48087 (Политика информационной безопасности для ИС "Учет и графическое представление основных объектов и устройств МГ и ГРС"), страница 3

1.2. Обеспечение физической недоступности к системному блоку (опечатывание/опломбирование). Использование «хранителей экрана».

1.3. Необходимо назначение ответственного лица за каждую единицу информационного обеспечения и за все периферийные устройства, соединенные с ним.

1.4. В случаях, когда сторонние субъекты (специалисты, консультанты и т.п.) в соответствии с документальным соглашением с организацией получают доступ в информационную сеть, к конкретному сетевому ресурсу или СВТ, субъекты должны быть ознакомлены с правилами информационной безопасности, в частности по системе.

1.5 Для обеспечения нормального функционирования СВТ и всей сети сотрудник должен строго следовать правилам, порядкам и другим нормативным документам, регламентирующим части и разделы работы сотрудников.

1. Регламент о ведении журнала диспетчеров, в котором они будут обязаны расписываться при приеме и сдаче смены. Это обусловлено их сменной работой. По выбранному классу защищенности ИС данный регламент реализует требования регистрации и учета: входа/выхода субъектов доступа в/из системы.

2. Регламент на использование и защиту паролей.

3.1. Минимальная длина пароля;

3.2. Минимальный срок жизни пароля;

3.3. Максимальное количество ошибок при вводе пароля;

3.4. Поддержка истории паролей;

3.5. При входе пользователя в систему необходимо предупреждение о запрете использования чужих паролей и НСД;

1. Регламент о разграничении прав доступа к данным на сервере баз данных. Права доступа назначаются администратором и утверждаются генеральным директором.

4.1. Регламент об организации матрицы доступа: матрица доступа пользователей к различным объектам системы.

4.2 Регламента по изменению прав доступа при приеме на работу, перемещениях и увольнениях работников.

1. Регламент выхода во внешние сети (Интернет) / получения электронной почты.

2. Регламент по очистке оперативной памяти после работы с конфиденциальной информацией (перезагрузка компьютера).

3. Регламент о резервном копировании и архивировании.

7.1. Выполнение функций резервного копирования и архивирования должны быть закреплены за ответственным лицом.

7.2. Резервное копирование и архивирование должно производиться на внешние носители - CD/RW.

7.3 Резервные копии должны быть в двух экземплярах и должны храниться в различных местах не с сервером.

1. Регламент на проведение инвентаризации (не реже 1 раза в год).

2. Регламент о конфигурации рабочего места пользователя. Должен быть запрет на установку постороннего оборудования.

3. Регламент о запрете установки постороннего ПО на рабочую станцию.

4. Регламент на использование антивирусных программных средств на рабочих станциях пользователей и на сервере (мониторинг оперативной памяти).

5. Регламент о работе администратора.

К функциям администратора создаваемой ИС относятся:

12.1 Проведение тестирования процедур и механизмов безопасности (дружеский взлом, тестирование аварийного плана).

12.2 Обновление, настройка и изменение конфигураций функционирующего ПО.

12.3 Настройка и изменение конфигураций функционирующего АО.

12.4 Порядок подключения и работы пользователей в сети.

12.5 Расчет отказоустойчивости и надежности системы. Выводы.

12.6 Учет всех заявок пользователей о возникающих проблемах.

12.7 Тестирование, отладка, документирование вводимых информационных систем.

1. Регламент по работе с конфиденциальной информацией.

2. Регламент о службе контроля работы администратора по защите информации (или лица, контролирующего его работу).

3. Регламент о синхронизации времени на всем сетевом оборудовании.

4. Регламент по работе пользователей с СВТ.

5. Регламент поведения администратора при атаках, как внешних, так и внутренних.

6. Регламент восстановления работоспособности системы при экстренных ситуациях/авариях.

7. Регламент о наличии эталонной копии на неизменяемые объекты БД (к примеру, схемы БД) и на проведение сличения с целью выявления фальсификаций.

8. Регламент по ремонту /замене СВТ

При нарушениях любых из вышеперечисленных требований необходимо предусмотреть карательные меры от лишения премиальных и вплоть до увольнения с работы. При особо серьезных нарушениях, предусмотренных в государственных законопроектах и положениях, – заведение уголовного дела.

