Диплом (1190269), страница 9

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 9)

В соответствии с Законом "Об информации, информационных технологиях и о защите информации" введено обязательное применение сертифицированных программно-аппаратных средств защиты информации. Поставщики средств должны иметь необходимые лицензии на распространение продукции и/или её обслуживание, а также иные лицензии в соответствии с законодательством РФ.

ИБ реализуется с помощью средств защиты и управления защитой, контроля и регистрации, обеспечения безотказной работы и восстановления систем и сетей.

Предотвращение кризисных ситуаций осуществляется средствами защиты, предохраняющими уязвимые места систем от воздействия факторов риска. В случае возникновения кризисных ситуаций, предотвращение которых средствами защиты невозможно, работа систем осуществляется по «Плану мероприятий по обеспечению непрерывной деятельности на случай непредвиденных обстоятельств» и по «Плану действий при возникновении чрезвычайных ситуаций».

ИБ достигается путем:

• предотвращения кризисных ситуаций, способных нанести ущерб программным и аппаратным средствам, информации, а также персоналу;

• минимизации ущерба и быстрейшего восстановления программных и аппаратных средств, информации, пострадавших в результате кризисных ситуаций, расследование причин и принятие соответствующих мер.

Меры по созданию режима защиты информационных ресурсов подразделяются на технические и организационно-правовые. При осуществлении технических мер приметаются следующие средства защиты автоматизированных систем. 1. Средства контроля доступа и назначения полномочий:

• средства контроля доступа в помещения; 

• средства идентификации и аутентификации при доступе к подсистемам программно-технических средств коллективного пользования;

• средства контроля доступа к серверам;

• средства контроля доступа к сети передачи данных;

• средства защиты на уровне ПК;

• средства протоколирования действий пользователей и обслуживающего персонала в системе.

Средства криптографической защиты информации (СКЗИ), применяемые для связи с внешними информационными, платежными и торговыми системами или для связи с клиентами.

Перечисленные средства необходимо использовать с учетом того, что каждый пользователь должен иметь минимум полномочий, необходимых и достаточных для решения своих задач. Применение данного принципа сводит к минимуму возможность НСД и облегчает расследование нарушений и фактов проникновения.

К организационно-правовым мероприятиям следует отнести наряду с общими обязательствами по сохранению коммерческой тайны, подписание специального обязательства о правилах пользования компьютерными сетями ООО СПК «Развитие». Отдельно оговариваются права на использование работником лицензионных программных продуктов, приобретаемых Обществом, и обязательства по порядку их использования и нераспространения.

Необходимым элементом обеспечения ИБ является однозначная идентификация (определение личности) и аутентификация (подтверждение личности) пользователей, применяемые в Обществе в виде парольной защиты. При этом требуется использовать обязательную парольную защиту в качестве базовой с предотвращением перехвата пароля. Пароль должен обновляться не реже 1 раза в 90 дней. (В соответствии с «Положением о парольной защите в информационных системах ООО «СПСР- ЭКСПРЕСС»)

Права доступа персонала к активам ООО СПК «Развитие» распределяются в соответствии с заявкой непосредственного руководителя.

При работе с приложениями также используется механизм аутентификации для доступа к узлам или другой аппаратуре, обрабатывающей конфиденциальную информацию, использовать усиление парольной защиты в виде специальных программноаппаратных средств.

Средства защиты серверов и каналообразующего телекоммуникационного оборудования предназначены для обеспечения конфиденциальности и целостности путем защиты от НСД к ЭВМ, среде исполнения процесса, областям пользователей, областям оперативной памяти и дискового пространства, данным на чтение/модификацию/уничтожение. Обеспечение доступности достигается средствами мониторинга и диагностики, а также с помощью средств и мер, обеспечивающих непрерывность работы.

Конкретные способы и методы использования средств защиты определяются особенностями конкретной системы или сервера и регламентируются планом защиты конкретной системы.

Телекоммуникационная сеть ООО СПК «Развитие» представляет собой совокупность локальных сетей ООО СПК «Развитие», филиалов, обособленных подразделений и представительств, а также опорной сети ООО СПК «Развитие» (сети провайдеров телекоммуникационных услуг). Основной задачей защиты телекоммуникационной сети является:

• обеспечение конфиденциальности передаваемой информации (предотвращение прослушивания трафика);

• целостность конфигурации и трафика сети;

• доступность ресурсов сети;

• контроль доступа для предотвращения НСД извне;

• контроль доступа и управления коммуникационным оборудованием локальной сети.

