟件的正式策略(見 12.6.2 和 14.2)�����;
b)實(shí)施控制措施預(yù)防和檢測(cè)未授權(quán)軟件的使用(如����,應(yīng)用程序白名單)����;
c)實(shí)施控制措施預(yù)防和檢測(cè)已知或可疑惡意代碼網(wǎng)絡(luò)的使用(如�����,黑名單)����;
d)建立防范風(fēng)險(xiǎn)的正式策略���,該風(fēng)險(xiǎn)與來自或經(jīng)由外部網(wǎng)絡(luò)或在其他介質(zhì)上獲得的文件和軟件相關(guān),此策略指示應(yīng)采取什么保護(hù)措施�����;
e)減少可能被惡意代碼利用的脆弱性��,如���,通過技術(shù)脆弱性管理(見 12.6)�����;
f) 對(duì)支持關(guān)鍵業(yè)務(wù)過程的系統(tǒng)中的軟件和數(shù)據(jù)內(nèi)容進(jìn)行定期評(píng)審����。應(yīng)正式審查存在的任何未批準(zhǔn)的文件或未授權(quán)的修改��;
g)安裝和定期更新惡意代碼檢測(cè)和修復(fù)軟件來掃描計(jì)算機(jī)和介質(zhì),以作為預(yù)防控制或作為例行程序的基礎(chǔ)��;執(zhí)行的掃描應(yīng)包括:
1)惡意代碼使用前����,掃描從網(wǎng)絡(luò)上接收到的任何文件或通過任何存儲(chǔ)介質(zhì)的格式;
2)惡意代碼使用前�����,掃描電子郵件附件和下載內(nèi)容����;該掃描應(yīng)被執(zhí)行在不同地方��,如,在電子郵件服務(wù)器�����、臺(tái)式計(jì)算機(jī)和進(jìn)入組織的網(wǎng)絡(luò)時(shí)����;
3)針對(duì)惡意代碼,掃描 web 頁(yè)面���;
h)定義程序和職責(zé)���,以處理在系統(tǒng)上防護(hù)惡意代碼、對(duì)他們使用的培訓(xùn)�����、惡意代碼攻擊報(bào)告和恢復(fù)����;
i) 制定適當(dāng)?shù)膹膼阂獯a攻擊中恢復(fù)的業(yè)務(wù)連續(xù)性計(jì)劃���,包括所有必要數(shù)據(jù)和軟件備份以及恢復(fù)安排(見 12.3)��;
j) 實(shí)施程序定期收集信息�,如,訂閱郵件列表或檢查提供新惡意代碼信息的 web 站點(diǎn)����;
k)實(shí)施檢驗(yàn)與惡意代碼相關(guān)信息的程序�����,并確保警告公告是準(zhǔn)確和翔實(shí)的���;管理者應(yīng)確保使用合格的來源,如����,聲譽(yù)好的期刊��、可靠的 Internet 網(wǎng)站或防范惡意代碼軟件的供應(yīng)商���,被用來區(qū)分虛假的和真實(shí)的;要讓所有用戶了解欺騙問題���,以及在收到它們時(shí)要做什么。
l) 孤立的環(huán)境���,可能導(dǎo)致災(zāi)難性的影響��。
其它信息
在信息處理環(huán)境中使用來自不同供應(yīng)商和技術(shù)的防范惡意代碼的兩個(gè)或多個(gè)軟件產(chǎn)品��,能改進(jìn)惡意代碼防護(hù)的有效性���。應(yīng)注意防止在實(shí)施維護(hù)和緊急程序期間引入惡意代碼,這將避開正常的惡意代碼防護(hù)的控制措施�����。
某種情況下����,惡意代碼防護(hù)可能導(dǎo)致運(yùn)行中的干擾���。
惡意代碼檢測(cè)和修復(fù)軟件的使用獨(dú)立的作為一個(gè)惡意代碼控制措施�����,通常是不勝任的�,一般需要伴有預(yù)防惡意代碼介紹的運(yùn)行程序����。
12.3 備份
目標(biāo):防止數(shù)據(jù)丟失。
12.3.1 信息備份(原 10.5.1)
