Обеспечение информационной безопасности на предприятии. Часть 3.

---

Страницы:   1   2   3

---

3.7. Физическая безопасность

Физические меры защиты предназначены для создания физических препятствий на возможных путях проникновения потенциальных нарушителей на территорию предприятия, к компонентам АС и доступа к защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

1. Для разграничения доступа в помещения, где располагается серверное оборудование и другие критически важные объекты АС, целесообразно использовать системы физической защиты, позволяющие регистрировать и контролировать доступ исполнителей и посторонних лиц, основанные на таких методах идентификации и аутентификации (например: магнитные и электронные карты с личными данными, биометрические характеристики личности пользователей и т.п.).
2. Эксплуатация АРМ и серверов АС должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящимися под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (АРМ, документов, реквизитов доступа и т.п.).
3. Размещение и установка АРМ и серверов должна исключать возможность визуального просмотра вводимой (выводимой) информации лицами, не имеющими к ней отношения.
4. Уборка помещений, в которых обрабатывается или хранится информация ограниченного доступа и/или служебная информация, должна производиться в присутствии ответственного, за которым закреплено данное помещение или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.
5. В помещениях во время обработки и отображения на АРМ информации ограниченного доступа должны находиться только работники, допущенные к работе с данной информацией. Запрещается прием посетителей в помещениях, когда осуществляется обработка защищаемой информации.
6. Для хранения служебных документов и машинных носителей с защищаемой информацией помещения снабжаются сейфами и металлическими шкафами. Помещения должны быть обеспечены средствами уничтожения документов.
7. Физические барьеры должны по необходимости простираться от пола до потолка, чтобы предотвратить несанкционированный доступ в помещение.
8. Запрещается предоставлять посторонним лицам информацию о том, что делается в защищенных областях.
9. Для обеспечения должного уровня безопасности и для предотвращения вредоносных действий запрещается работать в одиночку (без надлежащего контроля) с критически важными компонентами АС.
10. В нерабочее время защищенные области должны быть физически недоступны и периодически проверяться охраной.
11. Персоналу, осуществляющему техническое обслуживание сервисов, должен быть предоставлен доступ в защищенные области только в случае необходимости и после получения разрешения.
12. Запрещается использование фотографической, звукозаписывающей и видео аппаратуры в защищенных областях, за исключением санкционированных случаев.
13. По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану с включением сигнализации и с отметкой в книге приема и сдачи служебных помещений.
14. Выносить оборудование, данные и программы за пределы предприятия без установленного документального оформления запрещается.

3.7.1. Защита центров данных и компьютерных залов

Центры данных, серверные комнаты и компьютерные залы, поддерживающие критически важные сервисы организации, должны иметь надежную физическую защиту. При выборе и обустройстве соответствующих помещений необходимо принять во внимание возможность повреждения оборудования в результате пожара, наводнения, взрывов, гражданских беспорядков и других аварий. Следует также рассмотреть угрозы безопасности, которые представляют соседние помещения. Необходимо соблюдать следующие меры:

1. Разместить ключевые системы подальше от общедоступных мест и мест прохождения общественного транспорта.
2. Элементы здания не должны привлекать внимание и выдавать свое назначение (по возможности); не должно быть явных признаков как снаружи, так и внутри здания, указывающих на присутствие вычислительных ресурсов.
3. Внутренние телефонные справочники не должны указывать на местонахождение вычислительных ресурсов.
4. Опасные и горючие материалы следует хранить в соответствии с инструкциями на безопасном расстоянии от месторасположения вычислительных ресурсов.
5. Резервное оборудование и носители информации, на которых хранятся резервные копии, следует разместить на безопасном расстоянии, чтобы избежать их повреждения в случае аварии на основном рабочем месте.
6. Следует установить соответствующее сигнальное и защитное оборудование, например, тепловые и дымовые детекторы, пожарную сигнализацию, средства пожаротушения, а также предусмотреть пожарные лестницы. Сигнальное и защитное оборудование необходимо регулярно проверять в соответствии с инструкциями производителей. Сотрудники должны быть надлежащим образом подготовлены к использованию этого оборудования.
7. Процедуры реагирования на чрезвычайные ситуации должны быть задокументированы, доведены до работников и регулярно тестироваться.

