Дисциплина Информационная безопасность Часть 3
Организационные меры защиты информации Учебные вопросы 1. Организационная структура, основные функции службы компьютерной безопасности. 2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации. 3. Практические организационные меры защиты информации
1. Организационная структура, основные функции службы компьютерной безопасности. • Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в АС может быть (а при больших объемах защищаемой информации - должна быть) создана специальная штатная служба защиты (служба компьютерной безопасности). • Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее функционирования. Основные функции службы заключаются в следующем : • формирование требований к системе защиты в процессе создания АС; • участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
1. Организационная структура, основные функции службы компьютерной безопасности. • планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС; • распределение между пользователями необходимых реквизитов защиты; • наблюдение за функционированием системы защиты и ее элементов; • организация проверок надежности функционирования системы защиты; • обучение пользователей и персонала АС правилам безопасной обработки информации; • контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
1. Организационная структура, основные функции службы компьютерной безопасности • принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты. Организационно-правовой статус службы защиты определяется следующим образом: • численность службы защиты должна быть достаточной для выполнения всех перечисленных выше функций; • служба защиты должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией; • штатный состав службы защиты не должен иметь других обязанностей, связанных с функционированием АС; • сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура АС и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;
1. Организационная структура, основные функции службы компьютерной безопасности • руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации; • службе защиты информации должны обеспечиваться все условия, необходимые для выполнения своих функций. Естественно, все эти задачи не под силу одному человеку, особенно если организация (компания, банк и др. ) довольно велика. Более того, службу компьютерной безопасности могут входить сотрудники с разными функциональными обязанностями. Обычно выделяют четыре группы сотрудников (по возрастанию иерархии):
1. Организационная структура, основные функции службы компьютерной безопасности • • • Сотрудник группы безопасности. В его обязанности входит обеспечение должного контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности. При децентрализованном управлении каждая подсистема АС имеет своего сотрудника группы безопасности. Администратор безопасности системы. В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления (если в этом возникает необходимость) и за хранением резервных копий. Администратор безопасности данных. В его обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами.
1. Организационная структура, основные функции службы компьютерной безопасности • Руководитель (начальник) группы по управлению обработкой информации и защитой. В его обязанности входит разработка и поддержка эффективных мер защиты при обработке информации для обеспечения сохранности данных, оборудования и программного обеспечения; контроль за выполнением плана восстановления и общее руководство административными группами в подсистемах АС (при децентрализованном управлении). Существуют различные варианты детально разработанного штатного расписания такой группы, включающие перечень функциональных обязанностей, необходимых знаний и навыков, распределение времени и усилий. При организации защиты существование такой группы и детально разработанные обязанности ее сотрудников совершенно необходимы
1. Организационная структура, основные функции службы компьютерной безопасности • • • Основные организационные и организационно-технические мероприятия по созданию и поддержанию функционирования комплексной системы защиты Они включают: разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия; мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости); периодически проводимые (через определенное время) мероприятия; постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.
1. Организационная структура, основные функции службы компьютерной безопасности • Разовые мероприятия • К разовым мероприятиям относят: • общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты АС; • мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т. п. ); • мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т. п. );
1. Организационная структура, основные функции службы компьютерной безопасности • проведение спецпроверок всех применяемых в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок; • разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности; • внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т. п. ) по вопросам обеспечения безопасности программно-информационных ресурсов АС и действиям в случае возникновения кризисных ситуаций;
1. Организационная структура, основные функции службы компьютерной безопасности • оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи; • определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы; • мероприятия по созданию системы защиты АС и созданию инфраструктуры;
1. Организационная структура, основные функции службы компьютерной безопасности • мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием АС, а также используемых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в АС; выявление наиболее вероятных угроз для данной АС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты); • организацию надежного пропускного режима;
1. Организационная структура, основные функции службы компьютерной безопасности • определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т. п. ; • организацию учета, хранения, использования и уничтожения документов и носителей с закрытой информацией; • определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);
1. Организационная структура, основные функции службы компьютерной безопасности • создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программноинформационных ресурсов автоматизированной системы обработки информации; • определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий.
