КУРСОВАЯ РАБОТА

По дисциплине

Информационная безопасность

На тему

«Анализ и реинжиниринг системы информационной безопасности на предприятии ГУ Банка России»

ВВЕДЕНИЕ

Говоря об информационной безопасности, в настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.

Вследствие этого настоящая работа посвящена именно проблеме обеспечения информационной безопасности именно в компьютерной среде. Если говорить о безопасности информации, сохраняющейся на традиционных носителях (бумага, фотоотпечатки и т.п.), то ее сохранность достигается соблюдением мер физической защиты (т.е. защиты от несанкционированного проникновения в зону хранения носителей). Другие аспекты защиты такой информации связаны со стихийными бедствиями и техногенными катастрофами. Таким образом, понятие "компьютерной" информационной безопасности в целом является более широким по сравнению с информационной безопасностью относительно "традиционных" носителей.

Если говорить о различиях в подходах к решению проблемы информационной безопасности на различных уровнях (государственном, региональном, уровне одной организации), то такие различия просто не существуют. Подход к обеспечению безопасности Государственной автоматизированной системы "Выборы" не отличается от подхода к обеспечению безопасности локальной сети в маленькой фирме. Поэтому принципы обеспечения информационной безопасности в данной работе рассматриваются на примерах деятельности отдельной организации.

1. Потенциальные УГРОЗЫ ЗАЩИЩАЕМОЙ информациИ

В настоящем разделе под угрозами понимаются факторы, воздействующие на защищаемую информацию: явления, действия или процессы, результатом которых могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

При организации подсистемы информационной безопасности РАБИС-НП на объектах информатизации должны учитываться в качестве вероятных следующие факторы, способные воздействовать на защищаемую информацию РАБИС-НП.

1. Объективные факторы, воздействующие на защищаемую информацию (внутренние факторы):

• передача сигналов по проводным линиям связи;

• передача сигналов по оптико-волоконным линиям связи;

• дефекты, сбои, отказы, аварии технических средств и систем объекта информатизации;

• дефекты, сбои и отказы программного обеспечения объекта информатизации;

1. Объективные факторы, воздействующие на защищаемую информацию (внешние факторы):

• явления техногенного характера (сбои, отказы и аварии систем обеспечения объекта информатизации);

• природные явления, стихийные бедствия (термические факторы, климатические факторы, механические факторы, электромагнитные факторы, биологические факторы);

1. Субъективные факторы, воздействующие на защищаемую информацию (внутренние факторы):

• разглашение защищаемой информации лицами, имеющими к ней право доступа(разглашение информации лицам, не имеющим права доступа к защищаемой информации; передача информации по открытым линиям связи; обработка информации на незащищенных технических средствах обработки информации; копирование информации на незарегистрированный носитель информации; передача носителя информации лицу, не имеющему права доступа к ней; утрата носителя с информацией;

• неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации(несанкционированное изменение информации; несанкционированное копирование информации);

• несанкционированный доступ к защищаемой информации (подключение к техническим средствам и системам объекта информатизации; использование закладочных устройств; хищение носителя с защищаемой информацией; нарушение функционирования технических средств обработки информации);

• использование программного обеспечения технических средств объекта информатизации:

• маскировка под зарегистрированного пользователя;

• использование дефектов программного обеспечения объекта информатизации (использование программных закладок, применение программных вирусов);

• неправильное организационное обеспечение защиты информации (неправильное задание требований по защите информации; несоблюдение требований по защите информации; неправильная организация контроля эффективности защиты информации);

• ошибки обслуживающего персонала объекта информатизации (ошибки при эксплуатации технических средств; ошибки при эксплуатации программных средств; ошибки при эксплуатации средств и систем защиты информации);

1. Субъективные факторы, воздействующие на защищаемую информацию (внешние факторы):

• несанкционированный доступ к защищаемой информации (подключение к техническим средствам и системам объекта информатизации; использование закладочных устройств; несанкционированный физический доступ на объект информатизации; хищение носителя с защищаемой информацией);

• использование дефектов программного обеспечения объекта информатизации (использование программных закладок, применение программных вирусов);

• блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными запросами на ее обработку;

• действия криминальных групп и отдельных преступных субъектов (диверсия в отношении объекта информатизации).