3.7.2. Правила использования рабочего стола

Носители информации, оставленные на рабочих столах, могут быть повреждены или уничтожены в результате аварии, а также могут привести к утечке конфиденциальной информации. В связи с этим предлагаются следующие рекомендации по использованию рабочего стола:

• бумажная документация и съемные носители, когда они не используются, должны храниться в специальных шкафах, особенно в нерабочее время. В случае невозможности хранения и съемных носителей, пользователи обязаны принять все меры по недопущению посторонних лиц к служебной информации.
• персональные компьютеры и компьютерные терминалы, когда они не используются, необходимо защитить с помощью блокировки с ключом, паролей или других средств контроля.

3.7.3. Источники электропитания

Оборудование необходимо защищать от сбоев в системе электропитании и других неполадок в электрической сети. Источник питания должен соответствовать спецификациям производителя оборудования. Следует рассмотреть необходимость использования резервного источника питания. Для оборудования, поддерживающего критически важные производственные сервисы, рекомендуется установить источник бесперебойного питания. План действий в чрезвычайных ситуациях должен включать меры, которые необходимо принять по окончании срока годности источников бесперебойного питания. Оборудование, работающее с источниками бесперебойного питания, необходимо регулярно тестировать в соответствии с рекомендациями изготовителя.

Кабели электропитания и сетевые кабели для передачи данных необходимо защищать от вскрытия для целей перехвата информации и повреждения. Для уменьшения такого риска в помещениях организации предлагается реализовать следующие защитные меры:

• кабели электропитания и линии связи, идущие к предприятию, должны быть проведены под землей (по возможности) или защищены надлежащим образом с помощью других средств;
• необходимо рассмотреть меры по защите сетевых кабелей от их несанкционированного вскрытия для целей перехвата данных и от повреждения, например, воспользовавшись экранами или проложив эти линии так, чтобы они не проходили через общедоступные места.

3.7.4. Защита оборудования, используемого за пределами предприятия

Использование оборудования информационных систем, поддерживающих производственные процессы, за пределами предприятия должно быть санкционировано руководством. Уровень защиты такого оборудования должен быть таким же, как и для оборудования, расположенного на территории предприятия. Предлагаются следующие рекомендации:

• работникам запрещается использовать персональные компьютеры для продолжения работы на дому;
• во время поездок запрещается оставлять оборудование и носители информации в общедоступных местах без присмотра;
• портативные компьютеры следует провозить в качестве ручного багажа;
• во время поездок портативные компьютеры уязвимы по отношению к кражам, потери и несанкционированного доступа. Для таких компьютеров следует обеспечить надлежащую защиту доступа, чтобы предотвратить несанкционированный доступ к хранящейся в них информации;
• следует всегда соблюдать инструкции производителя, касающиеся защиты оборудования, например, защищать оборудование от воздействия сильных электромагнитных полей.

3.8. Технические средства

3.8.1. Требования к подсистеме идентификации

 

• Реализация механизмов идентификации является обязательной для всех подсистем АС должна удовлетворять следующим базовым требованиям:

— уникальность идентификации, в том что каждому пользователю АС должен быть присвоен уникальный идентифицирующий признак, в качестве которого могут быть использованы:

— уникальная строка символов (логин, или имя пользователя);
— уникальный объект, такой как смарт-карта или жетон.

• Возможность отслеживания действий пользователя. АС должна иметь возможность идентификации всех активных пользователей, а также протоколирования действий конкретных пользователей в произвольный момент времени.
• Управление идентификаторами пользователей. Процедуры контроля пользовательских учётных записей должны гарантировать принадлежность всех идентификаторов авторизованным пользователям.
• Управление неактивными идентификаторами пользователей. В случае не активности пользователя в течение двух месяцев, его учётная запись должна быть заблокирована с возможностью последующего восстановления.

3.8.2 Требования к подсистеме аутентификации.

Реализация механизмов аутентификации является обязательной для всех подсистем АС и должна удовлетворять следующим базовым требованиям:

• В качестве уникального признака, обеспечивающего реализацию механизмов аутентификации, могут быть использованы:

— секретная информация в виде последовательности символов некоторого конечного алфавита (пароль). (Требования к выбору пароля будут определены позже);

— уникальный, не допускающий копирования предмет (жетон или смарт-карта);

— средства биометрической аутентификации на основании анализа отпечатков пальцев, сетчатки или радужной оболочки глаза, формы кисти руки, а также других уникальных биометрических параметров.

• Выбор механизма аутентификации и средств, реализующих ту или иную технологию, осуществляется по согласованию с администратором информационной безопасности и организацией разработчиком информационной АС (подсистемы).
• Вне зависимости от особенностей применяемой технологии, применяемый уникальный признак ассоциируется с конкретным идентификатором пользователя, который, в свою очередь, принадлежит конкретному лицу (в исключительных случаях — лицам).