1. Организационная структура, основные функции службы компьютерной безопасности • Периодически проводимые мероприятия • К периодически проводимым мероприятиям относят: • распределение реквизитов разграничения доступа (паролей, ключей шифрования и т. п. ); • анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы; • мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации; • периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты; • мероприятия по пересмотру состава и построения системы защиты
1. Организационная структура, основные функции службы компьютерной безопасности • Мероприятия, проводимые по необходимости • К мероприятиям, проводимым по необходимости, относят: • мероприятия, осуществляемые при кадровых изменениях в составе персонала системы; • мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т. п. ); • мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д. ).
1. Организационная структура, основные функции службы компьютерной безопасности • Постоянно проводимые мероприятия • Постоянно проводимые мероприятия включают: • мероприятия по обеспечению достаточного уровня физической защиты всех компонентов АС (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности СВТ, носителей информации и т. п. ). • мероприятия по непрерывной поддержке функционирования и управлению используемыми средствами защиты; • явный и скрытый контроль за работой персонала системы; • контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования АС; • постоянно (силами отдела (службы) безопасности) и периодически (с привлечением сторонних специалистов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации. • Для организации и обеспечения эффективного функционирования комплексной системы компьютерной безопасности должны быть разработаны следующие группы организационно-распорядительных документов: • документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в АС (план защиты информации в АС, план обеспечения непрерывной работы и восстановления информации); • документы, определяющие ответственность взаимодействующих организаций (субъектов) при обмене электронными документами (договор об организации обмена электронными документами).
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации. План защиты информации в АС должен содержать следующие сведения: • описание защищаемой системы (основные характеристики защищаемого объекта): назначение АС, перечень решаемых АС задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в АС и требований по обеспечению доступности, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т. п. ; • цель защиты системы и пути обеспечения безопасности АС и циркулирующей в ней информации;
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • перечень значимых угроз безопасности АС, от которых требуется защита и наиболее вероятных путей нанесения ущерба; • основные требования к организации процесса функционирования АС и мерам обеспечения безопасности обрабатываемой информации ; • требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД; • основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности АС (особые обязанности должностных лиц АС).
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • План обеспечения непрерывной работы и восстановления информации должен отражать следующие вопросы: • цель обеспечения непрерывности процесса функционирования АС, своевременность восстановления ее работоспособности и чем она достигается; • перечень и классификация возможных кризисных ситуаций; • требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т. п. ); • обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • Договор о порядке организации обмена электронными документами должен включать документы, в которых отражаются следующие вопросы: • разграничение ответственности субъектов, участвующих в процессах обмена электронными документами; • определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов; • определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п. ); • определение порядка разрешения споров в случае возникновения конфликтов.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • Примеры должностных инструкций работников службы компьютерной безопасности. • Инструкция • по регламентации работы администратора безопасности • по поддержанию уровня защиты локальной вычислительной • сети от несанкционированного доступа к информации • 1. Общие положения • 2. Права и обязанности администратора безопасности • 3. Требования к рабочей станции и инструментальным средствам администратора безопасности. • 1. Общие положения • 1. 1. Инструкция по регламентации работы администратора безопасности по поддержанию уровня защиты локальной вычислительной
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • сети от несанкционированного доступа к информации (далее - Инструкция) разработана с учетом требований Федерального закона " Об информации, информатизации и защите информации" , утвержденного Президентом Российской Федерации 20. 02. 95 N 24 ФЗ, Федерального закона " О государственной тайне" , утвержденного Президентом Российской Федерации 21. 07. 93 N 5485 -1, " Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам" , утвержденного постановлением Правительства Российской Федерации от 15. 09. 93 N 912 -51, и других действующих руководящих, нормативных документов (НД) по защите информации от несанкционированного доступа (НСД). • Целью администрирования локальной вычислительной сети (ЛВС) является поддержание достигнутого уровня защиты информации ЛВС .