Необходимым также является периодическое проведение семинаров для сотрудников организации с целью повышения их уровня знаний в области информационных технологий, а также защиты информации и информационных систем, поскольку зачастую сами же сотрудники организации допускают ошибки по незнанию или своей некомпетентности.

4.3.2 Разделение полномочий.

Необходимо ввести контролирующее подразделение за соблюдением ОРМ или назначить сотрудника для снижения злоупотребления сотрудниками организации своими полномочиями.

• Предоставить администратору информационной системы создание ролей прав доступа, а контролирующему лицу (администратору безопасности) предоставить выдачу пользователям этих ролей, в результате чего снизится возможность утечки или нелегального использования конфиденциальной информации злоумышленниками.

• Запретить администратору информационной системы иметь права работы с объектами системы, но иметь доступ к регистрационному журналу для трассировки значимых событий. А администратору безопасности дать возможность просмотра журнала с целью выявления несанкционированных действий со стороны администратора системы (контроль его действий).

• Проверка контролирующим лицом записей в журналах учета работы пользователей с конфиденциальной информации. Соответствие прав пользователей.

• При введении в эксплуатацию МСЭ следует выделить отдельную штатную единицу для его администрирования, поскольку это очень серьезная и ответственная работа.

4.3.3 Физическая защита.

Методы и средства физической защиты в организации:

№		Методы и средства
1	Система охраны периметра	Определение периметра - организация с прилегающей территорией
2	Система контроля и управления доступом:
2.1 Управление первичным проходом		Наличие при входе в здание контрольного пункта, службы охраны
2.2 Управление перемещением по охраняемой территории		Наличие помещения с активным сетевым оборудованием с определенными правами доступа
3	Система видеонаблюдения	Наличие камер слежения за охраняемым периметром и внутри организации
4	Система охранной и пожарной сигнализации	Наличие охранной и пожарной сигнализаций внутри организации
5	Система хранения	Использование сейфов, шкафов, а также хранение на внутренних и внешних носителях

4.3.4 Поддержка работоспособности системы.

Для поддержки работоспособности системы необходимо наладить:

1. поддержку пользователей системы, а именно необходимо расписать все возможные случаи поведения системы и действия пользователей в этих ситуациях.

2. поддержку программного обеспечения, а именно иметь в наличии все необходимые инсталляционные пакеты используемых программ.

3. поддержку аппаратного обеспечения, а именно резерв активного оборудования (в т.ч. коммуникационных кабелей), наличие источников бесперебойной работы, RAID-массив на сервере и обеспечение надежного бесперебойного удаленного управления.

4. регламент конфигурационного управления, а именно регламент подключения новых пользователей (перемещение/увольнение) - ОРМ 4.2, регламент на копирование и архивирование данных/файлов - ОРМ 7.3.

5. регламент восстановления работоспособности системы при экстренных ситуациях/авариях - ОРМ 18.

4.4 Программно-технические меры (ПТМ)

В организации для поддержания безопасной работы уже используются антивирусный комплекс, а также осуществляется мониторинг сети. Поэтому рассмотрим другие программно-технические средства, необходимые для повышения уровня защиты информационной системы и информации (сам. Приложение 2).

1. Межсетевой экран (брандмауэр, firewall)

В ЛВС организации имеется выход в Интернет для связи с филиалами и Компанией. Для обеспечения безопасности входящих/исходящих информационных потоков на данный момент используется ПО IOS, установленное на маршрутизаторе. Для повышения безопасности информации при передаче данных и увеличения производительности маршрутизатора желательно в конструктив маршрутизатора установить аппаратный (вместо программного) модуль обеспечения безопасности данных - МСЭ. При этом следует учесть класс МСЭ, так как в организации осуществляется работа с конфиденциальными данными. Предлагается докупить опцию “Secure SHell (SSH)”.

Необходимо будет осуществить подключение МСЭ к повторителю, через который осуществляется мониторинг активного оборудования сети.

1. Сканеры уязвимости (безопасности)

Средства, уведомляющие администратора, в случае обнаружения отклонений от положений принятой политики безопасности, называются сканерами безопасности (Security Scanner) или средствами анализа защищенности (Security Assessment System).