控制措施
根據(jù)既定的備份策略備份信息����、軟件和系統(tǒng)映象的拷貝,并定期測(cè)試�。
實(shí)施指南
應(yīng)建立備份策略來定義組織對(duì)信息、軟件和系統(tǒng)備份的要求��。備份策略應(yīng)定義保留和保護(hù)要求�����。應(yīng)提供足夠的備份設(shè)施���,以確保所有基本信息和軟件能在災(zāi)難或介質(zhì)失效后進(jìn)行恢復(fù)�。當(dāng)設(shè)計(jì)備份計(jì)劃時(shí),下列條款應(yīng)加以考慮:
a) 精確的和完整的備份拷貝的記錄和文檔化恢復(fù)程序應(yīng)被產(chǎn)生����;
b) 備份的程度(如��,全備份或差異備份)和頻率應(yīng)考慮組織的業(yè)務(wù)要求���、涉及信息的安全要求和組織連續(xù)運(yùn)行信息的臨界狀態(tài)�;
c) 備份應(yīng)被存儲(chǔ)在遠(yuǎn)端場(chǎng)所,這個(gè)場(chǎng)所應(yīng)保持足夠的距離以避免因主場(chǎng)所發(fā)生災(zāi)難而對(duì)備份造成的任何損害��;
d) 應(yīng)給予備份信息一個(gè)與主辦公場(chǎng)所應(yīng)用標(biāo)準(zhǔn)相一致的適當(dāng)?shù)奈锢砗铜h(huán)境保護(hù)等級(jí)(見 11);
e) 必要時(shí)�,定期地測(cè)試備份介質(zhì)����,確保當(dāng)需要應(yīng)急使用時(shí)可以依靠這些備份介質(zhì);這應(yīng)與恢復(fù)程序結(jié)合并檢查對(duì)恢復(fù)所需要的時(shí)間����。測(cè)試恢復(fù)備份數(shù)據(jù)的能力應(yīng)被執(zhí)行,映射到專用的測(cè)試介質(zhì),不是重寫原始介質(zhì)�����,避免備份或恢復(fù)過程失敗而導(dǎo)致不可修復(fù)的數(shù)據(jù)損壞或丟失���;
f) 在保密性十分重要的情況下�,備份應(yīng)通過加密方法進(jìn)行保護(hù)�。
運(yùn)行程序應(yīng)監(jiān)視備份的執(zhí)行和預(yù)定備份的故障處理,以確保備份根據(jù)備份策略來完成����。各個(gè)系統(tǒng)和服務(wù)的備份安排應(yīng)定期測(cè)試,以確保他們滿足業(yè)務(wù)連續(xù)性計(jì)劃的要求�。對(duì)于關(guān)鍵系統(tǒng)和服務(wù)�����,備份安排覆蓋在發(fā)生災(zāi)難時(shí)恢復(fù)整個(gè)系統(tǒng)所必需的所有系統(tǒng)信息、應(yīng)用和數(shù)據(jù)����。基本業(yè)務(wù)信息的保存期應(yīng)被確定,考慮對(duì)永久保存的存檔拷貝的任何要求���。
12.4 日志和監(jiān)控
目標(biāo):記錄事態(tài)并生成證據(jù)���。
12.4.1 事態(tài)日志(原 10.10.1)
控制措施
事態(tài)日志記錄用戶活動(dòng)、例外���、故障和信息安全事態(tài)����,應(yīng)被產(chǎn)生����、保持和定期評(píng)審����。
實(shí)施指南
當(dāng)相關(guān)聯(lián)的時(shí)候���,事態(tài)日志應(yīng)包括:
a) 用戶 ID����;
b) 系統(tǒng)活動(dòng);
c) 日期�����、時(shí)間和關(guān)鍵事態(tài)的細(xì)節(jié)�����,例如注冊(cè)和注銷��;
d) 若有可能���,設(shè)備身份或位置�����,以及系統(tǒng)標(biāo)識(shí)��;
e) 成功的和被拒絕的對(duì)系統(tǒng)嘗試訪問的記錄���;