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • 1. 2. Инструкция регулирует отношения между администратором безопасности, пользователями и разработчиками, возникающие при: • - эксплуатации и развитии ЛВС и БД; • - формировании и использовании данных, сообщений, баз данных, информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления пользователю документированной информации; • - при создании, внедрении и эксплуатации новых информационных технологий. • 1. 3. Цели администрирования ЛВС достигаются обеспечением и поддержкой в ЛВС БД: • - подсистем управления доступом, регистрации и учета, обеспечения целостности программно-аппаратной среды, хранимой, обрабатываемой и передаваемой по каналам связи информации;
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • - доступности информации (устойчивое функционирование ЛВС и ее подсистем); • - конфиденциальности хранимой, обрабатываемой и передаваемой по каналам связи информации. • 1. 4. Мероприятия по защите ЛВС и БД от НСД являются составной частью управленческой, научной и производственной деятельности ОРГАНИЗАЦИИ. Защита ЛВС и информации БД представляет собой комплекс организационных и технических мероприятий, направленных на исключение или существенное затруднение противоправных деяний в отношении ресурсов ЛВС и информации БД. • 1. 5. Администратор безопасности является ответственным должностным лицом ОРГАНИЗАЦИИ, уполномоченным на проведение работ по технической защите информации
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • и поддержанию достигнутого уровня защиты ЛВС и ее ресурсов на этапах промышленной эксплуатации и модернизации. • 1. 6. Администратор безопасности ЛВС назначается приказом по ОРГАНИЗАЦИИ по согласованию с сотрудником ОРГАНИЗАЦИИ курирующего вопросы защиты информации. • Количество администраторов безопасности ЛВС зависит от структуры и назначения ЛВС (количества серверов, рабочих станций сети, их мест расположения), характера и количества решаемых задач, режима эксплуатации, организации дежурства. • 1. 7. Администратор безопасности руководствуется в своей практической деятельности положениями федеральных законов, нормативных и иных актов Российской Федерации, решениями и документами Гостехкомиссии России, ФАПСИ и Госстандарта России, организационно-распорядительными документами ОРГАНИЗАЦИИ.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • 1. 8. Деятельность администратора безопасности планируется в установленном порядке и согласовывается с Отделом безопасности, гражданской обороны и мобилизационной работы. В плане работ должны быть отражены мероприятия по поддержанию защиты ЛВС и БД от НСД и другие вопросы, относящиеся к защите. • 1. 9. Администратор безопасности должен иметь специальное рабочее место - рабочую станцию (PC), размещенную в отдельном помещении и функционирующую постоянно при включении сети, а также личный сейф (или железный шкаф) и печать. • 1. 10. Администратор безопасности несет ответственность в соответствии с действующим законодательством за разглашение защищаемой ОРГАНИЗАЦИЕЙ информации, ставшей ему известной в соответствии с родом работы, и мер, принятых по защите ЛВС.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • 1. 11. Требования администратора безопасности, связанные с выполнением им своих функций, обязательны для исполнения всеми пользователями ЛВС и БД. • 1. 12. Инструкция является неотъемлемой частью организационнораспорядительных документов ОРГАНИЗАЦИИ, в которых конкретизируется политика безопасности в ЛВС и информационное взаимодействие при ведении БД. • 1. 13. Требования к промышленной эксплуатации ЛВС изложены в эксплуатационной документации (ЭД) на данную ЛВС. • 1. 14. Инструкция не регламентирует вопросы защиты и охраны зданий и помещений, в которых расположена ЛВС, вопросы обеспечения физической целостности компонентов ЛВС, защиты от стихийных бедствий (пожаров, наводнений и др. ), сбоев в системе энергоснабжения, а также меры обеспечения безопасности персонала и меры, принимаемые при возникновении в ЛВС нештатных ситуаций.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • • • 2. Права и обязанности администратора безопасности 2. 1. Права администратора безопасности. Администратор безопасности имеет право: - отключать от сети пользователей, осуществивших НСД к защищаемым ресурсам ЛВС и БД или нарушивших другие требования по безопасности информации; - участвовать в любых проверках ЛВС и БД; - запрещать устанавливать на серверах и рабочих станциях ЛВС нештатное программное и аппаратное обеспечение. 2. 2. Обязанности администратора безопасности. Администратор безопасности обязан: - знать в совершенстве применяемые информационные технологии; - участвовать в контрольных и тестовых испытаниях и проверках ЛВС и БД;
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • - знать ответственных лиц в каждом структурном подразделении ОРГАНИЗАЦИИ и их права доступа по обработке, хранению и передаче защищаемой информации; • - вести контроль за процессом резервирования и дублирования важных ресурсов ЛВС и БД; • - участвовать в приемке новых программных средств; • - уточнять в установленном порядке обязанности пользователей ЛВС по поддержанию уровня защиты ЛВС; • - вносить предложения по совершенствованию уровня защиты ЛВС и БД; • - анализировать данные журнала учета работы ЛВС с целью выявления возможных нарушений требований защиты; • - оценивать возможность и последствия внесения изменений в состав ЛВС с учетом требований НД по защите, подготавливать свои предложения;