Задачи защиты сетей ООО СПК «Развитие» решаются на основе существующих программно-аппаратных коммуникационных средств. Те задачи, которые не могут быть решены на уровне транспортной службы сети, должны решаться средствами операционных систем и приложений.

При входе в сеть общего пользования (Internet) применяются следующие меры по защите Внутренней сети:

• взаимодействие с сетью общего пользования осуществляется через специальный шлюз;

• если сеть общего пользования используется для передачи конфиденциальной информации, то такая передача должна осуществляться с применением средств криптозащиты;

• доступ работников ООО СПК «Развитие» к сети общего пользования должен быть строго регламентирован.

Защита на уровне ПК является защитой рабочего места пользователя и одним из основных элементов комплексной защиты для однозначной идентификации «пользователь - рабочее место».

Средства защиты ПК должны обеспечивать:

• идентификацию и аутентификацию пользователя;

• невозможность изменения системных параметров компьютера, инсталляцию программного обеспечения, копирование данных на съемные носители информации;

• защиту системного и прикладного программного обеспечения, в том числе сетевого, от реконфигурации;

• отсутствие программ - вирусов и программ - закладок;

• невозможность физического доступа к аппаратным ресурсам ПК;

• запрет на применение считывающих устройств с внешних носителей информации, исключение делается для пользователей, имеющих разрешение Службы безопасности;

• ведение системного журнала по основным событиям;

• требование изменять установленные производителем настройки по умолчанию перед установкой системы в сетевую инфраструктуру (сменить установленные по умолчанию пароли, строки доступа, удалить ненужные для работы учетные записи).

На каждом рабочем месте должны быть зарегистрированы только два пользователя: непосредственно пользователь и администратор.

Криптографическая защита является единственно надежным средством защиты конфиденциальной информации при передаче по каналам связи. В каждой системе ООО СПК «Развитие» используется, как правило, штатное программно-аппаратное средство криптозащиты.

Внутренний порядок применения СКЗИ в АС определяется «Положением об использовании средств криптографической защиты информации». Разработка Инструкций по применению СКЗИ и по обращению и хранению носителей ключевой информации, их своевременное обновление, а также контроль за исполнением Инструкций осуществляется ведущим специалистом по информационной безопасности. Контроль и учет использования СКЗИ осуществляет ведущий специалист по информационной безопасности.

Средства криптографической защиты информации поставляется разработчиками с полным комплектом эксплуатационной документации, включая описания ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения. Средства криптографической защиты информации имеют строгий регламент использования ключей, предполагающий контроль со стороны ведущего специалиста по информационной безопасности за действиями пользователя на всех этапах работы с ключевой информацией (получения ключевого носителя, ввод ключей, использование ключей и сдача ключевого носителя).

Доступ к ключам шифрования разрешен только ответственным за их хранение и использование работникам, назначаемым Приказом по Обществу. Ключи хранятся только в строго определенных защищенных хранилищах и строго определенном виде. Запрещается хранить критичные аутентификационные данные после авторизации (даже в зашифрованном виде).

Помещения для размещения технических средств криптографической защиты информации находятся в зоне безопасности. Под зоной безопасности понимается территория ООО СПК «Развитие», в которой имеют право находиться только работники ООО СПК «Развитие», имеющие в неё допуск. Для доступа в помещение с регламентацией санкционированного права допуска используются системы контроля и учёта.

Главной задачей средств контроля является своевременное обнаружение и регистрация ситуаций, которые в соответствии с установленными факторами риска могут быть расценены как угрозы Обществу. Контроль включает в себя:

• регистрацию событий в целях профилактики информационной безопасности или же тех событий, которые могут быть расценены как угроза;

• выдачу соответствующих сообщений на консоль оператора или/и протоколирование параметров событий в системном журнале.

Данные электронные журналы доступны для чтения, анализа и резервного копирования только администратору соответствующего ПО, который несет персональную ответственность за полноту и точность отражения в журнале имевших место событий. Все журналы АС доступны для чтения ведущему специалисту по информационной безопасности, который осуществляет контроль использования информационных активов ООО СПК «Развитие».

Средства управления предназначены для оперативной реакции со стороны администраторов безопасности систем на различные, в т.ч. и кризисные ситуации, а также для настройки основных параметров системы.

Основными функциями управления являются:

• ликвидация аварийных ситуаций;

• конфигурирование программно-аппаратных средств подсистем;

• защита от НСД;

• регистрация пользователей и распределение ресурсов.

Организационные меры являются основным элементом, связывающим в единое целое средства и меры защиты, контроля и управления, а также правила их использования и применения. К организационным мерам относятся также разработка руководящих и нормативных документов и контроль за их выполнением.