Для предотвращения перечисленных угроз в автоматизированной системе в целом и на каждом ее объекте информатизации должен обеспечиваться комплекс мер по защите информации, включающих:

• административные и организационно-технические мероприятия (регламент работ, охрана, ограничение физического доступа к системе, планирование действий в чрезвычайных ситуациях, и т.п.);

• резервирование и дублирование ответственных компонентов системы;

• разграничение доступа;

• контроль целостности системы;

• регистрацию (аудит) действий пользователей в системе;

• защиту электронного документооборота системы (использование средств защиты и аутентификации электронных сообщений, архивов электронных сообщений, технологического контроля электронных сообщений, шифрование данных при передаче электронных сообщений по каналам связи, и т.д.).

1. ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РАБИС-НП

   2. Защищаемые объекты РАБИС-НП

Перечень основных защищаемых объектов РАБИС-НП включает:

• аппаратные средства вычислительных установок серверов и рабочих станций, а также средства организации локальной сети и телекоммуникаций, используемые автоматизированной системой;

• системные программные средства и прикладное программное обеспечение смежных подсистем, обеспечивающие функционирование ТПК «РАБИС-НП»;

• дистрибутивы и пакеты модификации ТПК «РАБИС-НП;

• технологические и тестовые подсистемы, используемые для сопровождения программного обеспечения;

• рабочие подсистемы (УБР, ТЦОИ, ЦОИ, КЦОИ) РАБИС-НП;

• средства организации электронного документооборота системы (средства криптографической защиты информации и их ключи, средства технологического контроля, и т.д.)

• электронные сообщения (электронные документы) и их архивы.

Обзор направлений защиты информации РАБИС-НП

Основные направления обеспечения информационной безопасности РАБИС-НП представлены на Рис. 1.

Тщательное планирование конфигурации локальных сетей учреждений, применение межсетевых экранов для изоляции сегментов локальной сети расчетной системы РАБИС-НП от локальных или глобальных сетей, используемых в других целях, обеспечение безопасной конфигурации аппаратных и системных средств вычислительных комплексов являются важнейшими задачами служб эксплуатации, информатизации и технической защиты информации на объектах автоматизации.

Обеспечение целостности дистрибутивов и пакетов модификации ТПК «РАБИС-НП» является сферой ответственности разработчика программного обеспечения.

Защита технологических и тестовых подсистем сопровождения ТПК «РАБИС-НП» обеспечивается службами эксплуатации и информатизации объектов автоматизации, и состоит в максимальном ограничении доступа к этим подсистемам.

Рис. 1. Важнейшие направления обеспечения информационной безопасности РАБИС-НП

Обеспечение информационной безопасности рабочих подсистем РАБИС-НП в процессе их эксплуатации является сферой ответственности администраторов программного обеспечения и, в первую очередь, администраторов информационной безопасности этих подсистем, выполняющих свои функции с помощью соответствующих АРМ подсистемы. Важнейшими функциями администраторов программного обеспечения являются: настройка АРМ и параметров программного комплекса, применение пакетов модификации ТПК «РАБИС-НП», запуск, мониторинг и остановку серверных процессов, и т.п. Важнейшими функциями администраторов информационной безопасности являются: управление пользователями подсистемы, управление их доступом к ресурсам РАБИС-НП, контроль целостности программного обеспечения подсистемы, анализ регистрационных журналов программного комплекса.

Важнейшим направлением обеспечения информационной безопасности рабочих подсистем РАБИС-НП является защита их электронного документооборота, включающая применение криптографических средств электронной цифровой подписи (ЭЦП, КА, ЗК) для защиты и аутентификации электронных документов, ведение архивов входящих и исходящих электронных сообщений системы, использование средств технологического контроля электронных документов и т.д.

2. ТРЕБОВАНИЯ К ЗАЩИТЕ АППАРАТНЫХ И СИСТЕМНЫХ СРЕДСТВ подсистем РАБИС-НП

   2. Требования к организационно-техническим мероприятиям по обеспечению защиты инфраструктуры локальных сетей, телекоммуникаций и серверов подсистем РАБИС-НП

Безопасность автоматизированной системы в значительной степени определяется конфигурацией системных средств объектов автоматизации – операционных систем, СУБД и сетевых сервисов. Чем сильнее «закрыты» локальные сети, операционные системы и СУБД вычислительных установок УБР, ТЦОИ и КЦОИ для неиспользуемых в РАБИС-НП и ИСУ ТИР сервисов и приложений, тем выше уровень информационной безопасности.