3.8.3. Требования к парольной подсистеме.

Парольная подсистема является основой механизмов аутентификации. При использовании паролей в качестве уникальных аутентифицирующих признаков необходимо обеспечить выполнение следующих требований:

• Минимальная длина пароля составляет 8 символов, максимальная длина не регламентируется и определяется возможностями конкретной среды. В случае необходимости системный администратор может по согласованию с администратором информационной безопасности установить другую фиксированную длину пароля с учётом специфики используемой среды.
• В числе символов пароля в обязательном порядке должны присутствовать символы минимум из двух следующих алфавитов:

Латинские прописные буквы:

{A B C D E F G H I J K L M N O P Q R S T U V W X Y Z}

Латинские строчные буквы:

{a b c d e f g h i j k l m n o p q r s t u v w x y z}

Арабские цифры:

{0 1 2 3 4 5 6 7 8 9}

Специальные символы:

{# $ ^ & * _ — + % @},

• Использование в качестве пароля дат, имён и прочих осмысленных последовательностей символов (в том числе в русской раскладке клавиатуры), не допускается.
• Пароль не может совпадать с уникальным именем пользователя или с именем пользователя, записанным в обратном порядке.
• Срок действия пароля устанавливается системным администратором.
• Изменение пароля пользователя производится пользователем самостоятельно.
• Изменение паролей уровня администратора сети производится системным администратором.
• Досрочное изменение пароля производится в следующих случаях:

в случае дискредитации пароля (т.е. если существует возможность того, что пароль стал известен другому лицу);

в случае попыток несанкционированного проникновения в АС с использованием уникального имени лица, использующего данный пароль;

в случае утери (невозможности вспомнить) пользователем пароля;

в случае прекращения работы пользователя в рамках АС.

• Системный администратор осуществляет инструктаж пользователей в отношении правил работы с паролями. Акцентируется внимание на недопустимости передачи паролей третьим лицам, а также записи паролей на неучтенный носитель.
• Пароли пользователей могут храниться в системе исключительно в зашифрованном виде.
• Возможность просмотра паролей пользователей кем-либо, включая администраторов, не допускается.
• Во избежание непредвиденных ситуаций, связанных с человеческим фактором, парольная информация учётных записей уровня администратора сети должна быть разделена между сетевым администратором и администратором информационной безопасности.
• В случае увольнения сотрудника с правами администратора незамедлительно производится досрочная смена всех паролей для пользователей уровня администратора сети.

3.8.4. Требования к системам регистрации сетевых событий

Регистрация сетевых событий представляет собой механизм подотчетности, фиксирующий все события, касающиеся информационной безопасности.

1. Реализация механизма регистрации и аудита сетевых событий преследует следующие цели:

• обеспечение подотчетности пользователей и администраторов;
• обеспечение возможности реконструкции последовательности событий;
• обнаружение попыток нарушений информационной безопасности;
• предоставление исходного материала для последующего анализа эффективности средств защиты.

2. Средства регистрации сетевых событий должны предоставлять следующие возможности:

• ведение и анализ журналов регистрации событий безопасности (системных журналов). Журналы регистрации должны вестись для всех средств защиты информации, каждого сервера и всех рабочих станций АС;
• оперативное ознакомление системного администратора с содержимым любого системного журнала;
• получение твёрдой копии журнала регистрации в виде, удобном для последующего анализа;
• упорядочение системных журналов по временным признакам;
• оперативное оповещение администратора информационной безопасности о попытках НСД к ресурсам АС;
• защита информации конфиденциального и служебного характера, содержащейся в системных журналах, от несанкционированного воздействия.

3.9. Функциональные средства

Под функциональными средствами понимаются методы обеспечения безопасности АС, имеющие отношение, прежде всего, к механизмам, выполняемым при непосредственном участии работников предприятия (человеческого фактора).

3.9.1. Работа с персоналом

Меры по организации системы безопасности при работе с АС персоналом призваны минимизировать ущерб, наносимый системе при помощи действий человека, как намеренных, так и не преследующих разрушительных целей. Защита обеспечивается:

1. Неукоснительным соблюдением пользователями правил доступа к АС и выполнение ими своих обязанностей в соответствии с положениями и инструкциями.
2. Реализацией ограничения доступа пользователей к ресурсам АС. При формировании матриц доступа необходимо руководствоваться правилом минимизации полномочий, согласно которому каждый пользователь обеспечивается минимальным количеством ресурсов, необходимых для выполнения функциональных обязанностей.
3. Формированием перечня ресурсов, предоставляемых пользователю, осуществляется на основании занимаемой должности и выполняемых работ. До получения прав доступа пользователь АС должен быть ознакомлен с положениями Политики информационной безопасности и предупреждён об ответственности за невыполнение правил Политики безопасности.
4. Разделением выполнения всех критичных для функционирования АС действий между несколькими лицами. Не допускается возникновение ситуации, когда только один человек имеет права доступа ко всем компонентам АС. В частности, парольная информация учётных записей уровня администратора сети должна быть разделена между системным администратором и администратором безопасности.
5. Не допускается передача парольной информации пользователями сторонним лицам, а также хранения ее на бумажных или электронных носителях в открытом (незашифрованном) виде.