f) 成功的和被拒絕的對(duì)數(shù)據(jù)以及其他資源嘗試訪問的記錄;
g) 系統(tǒng)配置的變化����;
h) 特權(quán)的使用���;
i) 系統(tǒng)工具和應(yīng)用程序的使用;
j) 訪問的文件和訪問類型���;
k) 網(wǎng)絡(luò)地址和協(xié)議���;
l) 訪問控制系統(tǒng)引發(fā)的報(bào)報(bào)警;
m) 防護(hù)系統(tǒng)的激活和停用����,如,防病毒系統(tǒng)和入侵檢測(cè)系統(tǒng)��;
n) 用戶在應(yīng)用上執(zhí)行的交易記錄����。
事態(tài)日志安置基本的自動(dòng)監(jiān)視系統(tǒng),在系統(tǒng)安全上能產(chǎn)生統(tǒng)一的報(bào)告和告警�����。
其它信息
事態(tài)日志可以包含敏感數(shù)據(jù)和個(gè)人可識(shí)別的信息。應(yīng)采取適當(dāng)?shù)碾[私保護(hù)措施(見18.1.4)�����??赡軙r(shí),系統(tǒng)管理員不允許刪除或停用他們自己活動(dòng)日志��。
12.4.2 日志信息的保護(hù)(原 10.10.3)
控制措施
日志設(shè)施和日志信息應(yīng)加以保護(hù)��,以防止篡改和未授權(quán)的訪問����。
實(shí)施指南
應(yīng)實(shí)施控制措施以防止日志信息被未授權(quán)更改和與日志設(shè)施有關(guān)的操作問題,包括:
a) 更改已記錄的消息類型�;
b) 日志文件被編輯或刪除�����;
c) 超越日志文件介質(zhì)的存儲(chǔ)容量���,導(dǎo)致不能記錄事態(tài)的故障或過去記錄事態(tài)被覆蓋�。一些審計(jì)日志可能需要被存檔�����,以作為記錄保留策略的一部分����,或由于收集和保留證據(jù)的要求(也見 16.1.7)。
其它信息
系統(tǒng)日志通常包含大量的信息���,其中許多與信息安全監(jiān)視無關(guān)。為幫助識(shí)別出對(duì)安全監(jiān)視目的有重要意義的事態(tài)��,應(yīng)考慮將相應(yīng)的消息類型自動(dòng)地拷貝到第二份日志���,或使用適合的系統(tǒng)工具或?qū)徲?jì)工具���,執(zhí)行文件查詢及合理化。需要保護(hù)系統(tǒng)日志���,因?yàn)槿绻渲械臄?shù)據(jù)被修改或刪除���,它們的存在可能產(chǎn)生安全的虛假感覺���。實(shí)時(shí)拷貝系統(tǒng)日志到系統(tǒng)管理員或操作員控制外的系統(tǒng),可以用來保護(hù)日志��。
12.4.3 管理員和操作員日志(原 10.10.4)
控制措施
系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)被記錄�、日志被保護(hù)并定期檢查���。
實(shí)施指南
特權(quán)用戶帳號(hào)持有者在他們的直接控制下也許能夠操縱信息處理設(shè)施上的日志���,因此,保護(hù)和審查維護(hù)日志對(duì)特權(quán)用戶賦予責(zé)任是必要的��。
其它信息
對(duì)在系統(tǒng)和網(wǎng)絡(luò)管理員控制之外進(jìn)行管理的入侵檢測(cè)系統(tǒng)可以用來監(jiān)視系統(tǒng)和網(wǎng)絡(luò)管理活動(dòng)的符合性����。
12.4.4 時(shí)鐘同步(原 10.10.6)
控制措施
一個(gè)組織或安全域內(nèi)的所有相關(guān)信息處理系統(tǒng)的時(shí)鐘應(yīng)使用一個(gè)單一的時(shí)鐘源進(jìn)行同步�����。