Предлагается использовать программное обеспечение NetSonar корпорации Cisco Systems, которое обеспечивает всесторонний анализ уязвимости системы безопасности, выполняет подробное отображение сети и составляет электронную опись систем сети. Как про активное приложение в наборе средств системы безопасности сети, программное обеспечение NetSonar обеспечивает современные средства уведомления конечного пользователя и консультантов по безопасности о внутренних аспектах уязвимости сети, таким образом, позволяя им эффективно решать потенциальные проблемы безопасности.

Существуют также средства, анализирующие защищенность СУБД (Database Scanner компании Internet Security Systems, Inc. (ISS) и система SQL <> Secure Policy компании BrainTree Security Software). Система Database Scanner позволяет собирать и анализировать данные о нарушениях политики безопасности от всех баз данных корпоративной сети, работающих под управлением СУБД MS SQL Server, Oracle и Sybase на платформах Windows и Unix.

1. Системы обнаружения атак

Принцип работы СОА заключается в постоянном анализе (в режиме реального времени) активности, происходящей в информационной системе, и при обнаружении подозрительного потока предпринимать действия по его предотвращению и информированию уполномоченных субъектов системы.

Для обнаружения неправомерных воздействий на сервер можно использовать СОА на хосте (СОАХ). Для анализа активности в сети можно использовать СОА на сети (СОАС). Целесообразность внедрения СОАС обусловлено тем, что даже межсетевые экраны с контролем состояния (stateful inspection) не позволяют с уверенностью сказать, присутствует атака в контролируемом ими трафике или нет. Они могут лишь проверить соответствие трафика заданному правилу. К примеру, даже если разрешить прохождение пакетов только по 80 порту (протокол HTTP), простейшая атака с использованием HTTP-запроса "GET /../../../etc/passwd HTTP/1.0" может увенчаться успехом, потому что, с точки зрения межсетевого экрана, в ней нет ничего противозаконного. А вот СОА легко обнаружит эту атаку и заблокирует её.

1. RAID-массивы

На сервере построен RAID Level-10, который комбинирует (объединяет) RAID 0 и RAID 1, т.е. зеркалирование группы дисководов, объединенных в RAID 0 для обеспечения максимального быстродействия. Этот уровень обеспечивает избыточность за счет зеркального отражения.

Так как массив большой и скорость его работы важна - предпочтительна конфигурация из 8 относительно небольших HDD, вместо меньшего количества HDD большей емкости. По подсчетам эффективности и надежности винчестеров используются SCSI - винчестера.

1. Для обеспечения надежности функционирования технических средств желательно использование источников бесперебойного питания (ИБП/UPS) на сервере и на рабочих станциях, а также на повторителе, через который осуществляется мониторинг.

2. В холодном резерве целесообразно иметь:

• ПК – для случая выхода из строя машины диспетчеров, поскольку она является критичной для выполнения бизнес-функции.

• кабели/конекторы/разъемы и т.п.

• винчестер для замены вышедшего из RAID-массива. (при использовании RAID-10 достаточно иметь один SCSI HDD, так как вероятность выхода из строя одновременно двух дублирующихся дисков очень мала).

1. Аудит информационной системы, можно осуществлять по средствам регистрационных журналов администратором безопасности.

2. Уничтожитель бумаги

Часто бывают случаи, когда бумажные листы содержат какие-либо конфиденциальные данные и в дальнейшем использование этой копии не требуется. Правильным является физическое уничтожение бумаг с невозможностью считывания информации с них.

1. Технология VLAN

В отдельный VLAN выделить порты коммутатора, образовав тем самым псевдосеть, организованную на базе существующей локальной сети, для работы с конфиденциальной информацией субъектов организации. Коммутаторы Catalyst 3100 поддерживают такую возможность.

1. Технология VPN

Для сохранности секретности передаваемых по сетям Интернет данных целесообразно использовать технологию VPN (Virtual Private Network), позволяющую конфигурировать виртуальную частную сеть. Виртуальная частная сеть – это сеть, состоящая не из физически проложенных кабелей и сетевого оборудования, а представляющая собой систему виртуальных туннелей в пространстве глобальной сети Интернет и функционирующая параллельно с аналогичными сетями других клиентов и сетью самого провайдера.