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • - обеспечить доступ к защищаемой информации пользователям ЛВС согласно их прав доступа при получении оформленного соответствующим образом разрешения; • - запрещать и немедленно блокировать попытки изменения программно-аппаратной среды ЛВС без согласования порядка ввода новых (отремонтированных) технических и программных средств и средств защиты ЛВС; • - запрещать и немедленно блокировать применение пользователям сети программ, с помощью которых возможны факты НСД к ресурсам ЛВС и БД; • - незамедлительно докладывать руководству РЧЦ обо всех попытках нарушения защиты ЛВС и БД; • - анализировать состояние защиты ЛВС и ее отдельных подсистем; • - контролировать физическую сохранность средств и оборудования ЛВС;
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • - контролировать состояние средств и систем защиты и их параметры и критерии; • - контролировать правильность применения пользователями сети средств защиты; • - оказывать помощь пользователям в части применения средств защиты от НСД и других средств защиты, входящих в состав ЛВС; • - не допускать установку, использование, хранение и размножение в ЛВС программных средств, не связанных с выполнением функциональных задач; • - своевременно анализировать журнал учета событий, регистрируемых средствами защиты, с целью выявления возможных нарушений; • - в период профилактических работ на рабочих станциях и серверах ЛВС снимать при необходимости средства защиты ЛВС с эксплуатации с обязательным обеспечением сохранности информации;
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • - не допускать к работе на рабочих станциях и серверах ЛВС посторонних лиц; • - осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования средств защиты ЛВС; • - периодически предоставлять руководству и в отдел безопасности отчет о состоянии защиты ЛВС и о нештатных ситуациях на объектах ЛВС и допущенных пользователями нарушений установленных требований по защите информации. • Администратору безопасности запрещается оставлять свою рабочую станцию без контроля, в том числе в рабочем состоянии. • Запрещается фиксировать учетные данные пользователя (пароли, идентификаторы, ключи и др. ) на твердых носителях, а также сообщать их кому бы то ни было, кроме самого пользователя.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • Администратор безопасности должен четко знать классификацию нарушений (противоправных деяний) в отношении ЛВС и ее подсистем, последствия которых классифицируются на категории: • - первая (наивысшая категория тяжести нарушения) - невыполнение пользователями ЛВС требований или норм ЭД на ЛВС и организационно-распорядительных документов ОРГАНИЗАЦИИ в информационной сфере, в результате чего имеется реальная возможность противоправных деяний в отношении ЛВС и ее ресурсов; • - вторая - невыполнение требований НД по защите, в результате чего создаются предпосылки для совершения противоправных деяний в отношении ЛВС и ее ресурсов; • - третья - невыполнение других требований НД по защите и организационно-распорядительных документов ОРГАНИЗАЦИИ.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • 2. 3. Ответственность за защиту ЛВС и БД от несанкционированного доступа к информации. • 2. 3. 1. Ответственность за защиту ЛВС и БД от несанкционированного доступа к информации возлагается на администратора безопасности. • 2. 3. 2. Администратор безопасности несет персональную ответственность за качество проводимых им работ по контролю действий пользователей при работе в ЛВС, состояние и поддержание установленного уровня защиты ЛВС. • 3. Требования к рабочей станции и инструментальным средствам • администратора безопасности • 3. 1. Рабочая станция администратора безопасности должна представлять собой специально выделенную для администратора безопасности ПЭВМ, которая является пунктом управления и контроля уровня защиты ЛВС и ее ресурсов.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • 3. 2. Рабочая станция администратора безопасности размещается в отдельном помещении, доступ в которое имеют только должностные лица, определенные приказом руководителя ОРГАНИЗАЦИИ. • 3. 3. Инструментальные средства, установленные на рабочей станции администратора безопасности (программные, программноаппаратные, аппаратные), должны позволять эффективно решать задачи, поставленные перед ним. • 3. 4. В составе ЛВС должна быть выделена резервная рабочая станция сети для администратора безопасности, которая должна иметь такую же комплектацию, как и основная.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • ИНСТРУКЦИЯ ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ • Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе ОРГАНИЗАЦИИ (АС ОРГАНИЗАЦИИ), а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями. • 1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС ОРГАНИЗАЦИИ и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на сотрудников службы обеспечения безопасности информации (СОБИ)
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • администраторов средств защиты, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей. • 2. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований: • длина пароля должна быть не менее 8 символов; • в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т. п. ); • пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т. д. ), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т. п. );
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях; • личный пароль пользователь не имеет права сообщать никому. • Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации. • 3. В случае, если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченных сотрудников СОБИ. Для генерации «стойких» значений паролей могут применяться специальные программные средства.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • Система централизованной генерации и распределения паролей должна исключать возможность ознакомления самих уполномоченных сотрудников СОБИ, а также ответственных за информационную безопасность в подразделениях с паролями других сотрудников подразделений ОРГАНИЗАЦИИ (исполнителей). • 4. При наличии в случае возникновении нештатных ситуаций, форсмажорных обстоятельств и т. п. технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие, такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения)