實(shí)施指南
時(shí)間的表現(xiàn)����、同步和精確性的外部和內(nèi)部的要求應(yīng)被文件規(guī)定。這些要求可能是法律的��、監(jiān)管的��、合同要求的���、標(biāo)準(zhǔn)符合性的或內(nèi)部監(jiān)視要求的。組織內(nèi)使用的標(biāo)準(zhǔn)參考時(shí)間應(yīng)被定義����。組織從外部源獲得參考時(shí)間的方法和如何可靠地同步內(nèi)部時(shí)鐘應(yīng)被記錄在案并被實(shí)施。
其它信息
正確設(shè)置計(jì)算機(jī)時(shí)鐘對(duì)確保審計(jì)記錄的準(zhǔn)確性是重要的��,審計(jì)日志可用于調(diào)查或作為法律�、法規(guī)案例的證據(jù)。不準(zhǔn)確的審計(jì)日志可能妨礙調(diào)查�����,并損害這種證據(jù)的可信性��。鏈接到國(guó)家原子鐘無線電廣播時(shí)間的時(shí)鐘可被使用作為日志系統(tǒng)的主時(shí)鐘���。網(wǎng)絡(luò)時(shí)間協(xié)議可被使用��,保持所有的服務(wù)器與主時(shí)鐘同步。
12.5 運(yùn)行軟件的控制
目標(biāo):保證操作系統(tǒng)的完整性
12.5.1
操作系統(tǒng)上軟件的安裝(新增)
控制措施
控制在操作系統(tǒng)上軟件安裝的程序應(yīng)被落實(shí)��。
實(shí)施指南
在操作系統(tǒng)上軟件的變更控制應(yīng)考慮下列指南:
a) 運(yùn)行軟件����、應(yīng)用和程序庫(kù)的更新僅應(yīng)由經(jīng)過訓(xùn)練的管理員在適當(dāng)?shù)墓芾硎跈?quán)下來執(zhí)行(見 9.4.5)�����;
b) 操作系統(tǒng)僅保留被批準(zhǔn)的執(zhí)行代碼����,沒有開發(fā)代碼和編譯程序;
c) 應(yīng)用和操作系統(tǒng)軟件僅應(yīng)被執(zhí)行在廣泛的和成功的測(cè)試之后��;這個(gè)測(cè)試應(yīng)涵蓋可用性、安全性���、對(duì)其它系統(tǒng)的影響和用戶友好性����,并應(yīng)在獨(dú)立的系統(tǒng)上執(zhí)行(見12.1.4)�����;它應(yīng)被確保所有的對(duì)應(yīng)的源代碼庫(kù)已被更新��;
d) 配置控制系統(tǒng)應(yīng)被使用以保持所有執(zhí)行軟件和系統(tǒng)文檔的控制��;
e) 變更實(shí)施前應(yīng)安置一個(gè)回退策略��;
f) 對(duì)運(yùn)行程序庫(kù)的所有更新的審計(jì)日志應(yīng)被維護(hù)�����;
g) 應(yīng)用軟件的先前版本應(yīng)被保留作為應(yīng)變措施��;
h) 軟件的老版本應(yīng)被存檔���,與所有要求的信息、參數(shù)、程序�、配置細(xì)節(jié)和支持軟件作為長(zhǎng)久數(shù)據(jù)以存檔的方式被保留。操作系統(tǒng)中使用的由廠商提供的軟件應(yīng)以供應(yīng)商的水平來維護(hù)����,隨著時(shí)間的推移,軟件廠商將停止老版本軟件的支持�。組織應(yīng)用考慮信賴于不被支持的軟件的風(fēng)險(xiǎn)�����。任何對(duì)新版本的升級(jí)決定�,應(yīng)考慮版本變更和安全的業(yè)務(wù)要求����,如���,新的信息安全功能��、數(shù)量的引入和影響這個(gè)版本的信息安全問題的嚴(yán)重性�。軟件補(bǔ)丁應(yīng)被應(yīng)用�����,當(dāng)他們可以幫助來消除或降低信息安全弱點(diǎn)的時(shí)候(見 12.6 ).