На объектах автоматизации должны выполняться следующие требования:

• cерверные вычислительные установки (центральные серверы подсистем обработки информации КЦОИ, серверы доступа, серверы контроля, серверы подсистем УБР и ТУ, серверы средств телекоммуникаций и т.п.) должны располагаться в отдельных помещениях, доступ в которые должен быть максимально ограничен организационно-техническими мерами;

• для регламентации сетевого доступа к серверам и рабочим станциям подсистем РАБИС-НП должна использоваться сегментация локальных вычислительных сетей соответствующих учреждений и подразделений Банка России (рекомендации по отделению платежных сегментов от других сегментов ЛВС УБР, ТУ, ТЦОИ и КЦОИ);

• средства управления маршрутизацией должны быть сконфигурированы для маршрутизации только необходимых для функционирования приложений РАБИС-НП и РЗ ИСУ ТИР сетевых сервисов; сетевые пакеты других сетевых служб и протоколов должны отвергаться;

• работа пользователей, имеющих особые привилегии (администраторов операционной системы, администраторов СУБД, администратора ПО - пользователя «xpress», администратора информационной безопасности – пользователя «security») должна организационно допускаться только с определенных рабочих станций, защищенных средствами защиты информации от НСД с активизированными средствами регистрации;

• доступ к консолям серверов должен быть ограничен организационно-техническими мерами;

• на рабочих станциях пользователей, работающих со средствами криптографической защиты информации, должны использоваться средства защиты информации от НСД;

• на рабочих станциях пользователей должна быть создана изолированная программная среда, позволяющая пользователям выполнять только функции, регламентированные технологическим процессом.

Администраторы ОС USS zOS вычислительных установок, на которых функционируют подсистемы ОИТУ КЦОИ должны обеспечивать выполнение следующих требований:

• использование служб управления паролями операционной системы и СУБД с обеспечением установленных Банком России требований к парольной защите (длина пароля на менее 8 символов, обязательное наличие букв нижнего и верхнего регистров, цифр и специальных символов, проверка вновь устанавливаемого значения пароля на отличие от ранее использованных значений, срок действительности не более 1 месяца, и т.д.);

• ограничение списка каталогов, включаемых в переменную окружения PATH, и периодическую проверку всех программ, доступных по этому пути. Особенно тщательно должны быть проверены программы, использующие s-бит. Наличие доступных пользователям прикладных suid- программ, владельцем которых является root, является абсолютно недопустимым;

• настройку операционной системы UNIX для разграничения доступа групп пользователей в стиле Berkeley;

• использование в файлах настройки (профайлах) пользователей АРМ КЦОИ, функционирующих в терминальном режиме, маски прав доступа для вновь создаваемых файлов (permission mask) со значением umask=006;

• ограничение списка «доверенных хостов» сети (в файлы host-эквивалентности: $HOME/.rhosts, /etc/hosts.equiv могут включаться только установки тестового и технологического комплексов сопровождения ПО);

• предотвращение возможности выхода пользователя в режим командной строки и возможности одновременной работы двух и более пользователей с одним и тем же именем в операционной системе (обеспечивается включением процедуры singlelogin.sh, поставляемой в составе ТПК РАБИС-НП, в профайлы пользователей терминальных АРМ в качестве последней процедуры, выполняемой при входе пользователя в систему).

При эксплуатации подсистемы КЦОИ следует также учитывать рекомендации, изложенные в отчетных материалах по НИР «Применение инструментальных средств управления доступом RACF для построения защищенной среды эксплуатации технико-программного комплекса РАБИС-НП, функционирующего на платформе IBM MP 3000 H50/OS390/Oracle в ГУ Банка России по Нижегородской области», выполненной Институтом проблем информатизации Российской Академии Наук в 2002 году.

1. Применение средств защиты информации от НСД на рабочих станциях пользователей и серверах РАБИС-НП

Для защиты от несанкционированного доступа к ПЭВМ рабочих станций и Intel- серверов подсистем РАБИС-НП, должны использоваться СЗИ от НСД типов: "Аккорд" (ОКБ САПР), "Dallas Lock" (Конфидент) или "Secret Net" (АО Информзащита), или иных, при наличии у них сертификатов, подтверждающих соответствие классу защищенности не ниже четвертого для средств вычислительной техники в среде используемой операционной системы, выданных сертифицирующими органами ФСТЭК России.