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для опечатывания конвертов (пеналов) должны применяться личные печати владельцев паролей (при их наличии у исполнителей), либо печать уполномоченного представителя службы обеспечения безопасности информации (СОБИ). • 5. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в месяц. • 6. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу внутри территориального органа ОРГАНИЗАЦИИ и т. п. ) должна производиться уполномоченными сотрудниками СОБИ – администраторами соответствующих средств защиты немедленно после окончания последнего сеанса работы данного пользователя с системой.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • 7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри территориального органа ОРГАНИЗАЦИИ и другие обстоятельства) администраторов средств защиты и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой подсистем АС. • 8. В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п. 6 или п. 7 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • 9. Хранение сотрудником (исполнителем) значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за информационную безопасность или руководителя подразделения в опечатанном личной печатью пенале (возможно вместе с персональными ключевыми дискетами и идентификатором Touch Memory). • 10. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственных за информационную безопасность в подразделениях (руководителей подразделений), периодический контроль – возлагается на сотрудников СОБИ – администраторов средств парольной защиты.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • Инструкция о порядке действий в нештатных ситуациях • Общие положения • Настоящая инструкция предназначена для организации порядка действий при возникновении нештатных ситуаций. Инструкция регламентирует действия персонала подразделений при возникновении нештатных ситуаций. • Общий порядок действий при возникновении нештатных ситуаций При возникновении нештатных ситуаций во время работы ЭВМ сотрудник, обнаруживший нештатную ситуацию немедленно ставит в известность своего администратора информационной безопасности. Администратор информационной безопасности проводит предварительный анализ ситуации и, в случае невозможности исправить положение, ставит в известность своего начальника и вызывает сотрудника
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации По факту возникновения нештатной ситуации составляется акт, с описанием ситуации. К акту прилагаются, если есть, поясняющие материалы (копии экрана, распечатка журнала событий и др. ) При необходимости, проводится служебное расследование по факту возникновения нештатной ситуации и выяснению её причин. • Особенности действий при возникновении наиболее распространённых нештатных ситуаций • Сбой программного обеспечения. Администратор информационной безопасности совместно с сотрудником отдела выясняют причину сбоя ПО. Если исправить ошибку своими силами (в том числе после консультации с разработчиками ПО) не удалось, копия акта и сопроводительных материалов (а так же файлов, если это необходимо) направляются разработчику ПО.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации – Отключение электричества. Администратор информационной безопасности совместно с сотрудником отдела проводят анализ на наличие потерь и (или) разрушения данных и ПО, а так же проверяют работоспособность оборудования. В случае необходимости, производится восстановление ПО и данных из последней резервной копии с составлением акта. – Сбой в локальной вычислительной сети (ЛВС). Администратор информационной безопасности совместно с сотрудником отдела проводят анализ на наличие потерь и (или) разрушения данных и ПО. В случае необходимости, производится восстановление ПО и данных из последней резервной копии с составлением акта. – Выход из строя сервера. Сотрудник, ответственный за эксплуатацию сервера, совместно с проводит меры по немедленному вводу в действие резервного сервера для обеспечения непрерывной работы.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации При необходимости производятся работы по восстановлению ПО и данных из резервных копий с составлением акта. Потеря данных. При обнаружении потери данных администратор информационной безопасности совместно с сотрудником отдела проводят мероприятия по поиску и устранению причин потери данных (антивирусная проверка, целостность и работоспособность ПО, целостность и работоспособность оборудования и др. ). При необходимости, производится восстановление ПО и данных из резервных копий с составлением акта. Обнаружен вирус. При обнаружении вируса производится локализация вируса с целью предотвращения его дальнейшего распространения, для чего следует физически отсоединить «заражённый» компьютер от ЛВС и провести анализ состояния компьютера.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • Анализ проводится компетентным в этой области сотрудником. Результатом анализа может быть попытка сохранения (спасения данных), так как после перезагрузки ЭВМ данные могут быть уже потеряны. После успешной ликвидации вируса, сохранённые данные также необходимо подвергнуть проверке на наличие вируса. При обнаружении вируса следует руководствоваться «Инструкцией по организации антивирусной защиты» , инструкцией по эксплуатации применяемого антивирусного ПО. После ликвидации вируса необходимо провести внеочередную антивирусную проверку на всех ЭВМ банка с применением обновлённых антивирусных баз. При необходимости производится восстановление ПО и данных из резервных копий с составлением акта. Проводится служебное расследование по факту появления вируса в ЭВМ (ЛВС).