物理或邏輯訪問應(yīng)僅被給到需要時(shí)的供應(yīng)商的支持目的,并得到管理批準(zhǔn)��。供應(yīng)商的活動(dòng)應(yīng)被監(jiān)視(見 15.2.1)�。信賴于外部提供的軟件和模塊的計(jì)算機(jī)軟件����,應(yīng)被監(jiān)視和控制,以避免可能引入安全弱點(diǎn)的非授權(quán)變更���。
12.6 技術(shù)脆弱性管理
目標(biāo):防止技術(shù)脆弱性的利用���。
12.6.1 技術(shù)脆弱性的管理(條款不變)
控制措施
應(yīng)及時(shí)獲得信息系統(tǒng)技術(shù)脆弱性的信息,評(píng)價(jià)對(duì)這些脆弱性組織的暴露程度��,并采取適當(dāng)?shù)拇胧﹣硖幚硐嚓P(guān)的風(fēng)險(xiǎn)。
實(shí)施指南
當(dāng)前并完整的資產(chǎn)清單(見 8)是進(jìn)行有效的技術(shù)脆弱性管理的前提�。支持技術(shù)脆弱性管理所需的特定信息包括軟件廠商�����、版本號(hào)、當(dāng)前部署的狀態(tài)(如�,在什么系統(tǒng)上安裝什么軟件),以及組織內(nèi)負(fù)責(zé)軟件的人員���。
應(yīng)采取適當(dāng)?shù)暮图皶r(shí)的行動(dòng)以響應(yīng)對(duì)潛在技術(shù)脆弱性的識(shí)別����。為建立有效的技術(shù)脆弱性管理過程應(yīng)遵循下面的指南:
a) 組織應(yīng)定義并建立與技術(shù)脆弱性管理相關(guān)的角色和職責(zé)���,包括脆弱性監(jiān)視�、脆弱性風(fēng)險(xiǎn)評(píng)估�、補(bǔ)丁、資產(chǎn)追蹤���,和任意需要的協(xié)調(diào)職任����;
b) 識(shí)別有關(guān)技術(shù)脆弱性和維護(hù)脆弱性意識(shí)的軟件和其它技術(shù)的信息資源應(yīng)被識(shí)別����,對(duì)于軟件和其他技術(shù)(基于資產(chǎn)清單��,見 8.1.1);這些信息資源應(yīng)根據(jù)清單的變更或當(dāng)發(fā)現(xiàn)其它新的或有用的資源時(shí)進(jìn)行更新���;
c) 應(yīng)制定時(shí)間表對(duì)潛在的有關(guān)技術(shù)脆弱性的通知做出反映;
d) 一旦潛在的技術(shù)脆弱性被確定����,組織應(yīng)識(shí)別相關(guān)的風(fēng)險(xiǎn)并采取措施�;這些措施可能包括對(duì)脆弱系統(tǒng)的補(bǔ)丁,或者應(yīng)用其它控制措施�����;
e) 依據(jù)技術(shù)脆弱性需要解決的緊急程度�����,應(yīng)根據(jù)變更管理相關(guān)的控制措施(見12.1.2)����,或者遵照信息安全事態(tài)響應(yīng)程序(見 16.1.5)采取措施�����;
f) 如果有來自合法源的可用的補(bǔ)丁,則應(yīng)評(píng)估與安裝該補(bǔ)丁相關(guān)的風(fēng)險(xiǎn)(由脆弱性引起的風(fēng)險(xiǎn)與安裝補(bǔ)丁帶來的風(fēng)險(xiǎn)應(yīng)進(jìn)行比較)�����;
g) 在安裝補(bǔ)丁之前���,應(yīng)進(jìn)行測(cè)試和評(píng)估�����,以確保它們是有效的����,且不會(huì)導(dǎo)致不能容忍的負(fù)面影響�;如果沒有可用的補(bǔ)丁,應(yīng)考慮其它控制措施�,如:
1)關(guān)閉與脆弱性有關(guān)的服務(wù)和能力;
2)選配或增加訪問控制措施�,如,在網(wǎng)絡(luò)邊界上添加防火墻(見 13.1)�����;
3)增加監(jiān)視以檢測(cè)真實(shí)的攻擊���;
4)提高脆弱性意識(shí)����;
h) 應(yīng)保持所有執(zhí)行程序的審計(jì)日志;
i) 應(yīng)定期對(duì)技術(shù)脆弱性管理過程進(jìn)行監(jiān)視和評(píng)價(jià)���,以確保其有效性和效率;