3.9.2. Планирование непрерывной работы

Мероприятия по планированию непрерывной работы обеспечивают функционирование организации в случае сбоя в информационной поддержке и включают в себя следующие требования:

1. Системный администратор совместно с администратором информационной безопасности разрабатывают инструкции исправления штатных неполадок для всех компонентов сети.
2. Системный администратор совместно с администратором информационной безопасности разрабатывает планы восстановления данных, циркулирующих в АС, обеспечивает возможность продолжения выполнения критических заданий в кратчайшие сроки в случае возникновения непредвиденных ситуаций.
3. Конечные пользователи сети инструктируются системным администратором и администратором информационной безопасности.

Письменные описания действий при возникновении аварийных ситуаций должны быть доступны пользователям.

3.9.3. Средства поддержки программных приложений

Средства поддержки программных приложений призваны обеспечить контроль легальности установленного программного обеспечения при выполнении следующих требований:

1. При введении в эксплуатацию приобретённого или разработанного программного обеспечения необходимо строго следовать определенным ранее положением.
2. Количество приобретённых лицензий должно соответствовать количеству автоматизированных рабочих мест, на которых установлен программный продукт.
3. Копия легального программного обеспечения, установленная на переносной компьютер (ноутбук), не считается нелегальной и не требует приобретения дополнительных лицензий.
4. Изменения программных приложений или их отдельных компонентов производятся только по согласованию с администратором информационной безопасности.
5. Не допускается использование версий программного обеспечения, не прошедших тестирование.
6. Пользователи системы не имеют права самостоятельно устанавливать, модифицировать или переконфигурировать программное обеспечение без письменного разрешения системного администратора и администратора информационной безопасности.

3.9.4. Средства обеспечения целостности информации

Средства обеспечения целостности информации предназначены для защиты от случайного или преднамеренного изменения, или уничтожения и включают в себя реализацию следующих мер:

• На каждой рабочей станции должно быть установлено антивирусное программное обеспечение, включающее:

Антивирусный сканер.

Резидентный антивирусный монитор.

Систему антивирусной защиты электронной почты.

Дисковый ревизор, осуществляющий контроль целостности критических файлов с использованием контрольных сумм.

• Сигнатуры антивирусных баз должны обновляться ежедневно в автоматическом или ручном режиме.
• Должна проводиться регулярная проверка программ и данных в системах, поддерживающих критически важные информационные и технологические процессы. Наличие случайных файлов и несанкционированных исправлений должно быть расследовано.
• Съемные накопители информации неизвестного происхождения должны проверяться на отсутствие вирусов до их использования.
• В автоматическом режиме, с целью последующего анализа, должны фиксироваться следующие данные:

идентификатор пользователя, который последний входил в систему;

дата и время последнего входа и выхода из системы;

число неудачных попыток входа в систему.

• Функции администратора, связанные с назначением прав и полномочий пользователей, не должны быть доступны прочим пользователям и процессам.
• Контроль целостности конкретных программных и информационных ресурсов должен обеспечиваться как минимум одним из следующих способов:

Средствами подсчёта и анализа контрольных сумм.

Средствами электронной цифровой подписи.

Средствами сравнения критичных ресурсов с их эталонными копиями.

• Не допускается работа пользователя (в т.ч. администратора) на рабочей станции другого пользователя без разрешения администратора информационной безопасности. Для пользователя, получившего разрешение на работу, не должны быть доступны файлы и каталоги, созданные владельцем рабочей станции. Работа пользователей на рабочих станциях администраторов без контроля с их стороны не допускается.

3.9.5. Документирование

Документирование механизмов безопасности является средством защиты, позволяющим формализовать защитные и функциональные процедуры обеспечения информационной безопасности, характерные для данной системы.