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • Обнаружена утечка информации (дырка в системе защиты). При обнаружении утечки информации ставится в известность администратор информационной безопасности и начальник подразделения. Проводится служебное расследование. Если утечка информации произошла по техническим причинам, проводится анализ защищённости системы и, если необходимо, принимаются меры по устранению уязвимостей и предотвращению их возникновения. • Взлом системы (Web-сервера, файл-сервера и др. ) или несанкционированный доступ (НСД). При обнаружении взлома сервера ставится в известность администратор информационной безопасности и начальник подразделения. Проводится, по возможности, временное отключение сервера от сети для проверки на вирусы и троянских закладок. Возможен временный переход на резервный сервер.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • Учитывая, что программные закладки могут быть не обнаружены антивирусным ПО, следует особенно тщательно проверить целостность исполняемых файлов в соответствии с хэш-функциями эталонного программного обеспечения, а также проанализировать состояние файлов-скриптов и журналы сервера. Необходимо сменить все пароли, которые имели отношение к данному серверу. В случае необходимости производится восстановление ПО и данных из эталонного архива и резервных копий с составлением акта. По результатам анализа ситуации следует проверить вероятность проникновения несанкционированных программ в ЛВС банка, после чего провести аналогичные работы по проверке и восстановлению ПО и данных на других ЭВМ банка. По факту взлома сервера проводится служебное расследование. • Попытка несанкционированного доступа (НСД). При попытке НСД проводится анализ ситуации на основе информации журналов регистрации попыток НСД и предыдущих попыток НСД.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации По результатам анализа, в случае необходимости, принимаются меры по предотвращению НСД, если есть реальная угроза НСД. Так же рекомендуется провести внеплановую смену паролей. В случае появления обновлений ПО, устраняющих уязвимости системы безопасности, следует применить такие обновления. Компрометация ключей. При компрометации ключей следует руководствоваться инструкциями к применяемой системе криптозащиты. Компрометация пароля. При компрометаций пароля необходимо немедленно сменить пароль, проанализировать ситуацию на наличие последствий компрометации и принять необходимые меры по минимизации возможного (или нанесённого) ущерба (блокирование счетов пользователей и т. д. ). При необходимости, проводится служебное расследование.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации Физическое повреждение ЛВС или ПЭВМ. Ставится в известность администратор информационной безопасности. Проводится анализ на утечку или повреждение информации. Определяется причина повреждения ЛВС или ПЭВМ и возможные угрозы безопасности информации. В случае возникновения подозрения на целенаправленный вывод оборудования из строя проводится служебное расследование. Проводится проверка ПО на наличие вредоносных программ-закладок, целостность ПО и данных. Проводится анализ электронных журналов. При необходимости проводятся меры по восстановлению ПО и данных из резервных копий с составлением акта. Стихийное бедствие. При возникновении стихийных бедствий следует руководствоваться документами для соответствующих подразделений.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации • Профилактика против возникновения нештатных ситуаций Отделом технической защиты информации (или указать) периодически, не реже должен проводится анализ зарегистрированных нештатных ситуаций для выработки мероприятий по их предотвращению. В общем случае, для предотвращения нештатных ситуаций необходимо чёткое соблюдение требований нормативных документов и инструкций по эксплуатации оборудования и ПО. Ниже приведены рекомендации по предотвращению некоторых типичных нештатных ситуаций. Сбой программного обеспечения. Применять лицензионное ПО, регулярно проводить антивирусный контроль и профилактические работы на ЭВМ (проверка диска и др. )