j) 處于高風(fēng)險(xiǎn)中的系統(tǒng)應(yīng)首先處理��;
k) 有效的技術(shù)脆弱性管理過程應(yīng)與事件管理活動(dòng)結(jié)合考慮�����,脆弱性數(shù)據(jù)傳達(dá)給事件響應(yīng)功能�����,事件發(fā)生時(shí)提供技術(shù)脆弱性程序來執(zhí)行�;
l) 定義一個(gè)程序來處理�,脆弱性已被識(shí)別��,但沒有合適的對(duì)策的情形。在這種情形中����,組織應(yīng)評(píng)估與已知脆弱性相關(guān)的風(fēng)險(xiǎn)���,并規(guī)定合適的檢測(cè)和糾正行動(dòng)�����。
其它信息
技術(shù)脆弱性管理可以作為變更管理的一個(gè)子功能被評(píng)審�,并可利用變更管理過程和程序(見 12.1.2 和 14.2.2)����。
廠商往往盡早發(fā)布補(bǔ)丁要承受重大的壓力���。因此�����,補(bǔ)丁可能不足以解決該問題���,并且可能存在負(fù)作用��。而且����,在某些情況下,一旦補(bǔ)丁被應(yīng)用后��,很難被卸載���。
如果不能對(duì)補(bǔ)丁進(jìn)行充分的測(cè)試���,如�,由于成本或資源缺乏,那么可以根據(jù)其它用戶的報(bào)告經(jīng)驗(yàn)���,考慮推遲打補(bǔ)丁�,評(píng)價(jià)相關(guān)的風(fēng)險(xiǎn)�����。
12.6.2 軟件安裝限制(原 12.4.1)
控制措施
應(yīng)建立和執(zhí)行規(guī)則來控制由用戶安裝軟件����。
實(shí)施指南
組織應(yīng)定義和執(zhí)行嚴(yán)格的策略��,用戶可以安裝的軟件類型�。最小特權(quán)原則應(yīng)被應(yīng)用�。如果準(zhǔn)許某個(gè)特權(quán)�,用戶可以有能力來安全軟件。組織應(yīng)識(shí)別被允許安裝軟件的類型(如�����,對(duì)現(xiàn)有軟件的更新和安全補(bǔ)?����。?����,和禁止安裝的軟件(如���,僅由個(gè)人使用的軟件和出身于未知和懷疑帶潛在惡意代碼的軟件)����。用戶所涉及的角色的特權(quán)應(yīng)被準(zhǔn)許。
其它信息
在計(jì)算機(jī)設(shè)備上不受控的軟件安裝可能導(dǎo)致引入脆弱性�����、產(chǎn)生信息泄漏�����、丟失完整性或其它信息安全事件�����,或違反知識(shí)產(chǎn)權(quán)�。
12.7 信息系統(tǒng)審計(jì)的考慮
目標(biāo):將運(yùn)行系統(tǒng)上審計(jì)活動(dòng)的影響最小化���。
12.7.1 信息系統(tǒng)審計(jì)控制(原 15.3.1)
控制措施
涉及對(duì)運(yùn)行系統(tǒng)驗(yàn)證的審計(jì)要求和活動(dòng)�����,應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)�����,以便最小化業(yè)務(wù)過程的中斷����。
實(shí)施指南
應(yīng)遵守下列指南:
a) 應(yīng)與合適的管理者商定對(duì)系統(tǒng)和數(shù)據(jù)訪問的審計(jì)要求;
b) 技術(shù)審計(jì)測(cè)試的范圍應(yīng)商定并被控制��;
c) 審計(jì)測(cè)試應(yīng)限于對(duì)軟件和數(shù)據(jù)的只讀訪問�;
d) 非只讀的訪問應(yīng)只允許隔離的系統(tǒng)文件的拷貝��,當(dāng)審核完成時(shí)����,應(yīng)被刪除��,或者在審計(jì)文件要求下���,具有保留這些文件的義務(wù)�,則要給予適當(dāng)?shù)谋Wo(hù)����;
e) 特定的或附加的過程要求應(yīng)被識(shí)別和同意;
f) 可能影響系統(tǒng)可用性的審計(jì)測(cè)試應(yīng)在非業(yè)務(wù)時(shí)間段來完成��;
g) 所有訪問應(yīng)被監(jiān)視和記錄,以產(chǎn)生參考蹤跡���。
