- •Актуальность проблемы обеспечения безопасности информационных технологий Место и роль информационных систем в управлении бизнес-процессами
- •Основные причины обострения проблемы обеспечения безопасности информационных технологий
- •Защита информационных технологий как процесс управления рисками. Сложность количественной оценки рисков
- •Особенности современных автоматизированных систем как объектов защиты
- •Основные понятия в области безопасности информационных технологий Что такое безопасность информационных технологий
- •Информация и информационные отношения
- •Субъекты информационных отношений, их безопасность
- •Цель защиты автоматизированной системы и циркулирующей в ней информации
- •Угрозы безопасности информационных технологий Уязвимость основных структурно-функциональных элементов распределённых автоматизированных систем
- •Угрозы безопасности информации, автоматизированных систем и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Классификация каналов проникновения в автоматизированную систему и утечки информации
- •Неформальная модель нарушителя
- •Виды мер и основные принципы обеспечения безопасности информационных технологий Виды мер противодействия угрозам безопасности
- •Достоинства и недостатки различных видов мер защиты
- •Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе
- •Правовые основы обеспечения безопасности информационных технологий Введение
- •Защищаемая информация
- •Лицензирование
- •Сертификация средств защиты и аттестация объектов информатизации
- •Новое поколение нормативно-технических документов (гост р исо/мэк 15408-2008)
- •Часть 2 рд содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определённым правилам.
- •Специальные требования и рекомендации по технической защите конфиденциальной информации
- •Юридическая значимость электронных документов с электронной подписью
- •Ответственность за нарушения в сфере защиты информации
- •Государственная система защиты информации Введение
- •Государственная система защиты информации
- •Организация защиты информации в системах и средствах информатизации и связи
- •Контроль состояния защиты информации
- •Финансирование мероприятий по защите информации
- •Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты Основные механизмы защиты информационных систем
- •Разграничение доступа зарегистрированных пользователей к ресурсам автоматизированной системы
- •Регистрация и оперативное оповещение о событиях безопасности
- •Криптографические методы защиты информации
- •Контроль целостности программных и информационных ресурсов
- •Обнаружение атак
- •Защита периметра компьютерных сетей
- •Управление механизмами защиты
- •Страхование информационных рисков
- •Организационная структура системы обеспечения безопасности информационных технологий Понятие технологии обеспечения (управления) безопасности информации и ресурсов в автоматизированной системе
- •Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала автоматизированной системы
- •Политика безопасности организации
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Распределение функций по обеспечению безопасности информационных технологий
- •Система организационно-распорядительных документов по обеспечению безопасности информационных технологий
- •Документы , регламентирующие правила парольной и антивирусной защиты Инструкция по организации парольной защиты
- •Инструкция по организации антивирусной защиты
- •Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы Допуск сотрудников подразделений к работе с ас
- •Обеспечение и контроль физической целостности и неизменности конфигурации аппаратно-программных средств автоматизированной системы
- •Регламентация процессов обслуживания и осуществления модификации аппаратных и программных средств автоматизированной системы
- •Процедура внесения изменений в конфигурацию аппаратных и программных средств защищённых серверов и рабочих станций
- •Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач Основы процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
- •Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
- •Назначение, возможности, и основные защитные механизмы межсетевых экранов Введение
- •Мэ - основные сведения
- •Классификация мэ
- •Варианты расположения мэ
- •Политика безопасности и мэ
- •Недостатки мэ
- •Что такое «HoneyNet»?
Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы Допуск сотрудников подразделений к работе с ас
Допуск сотрудников подразделений к работе с автоматизированной системой и доступ к её ресурсам должен быть строго регламентирован.
В рамках разрешительной системы (системы авторизации) допуска устанавливается:
кто, кому, при каких условиях, к каким ресурсам АС и на какие виды доступа может давать разрешения;
система санкционирования и разграничения доступа, которая предполагает определение для всех пользователей информационных и программных ресурсов, доступных им для чтения, модификации, удаления, выполнения и т.п.;
как реализуется процедура допуска.
Систему санкционирования доступа целесообразно строить на основе структурно функционального (заданного) подхода к разделению всего множества защищаемых ресурсов АС. Отдельная задача должна описывать все используемые при её решении ресурсы (файлы, каталоги, таблицы баз данных и т.п.), все категории пользователей (роли в задаче) и права доступа для каждой такой категории к ресурсам задачи. Описания задач в виде формуляров должны формироваться с участием специалистов по сопровождению данных задач и системных администраторов (администраторов баз данных) и могут храниться в архиве эталонных дистрибутивов программ.
Полномочия руководителей подразделений давать разрешения на допуск к решению тех или иных задач должны быть закреплены решениями (приказами) высшего руководства организации. Как правило, задачи закрепляются за конкретными подразделениями, а права допуска сотрудников этих подразделений к ресурсам этих задач предоставляются руководителям подразделений.
Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно «Инструкции по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы», в которой должны быть отражены следующие основные вопросы.
Правила именования пользователей
С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе с конкретной подсистемой АС, должно быть сопоставлено персональное уникальное имя (бюджет или учётная запись пользователя), под которым он будет регистрироваться и работать в автоматизированной системе. В случае производственной необходимости сотрудникам могут быть сопоставлены несколько уникальных имён (учётных записей).
Использование несколькими сотрудниками при работе в АС одного и того же имени пользователя («группового имени») должно бьпъ ЗАПРЕЩЕНО.