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации Отключение электричества. Использовать источники бесперебойного питания на ответственных (а лучше – на всех) технологических участках банка. Разработать инструкцию по аварийному переходу на резервный источник питания (если такой имеется в наличии) или аварийному завершению работы и сохранению данных. Желательно иметь в наличии резервный источник электроэнергии (дизель-генератор и др. ) Сбой ЛВС. Обеспечение бесперебойной работы ЛВС путём применения надёжных сетевых технологий и резервных систем. Выход из строя сервера. Применять надёжные программнотехнические средства, продуманную политику администрирования. Допускать к работе с серверным оборудованием только квалифицированных специалистов.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации Обнаружен вирус. Соблюдать требования «Инструкции по организации антивирусной защиты» . Обнаружена утечка информации (дырка в системе защиты). Применять обновления ПО по устранению программных «дыр» в системе защиты по мере их появления (обнаружения). Построить комплексную систему защиты информации в банке. Регулярно проводить анализ журналов попыток НСД и совершенствование системы защиты информации. Также См. «Потеря данных» Взлом системы (Web-сервера, файл-сервера и др. ) или несанкционированный доступ (НСД). См. «Обнаружена утечка информации (дырка в системе защиты)» . Попытка несанкционированного доступа (НСД). По возможности, установить регистрацию попыток НСД на всех технологических участках, где возможен несанкционированный доступ, с оповещением Администратора информационной безопасности о попытках НСД.
2. Основные нормативные и организационнораспорядительные документы необходимые для организации комплексной защиты информации Компрометация ключей. Соблюдать требования «Инструкции по обращению с ключевыми материалами шифрования и ЭЦП» . Компрометация паролей. Соблюдать требования «Инструкции по организации парольной защиты» . Физическое повреждение ЛВС или ПЭВМ. Физическая защита компонентов сети (серверов, маршрутизаторов и др. ), ограничение доступа к ним. С также «Сбой ЛВС» . Стихийное бедствие. Проводить обучающие собрания и тренировки персонала банка по вопросам гражданской обороны.
3. Практические организационные меры защиты информации • 1. Элементы внутриобъектового и пропускного режима. Категорирование помещений • Как и в традиционном конфиденциальном делопроизводстве, помещения, предназначенные для обработки конфиденциальной информации на компьютерах, должны иметь особый статус. • В эти помещения должен быть ограничен доступ посторонних лиц и сотрудников организации, не имеющих допуска к обрабатываемой конфиденциальной информации. • Посещение посетителями этих помещений производится только с письменного разрешения руководителя СБ организации. При этом посетителя должен сопровождать сотрудник СБ. • Категорирование помещений используемых для обработки конфиденциальной информации в компьютерной системе организации. Все помещения делятся на четыре группы:
3. Практические организационные меры защиты информации • - Помещения, где установлено компьютерное оборудование, предназначенное для обработки критичной для работы организации информации. К таким помещениям относятся компьютеры бухгалтерии, планово-финансового отдела и т. п. При этом необходимо учитывать, что обрабатываемая информация является не только конфиденциальной, но и жизненно важной для существования организации. Поэтому, особое внимание следует обратить на ограничение физического доступа к компьютерам и периферийному оборудованию, используемому этими отделами. Необходимо свести к минимуму количество сотрудников организации, имеющих право доступа к этим компьютерам. • Помещения, где установлены компьютеры, предназначенные для обработки конфиденциальной информации. Основная угроза несанкционированный доступ.
3. Практические организационные меры защиты информации • . Необходимо ограничить возможность физического доступа лиц, не имеющих допуска к конфиденциальной информации обрабатываемой на этих компьютерах. • - Помещения, предназначенные для хранения резервных копий наиболее важной информации и размещения компьютеров с Базами Данных организации. Оптимальным вариантом является организация режима данного помещения как склада или хранилища материальных ценностей. Минимальное число сотрудников организации имеющих право доступа в • это помещение. Усиленная физическая защита. Запрещается размещать в этом помещение рабочие места сотрудников организации, проводить совещания и устраивать вечеринки. В ночное время и в нерабочие дни помещение должно быть опечатано.
3. Практические организационные меры защиты информации • - Помещения, где расположено оборудование, обеспечивающие работу компьютерной системы организации. В помещение могут быть расположены только рабочие места системных администраторов. Запрещается нахождение в помещении всех лиц, кроме сотрудников организации, отвечающих за обслуживание компьютерной системы организации. Запрещается проводить совещания и устраивать вечеринки. Работа в ночное время и нерабочие дни осуществляется только с письменного разрешения сотрудника организации, ответственного за защиту информации в компьютерной системе организации. Это требование распространяется только на проведение профилактических и пусконалад очных работ (установление нового программного обеспечения и оборудования, его настройка и тестирование).
3. Практические организационные меры защиты информации • При возникновении аварийных и внештатных ситуаций (заражение компьютерной системы "вирусом", сбои в работе оборудования, частичное или полное уничтожение информации, работы организации в ночное время и т. п. ) предварительного письменного разрешения не требуется, но о причинах и факте сверхурочной работы необходимо заранее предупредить сотрудника организации, ответственного за защиту информации в компьютерной системе организации. • Для всех этих помещений существуют общие требования внутреннего распорядка. В них запрещается: • - Курить. • - Принимать пищу и распивать спиртные напитки. • - Находится посетителям и сотрудникам организации не имеющим права нахождения в этих помещениях.
3. Практические организационные меры защиты информации • 2. Принципы размещения компьютеров и периферийного оборудования, используемого для обработки конфиденциальной информации • Основные принципы размещение оборудования: • 1. Оборудование, применяемое для обработки и хранения конфиденциальной информации, должно находиться в помещениях, специально оборудованных для этою. • 2. Оборудование, используемое для обработки и хранения особо критичной для существования организации информации, должно иметь особую систему защиты от сбоев и быть размещено отдельно от другого оборудования. • 3. Компьютеры и периферийное оборудование, используемое для обработки критичной информации, нельзя размещать в подвале, на первом этаже или рядом с помещениями, используемыми для хранения легковоспламеняющихся материалов.
3. Практические организационные меры защиты информации • 4. Компьютеры, используемые для обработки конфиденциальной информации, запрещается размещать в помещениях с окнами, выходящими на неконтролируемую СБ организации территорию. • 5. Компьютеры, используемые для обеспечения работы ЛВС организации -серверы сети, компьютеры для хранения информации и управления Базами Данных - серверов БД, компьютеры, управляющие "общением с внешним миром" - коммуникационные серверы, должны быть размещены в отдельном помещении, обеспечивающем надежную защиту оборудования от доступа к ней посторонних лиц.
3. Практические организационные меры защиты информации • 5. Элементы электронного конфиденциального документооборота организации • В основе реального электронного конфиденциального документооборота лежат следующие принципы: • 1. Разграничение доступа к информации. Каждый сотрудник компании имеет право доступа только к информации, необходимой ему для выполнения служебных обязанностей. Это достигается созданием каталогов и файлов, доступных только этому пользователю. • 2. Все файлы, содержащие конфиденциальную информацию, должны быть защищены от несанкционированного доступа комбинацией из двух или более систем защиты. • Например, доступ к каталогу, где хранятся файлы, содержащие конфиденциальную информацию, регулируется встроенными механизмами защиты операционной системы или специальных программ. Сами файлы хранятся в зашифрованном виде.
3. Практические организационные меры защиты информации • . Для: контроля целостности файлов, содержащих конфиденциальную информацию, необходимо использовать методы электронно-цифровой подписи. Каждый сотрудник должен иметь два ключа "открытый" и "секретный" для подписи созданных и прочитанных текстовых файлов. • 4. Все пересылки файлов средствами электронной почты необходимо производить в зашифрованном виде. • 5. Комплекс мероприятий, необходимых для допуска сотрудника к работе с конфиденциальной информацией, аналогичен процедурам, применяемым в обычном конфиденциальном делопроизводстве. Базовые элементы проверки сотрудника организации допущенного к работе с конфиденциальной информацией:
3. Практические организационные меры защиты информации • Проверка потенциального кандидата СБ организации. • - Регулярная проверка СБ организации в процессе выполнения сотрудником своих служебных обязанностей. • - Проведение служебных расследований, в случае, если произошла утечка конфиденциальной информации или произошло нарушение правил конфиденциального делопроизводства. Поводом для расследования могут быть и другие ситуации.
Скачать презентацию Дисциплина Информационная безопасность Часть 3 Организационные меры
Informatsionnaya_bezopasnost_chast_3.ppt