Обеспечение антивирусной защиты в Обществе осуществляется в соответствии с Политикой антивирусной защиты информационной системы.

Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах АС осуществляется администратором антивирусной защиты, назначенным Приказом по Обществу. На всех ЭВМ ООО СПК «Развитие» настраивается автоматическая установка обновлений антивирусного программного обеспечения.

Антивирусное программное обеспечение развернуто на всех системах, подверженных воздействию вирусов (особенно рабочих станциях и серверах). Антивирусные механизмы должны быть актуальными, постоянно включенными и должны вести журналы протоколирования событий. На все системные компоненты и программное обеспечение устанавливаются самые свежие обновления безопасности, выпущенные производителем. Отключение антивирусных средств или отказ от автоматического обновления антивирусных баз не допускается.

Установка и обновление антивирусных средств контролируется работниками Дирекции по информационным технологиям.

Все факты модификации и разрушения данных на серверах или рабочих станциях, а также заражение их вирусами, классифицируются как значимые нарушения ИБ и могут стать предметом служебного расследования.

Ответственность за неисполнение или ненадлежащее исполнение требований антивирусной защиты возлагаются на каждого работника ООО СПК «Развитие», имеющего доступ к ЭВМ и/или АС.

Ресурсы сети Интернет в Обществе используются для ведения дистанционного обслуживания клиентов, получения и распространения информации, связанной с деятельностью ООО СПК «Развитие», информационно-аналитической работы в интересах ООО СПК «Развитие», обмена почтовыми сообщениями с клиентами и партнерами, а также ведения собственной хозяйственной деятельности. Любое иное использование ресурсов сети Интернет, решение о котором не принято руководством ООО СПК «Развитие» в установленном порядке, рассматривается как нарушение ИБ.

Подключение пользователей к сети Интернет производится администратором системы только при наличии надлежащим образом оформленной заявки на подключение.

Для контроля трафика в Обществе установлена система, учитывающая объем и содержание трафика каждого пользователя.

Статистика посещений ресурсов Интернета архивируется и хранится в течение шести месяцев. Полная статистика в целом по Обществу доступна только администратору системы учета трафика. Изменения в архиве не допускаются. Администратор системы учета трафика предоставляет руководителям структурных подразделений по их запросу отчет о статистике посещений работников своего подразделения за указанный в запросе период.

Основной целью защиты конфиденциальной речевой информации является предотвращение несанкционированного съёма информации по всевозможным каналам, которые могут иметь естественный характер или создаваться преднамеренно. Защита речевой информации представляет собой процесс, организуемый и поддерживаемый в Обществе с целью предупреждения ее утечки.

Возможными каналами утечки речевой информации являются:

• умышленное или неумышленное разглашение работниками ООО СПК «Развитие» сведений, отнесённых к коммерческой тайне;

• радиолинии телефонной связи;

• линии проводной телефонной связи;

Каналы утечки могут быть естественные и искусственные. Естественные каналы существуют в Обществе и для трансляции снимаемых сигналов не требуются какие-либо «закладные» технические средства. Искусственные каналы (с использованием внедренных технических устройств) создаются преднамеренно.

Противодействие утечке речевой информации представляет собой систему мер, направленную на выявление естественных и искусственных каналов утечки и предотвращению утечки по этим каналам. Противодействие должно носить непрерывный и плановый характер.

Меры противодействия утечки речевой информации делятся на административные и организационно-технические.

Административные меры:

• проведение категорирования служебных помещений ООО СПК «Развитие», в том числе в филиалах, обособленных подразделениях и представительствах;

• разработка инструкций по защите коммерческой тайны при проведении деловых встреч и переговоров, ведении телефонных разговоров и контроль их выполнения;

• разработка нормативных документов по порядку проведения обследований служебных помещений и технических средств на предмет определения естественных и искусственных каналов утечки;

• обеспечение режима доступа в служебные помещения.

Организационно-технические меры:

• проведение специальных обследований служебных помещений и технических средств; - проведение специальных обследований строящихся и ремонтируемых зданий и помещений;

• приобретение специальных технических средств обнаружения каналов утечки и их закрытия, организация учета и контроля их использования;

• оборудование категорированных помещений специальными средствами защиты от утечки информации;

• оборудование служебных помещений средствами разграничения доступа.

В связи с тем, что физический доступ к системам, предоставляет возможность получить контроль над устройствами и данными, а также украсть устройство или документ, он должен быть соответствующим образом ограничен.

Характеристики

Список файлов ВКР