Обязанности должностных лиц в области документирования средств обеспечения информационной безопасности:

1. Администратор информационной безопасности, руководствуясь результатами анализа безопасности сети, составляет документацию.
2. Администратор информационной безопасности обеспечивает автоматическое введение файлов журналов, отражающих все действия пользователя в отношении механизмов обеспечения информационной безопасности.
3. Администратор информационной безопасности на основании данных, предоставленных системным администратором, разрабатывает и модифицирует Политику безопасности, а также рекомендации по реализации конкретных мер защиты сети в виде приложений к Политике безопасности.

3.9.6. Осведомлённость и обучение специалистов

1. Каждый пользователь системы до получения прав доступа к системе должен быть проинструктирован о принятых мерах по обеспечению информационной безопасности.
2. В случае возникновения затруднений в отношении реализации установленных правил, пользователь должен обратиться к системному администратору за помощью.
3. Пользователи, не владеющие установленными правилами, к работе с использованием АС не допускаются.
4. Администратор информационной безопасности и системные администраторы должны обладать уровнем профессиональной подготовки (пройти обучение), достаточным для качественного исполнения функциональных обязанностей.

3.9.7. Действия в случаях возникновения происшествий

В случае возникновения событий, приводящих к подавлению механизмов обеспечения информационной безопасности или являющихся попыткой преодолеть установленные защитные меры, последовательность ответных действий должна быть следующей:

1. Определение типа происшествия;
2. Локализация источника угрозы;
3. Выработка ответных действий и согласование их с администратором информационной безопасности;
4. Реализация ответных действий;
5. Анализ причины возникновения угрозы и разработка мер по устранению этой причины в последующем.

Каждый из этапов должен сопровождаться документом, описывающим в произвольной форме последовательность предпринятых действий.

 

Заключение

Процесс широкого внедрения информационных технологий в жизни современных людей вызвал появление ряда общих проблем информационной безопасности:

— необходимость гарантии непрерывности и корректности функционирования основных информационных систем (ИС), главной целью которых является обеспечение безопасности населения и экологической обстановки;

— необходимость обеспечения защиты имущественных прав граждан, предприятий и государства в рамках требований гражданских, административных и хозяйственных прав (в том числе и защита секретов и интеллектуальной собственности);

— необходимость защиты гражданских прав и свобод, которые гарантирует действующее законодательство (в том числе и право на доступ к информации).

В ходе дипломного проектирования были реализованы следующие задачи:

• Проведен анализ информационной системы на рассматриваемой организации;
• Проведен анализ и классификация источников угроз информации;
• Осуществлена разработка частной модели угроз информационной безопасности;
• Осуществлена разработка политики информационной безопасности;
• Осуществлена разработка регламентов, положений и инструкций в области информационной безопасности.

Большинство методов защиты информации от угроз основаны на мероприятиях инженерного и технического рода. Инженерно-технической защитой считаются специальные органы, технические средства и мероприятия, функционирующие с целью совместного выполнения определенных задач по защите информации.

Инженерно-техническая защита представлена следующими средствами:

— физическими средствами;

— аппаратными средствами;

— программными средствами;

— криптографическими средствами.

К физическим средствам относятся всевозможные инженерные средства и сооружения, целью которых является препятствие физическим проникновениям злоумышленников к объектам защиты и защита персонала (личных средств безопасности), материальных средств и финансов, информации от противоправных действий.

 

Список используемой литературы

1. Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
2. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
3. Постановление Правительства Российской Федерации от 03.11.94 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»;
4. Гражданский кодекс Российской Федерации (ГК РФ);
5. Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;
6. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
7. ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа»;
8. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;
9. ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»;
10. ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»;
11. ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»;
12. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;
13. ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий»;
14. ГОСТ Р ИСО/МЭК 27001-2005 «Информационные технологии. Технологии безопасности. Система управления информационной безопасностью»;
15. Нормативно-методический документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный заместителем директора ФСТЭК России 15 февраля 2008 года;
16. Нормативно-методический документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный заместителем директора ФСТЭК России 14 февраля 2008 года;
17. Нормативно-методический документ «Положение о методах и способах защиты информации в информационных системах персональных данных», утвержденный приказом директора ФСТЭК России от 05 февраля 2010 года №58;
18. Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Гостехкомиссия России. 2002 год;
19. Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2007 года №781;
20. Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15 сентября 2008 года №687;
21. Руководящий документ «Защита от несанкционированного доступа к информации. Термины и определения». Гостехкомиссия России. 1992 год;
22. Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации». Гостехкомиссия России. 1992 год;
23. Указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года №188 (с изменениями и дополнениями от 23 сентября 2005 года).

---

Страницы:   1   2   3

---