Все операции по ведению баз данных и допуск сотрудников подразделений к работе с этими базами данных должны производиться в соответствии с технологическими инструкциями. Распределение имён, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на специальных пользователей - администраторов баз данных.
Учётные записи всех пользователей должны быть «привязаны» к конкретным рабочим станциям (к номерам сетевых карт) или к сегменту сети (группе рабочих станций), закреплённых за конкретным подразделением организации. При этом могут использоваться, как штатные средства защиты СУБД и операционных систем, так и дополнительные средства защиты.
Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в месяц.
Процедура авторизации сотрудников
Процедура регистрации (создания учётной записи) пользователя для сотрудника и предоставления ему (или изменения его) прав доступа к ресурсам АС инициируется заявкой начальника подразделения (отдела, сектора), в котором работает данный сотрудник. В заявке указывается:
содержание запрашиваемых изменений (регистрация нового пользователя АС, удаление учётной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам АС ранее зарегистрированного пользователя);
наименование подразделения, должность, фамилия, имя и отчество сотрудника;
имя пользователя (учётной записи) данного сотрудника (при изменении полномочий и прав доступа);
полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путём указания решаемых пользователем задач на конкретных рабочих станциях АС). Наименования задач должны указываться в соответствии с формулярами задач, наименования рабочих станций (компьютеров) - в соответствии с формулярами этих рабочих станций.
Если полномочий непосредственного начальника недостаточно, заявку может визировать вышестоящий руководитель, утверждая тем самым производственную необходимость допуска (изменения прав доступа) конкретного сотрудника к необходимым для решения им указанных задач ресурсам АС.
Затем руководители подразделений автоматизации и обеспечения безопасности ИТ рассматривают представленную заявку и подписывают задание соответствующим системным администраторам (серверов, баз данных) и администратору специальных средств защиты информации от несанкционированного доступа (СЗИ НСД) на внесение необходимых изменений в списки пользователей соответствующих подсистем.
На основании заявки (задания) системный администратор сети в соответствии с формулярами указанных задач (хранящихся в архиве эталонных дистрибутивов (АЭД) программ), и документацией на средства защиты сетевых операционных систем производит необходимые операции по созданию (удалению) учётной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам АС, включению его в соответствующие ролям задач группы пользователей и другие необходимые действия.
Аналогичные операции для систем управления базами данных (СУБД) выполняет администратор баз данных.
Администратор СЗИ НСД в соответствии с формулярами указанных задач и Руководством администратора системы защиты от НСД производит необходимые операции по регистрации нового пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора, например iButton) и прав доступа к ресурсам указанных в заявке рабочих станций, включению его в соответствующие задачам системные группы пользователей и другие необходимые операции.
После внесения изменений в списки пользователей администратор СЗИ НСД должен обеспечить соответствующие категориям защиты указанных рабочих станций настройки средств защиты. Проверка правильности настроек средств защиты должна осуществляться с участием сотрудника, ответственного за эксплуатацию конкретной рабочей станции, согласно «Порядку проверки работоспособности системы защиты после установки (обновления) программных средств АС и внесения изменений в списки пользователей».
По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписями исполнителей - системного администратора, администратора баз данных и администратора СЗИ НСД.
Сотруднику, зарегистрированному в качестве нового пользователя системы, под роспись сообщается имя соответствующего ему пользователя (учётная запись), выдаётся персональный идентификатор и личные ключевые дискеты (для работы в режиме усиленной аутентификации и работы со средствами криптографической защиты) и начальное(-ые) значение(-ия) пароля(-ей), которое(-ые) он обязан сменить при первом же входе в систему (при первом подключении к АС).
Исполненная заявка передаётся в подразделение и хранится в архиве у ответственного за информационную безопасность подразделения (при его отсутствии - у руководителя подразделения). Копии исполненных заявок могут находиться также в подразделении автоматизации (у системных администраторов) и в подразделении обеспечения безопасности ИТ. Они могут впоследствии использоваться:
для восстановления бюджетов и полномочий пользователей после аварий в
для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам автоматизированной системы при разборе конфликтных ситуаций;
для проверки правильности настройки средств разграничения доступа к ресурсам автоматизированной системы.
Документы, регламентирующие порядок изменения конфигурации аппаратно-программных средств автоматизированной системы
Требования к документированию аппаратно программных средств автоматизированной системы
Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация (с которых возможен доступ к защищаемым ресурсам), должна соответствовать кругу возложенных на сотрудников (пользователей данного АРМ) функциональных обязанностей. В соответствии с принципом «минимизации полномочий» все неиспользуемые в работе (лишние) устройства ввода- вывода информации на таких АРМ должны быть отключены (удалены), ненужные для работы программные средства и данные с дисков АРМ также должны быть удалены.
Все аппаратные и программные ресурсы защищённых компьютеров должны быть установленным порядком категорированы (для каждого ресурса должен быть определён требуемый уровень защищённости). Подлежащие защите ресурсы системы (информационные файлы, задачи, программы, АРМ) подлежат учёту (на основе использования соответствующих формуляров или специализированных баз данных).
Все программное обеспечение (разработанное специалистами организации, полученное централизованно или приобретённой у фирм-производителей) должно установленным порядком проходить испытания и передаваться в фонд алгоритмов и программ (архив эталонных дистрибутивов). В подсистемах АС должны устанавливаться и использоваться только полученные установленным порядком из АЭД программные средства.Использование в АС ПО, неучтённого в АЭД, должно быть запрещено.
На всех АРМ, подлежащих защите, должны быть установлены необходимые технические средства защиты (соответствующие категории данных АРМ).
Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами).