Вход

Проблемы безопасности автоматизированных информационных систем на предприятии

Реферат* по информатике и информационным технологиям
Дата добавления: 04 января 2015
Автор: Лев Зибров
Язык реферата: Русский
Word, docx, 55 кб
Реферат можно скачать бесплатно
Скачать
Данная работа не подходит - план Б:
Создаете заказ
Выбираете исполнителя
Готовый результат
Исполнители предлагают свои условия
Автор работает
Заказать
Не подходит данная работа?
Вы можете заказать написание любой учебной работы на любую тему.
Заказать новую работу
* Данная работа не является научным трудом, не является выпускной квалификационной работой и представляет собой результат обработки, структурирования и форматирования собранной информации, предназначенной для использования в качестве источника материала при самостоятельной подготовки учебных работ.
Очень похожие работы

Содержание

Введение

1. Объекты информационной защиты

1.1 Общее представление об объектах информационной защиты

1.2 Категории информационных ресурсов, подлежащих защите

1.3 Категории пользователей АС Организации, режимы использования и уровни доступа к информации

1.4 Уязвимость основных компонентов АС Организации

2. Основные угрозы безопасности информации АС Организации

2.1 Уязвимость основных компонентов АС Организации

2.2 Пути реализации непреднамеренных(субъективных) угроз

безопасности информации в АС организации

2.3 Умышленные действия сторонних лиц, зарегистрированных

пользователей и обслуживающего персонала

2.4 Основные принципы построения системы комплексной зашиты информации

3. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов

3.1 Меры обеспечения безопасности

3.2 Средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей

3.3 Средства разграничения доступа зарегистрированных

пользователей системы к ресурсам АС

3.4 Средства обеспечения и контроля целостности программных и информационных ресурсов

3.5 Средства оперативного контроля и регистрации событий

Безопасности

Заключение

Список использованных источников

Введение

Содержание "информационной безопасности", если объектом её является коммерческое предприятие, будет заключаться в защищенности интересов собственника данного предприятия, удовлетворяемых с помощью информации, либо связанных с защитой от несанкционированного доступа тех сведений, которые представляются собственнику достаточно важными. Интересы проявляются через объекты, способные служить для их удовлетворения, и действия, предпринимаемые для обладания этими объектами. Соответственно интересы как объект безопасности могут быть представлены совокупностью информации, способной удовлетворять интерес собственника, и его действий, направленных на овладение информацией или сокрытие информации. Эти составляющие объекта информационной безопасности и защищаются от внешних и внутренних угроз. В случае, когда собственник предприятия не видит необходимости в защите своих действий, например, в связи с тем, что это не окупается, содержание информационной безопасности предприятия может быть сведено к защищенности конкретной информации, раскрытие которой может принести заметный ущерб коммерческой деятельности. Подобную информацию обычно относят к коммерческой тайне.

В настоящее время отсутствует какая-либо универсальная методика, позволяющая четко соотносить ту или иную информацию к категории коммерческой тайны. Можно только посоветовать исходить из принципа экономической выгоды и безопасности предприятия - чрезмерная "засекреченность" приводит к необоснованному подорожанию необходимых мер по защите информации и не способствует развитию бизнеса, когда как широкая открытость может привести к большим финансовым потерям или разглашению тайны.

Федеральный закон "Об информации, информатизации и защите информации", определяя нормы, согласно которых сведения относятся к категории конфиденциальных, устанавливает и цели защиты информации:

- предотвращение утечки, хищения, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации;

- сохранение государственной тайны, конфиденциальности документированной информации.

Определившись в необходимости защиты информации, непосредственно приступают к проектированию системы защиты информации. 

1. Объекты информационной защиты

1.1 Общее представление об объектах информационной защиты

Основными объектами информационной безопасности в ОРГАНИЗАЦИИ являются:

• Информационные ресурсы с ограниченным доступом, составляющие коммерческую, банковскую тайну, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления;

• Процессы обработки информации в АС - информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический персонал разработчиков и пользователей системы и ее обслуживающий персонал;

• Информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные компоненты АС.

1.2 Категории информационных ресурсов, подлежащих защите

В подсистемах АС Организации циркулирует информация различных уровней конфиденциальности (секретности) содержащая сведения ограниченного распространения (служебная коммерческая, банковская информация, персональные данные) и открытые сведения.

В документообороте АС Организации присутствуют:

• Платежные поручения и другие расчетно-денежные документы;

• Отчеты (финансовые, аналитические и др.);

• Сведения о лицевых счетах;

• Обобщенная информация и другие конфиденциальные (ограниченного распространения) документы.

• и т.д.

Защите подлежит вся информация, циркулирующая в АС Организации и содержащая:

• Сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации (Организацией) в соответствии с предоставленными Федеральным законом «Об информации, информатизации и защите информации» правами;

• Сведения, составляющие банковскую тайну, доступ к которым ограничен в соответствии с Федеральным законом «О банках и банковской деятельности»;

• Сведения о частной жизни граждан (персональные данные), доступ к которым ограничен в соответствии с Федеральным законом «Об информации информатизации и защите информации».

1.3 Категории пользователей АС Организации, режимы использования и уровни доступа к информации

В Организации имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным, программным и другим ресурсам АС Организации:

• Пользователи баз данных (конечные пользователи, сотрудники подразделений ОРГАНИЗАЦИИ);

• Ответственные за ведение баз данных (ввод, корректировка, удаление данных в БД);

• Администраторы серверов (файловых серверов, серверов приложений, серверов баз данных) и ЛВС;

• Системные программисты (ответственные за сопровождение общего программного обеспечения) на серверах и рабочих станциях пользователей;

• Разработчики прикладного программного обеспечения;

• Специалисты по обслуживанию технических средств вычислительной техники;

• Администраторы информационной безопасности (специальных средств защиты) и др.

1.4 Уязвимость основных компонентов АС Организации

Наиболее доступными и уязвимыми компонентами АС Организации являются сетевые рабочие станции (АРМ сотрудников подразделений Организации). Именно с них могут быть предприняты наиболее многочисленные попытки несанкционированного доступа к информации (НСД) в сети и попытки совершения несанкционированных действий (непреднамеренных и умышленных). С рабочих станций осуществляется управление процессами обработки информации (в том числе на серверах), запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На мониторы и печатающие устройства рабочих станций выводится информация при работе пользователей (операторов), выполняющих различные функции и имеющих разные полномочия по доступу к данным и другим ресурсам системы. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем.

В особой защите нуждаются такие привлекательные для злоумышленников элементы сетей как выделенные файловые серверы, серверы баз данных и серверы приложений. Здесь злоумышленники, прежде всего, могут искать возможности получения доступа к защищаемой информации и оказания влияния на работу различных подсистем серверов, используя недостатки протоколов обмена и средств разграничения удаленного доступа к ресурсам серверов. При этом могут предприниматься попытки как удаленного (со станций сети) так и непосредственного (с консоли сервера) воздействия на работу серверов и их средств защиты.

Мосты, шлюзы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными.

2. Основные угрозы безопасности информации АС Организации

2.1 Уязвимость основных компонентов АС Организации

Наиболее опасными (значимыми) угрозами безопасности информации АС Организации (способами нанесения ущерба субъектам информационных отношений) являются:

• Нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую или коммерческую тайну, а также персональных данных;

• Нарушение работоспособности (дезорганизация работы) АС ОРГАНИЗАЦИИ, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;

• Нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов АС Организации, а также фальсификация (подделка) документов.

Основными источниками угроз безопасности информации АС Организации являются:

• Непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия сотрудников (в том числе администраторов средств защиты) структурных подразделений Организации при эксплуатации АС Организации, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций (АРМ), подсистем или АС Организации в целом;

• Преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников подразделений Организации, допущенных к работе с АС Организации, а также сотрудников подразделений Организации, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения безопасности информации;

• Воздействия из других логических и физических сегментов АС Организации со стороны сотрудников других подразделений Организации, в том числе программистов - разработчиков прикладных задач, а также удаленное несанкционированное вмешательство посторонних лиц из телекоммуникационной сети Организации и внешних сетей общего назначения (прежде всего Internet) через легальные и несанкционированные каналы подключения сети Организации к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам АС Организации;

• Деятельность международных и отечественных преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонент;

• Деятельность иностранных разведывательных и специальных служб, направленная против интересов Организации;

• Ошибки, допущенные при проектировании АС Организации и ее системы защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты) АС Организации;

• Аварии, стихийные бедствия и т.п.

2.2 Пути реализации непреднамеренных(субъективных) угроз безопасности информации в АС организации

Пользователи, операторы, системные администраторы и сотрудники ОРГАНИЗАЦИИ, обслуживающие систему, являются внутренними источниками случайных воздействий, т.к. имеют непосредственный доступ к процессам обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и процедур.

Основные пути реализации непреднамеренных искусственных (субъективных) угроз АС ОРГАНИЗАЦИИ (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба 

Основные пути реализации непреднамеренных искусственных (субъективных) угроз АС ОРГАНИЗАЦИИ Меры по нейтрализации угроз и снижению возможного наносимого ущерба

Действия сотрудников ОРГАНИЗАЦИИ, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств; отключению оборудования или изменение режимов работы устройств и программ; разрушению информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение программ или файлов с важной информацией, в том числе системных, повреждение каналов связи, неумышленная порча носителей информации и т.п.) 1. Организационные меры (регламентация действий, введение запретов).

2. Применение физических средств, препятствующих неумышленному совершению нарушения.

3. Применение технических (аппаратно-программных) средств разграничения доступа к ресурсам.

4. Резервирование критичных ресурсов.

Несанкционированный запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.) 1. Организационные меры (удаление всех потенциально опасных программ с дисков ПЭВМ АРМ).

2. Применение технических (аппаратно-программных) средств разграничения доступа к технологическим и инструментальным программам на дисках ПЭВМ АРМ.

Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения сотрудниками своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п.) 1. Организационные меры (введение запретов).

2. Применение технических (аппаратно-программных) средств, препятствующих несанкционированному внедрению и использованию неучтенных программ.

Непреднамеренное заражение компьютера вирусами 1. Организационные меры (регламентация действий, введение запретов).

2. Технологические меры (применение специальных программ обнаружения и уничтожения вирусов).

3. Применение аппаратно-программных средств, препятствующих заражению компьютеров компьютерными вирусами.

Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования или ЭЦП, идентификационных карточек, пропусков и т.п.) 1. Организационные меры (регламентация действий, введение запретов, усиление ответственности).

2. Применение физических средств обеспечения сохранности указанных реквизитов.

Игнорирование организационных ограничений (установленных правил) при работе в системе 1. Организационные меры (усиление ответственности и контроля).

2. Использование дополнительных физических и технических средств защиты.

Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом подразделения безопасности Организационные меры (обучение персонала, усиление ответственности и контроля).

Ввод ошибочных данных 1. Организационные меры (усиление ответственности и контроля).

2. Технологические меры контроля за ошибками операторов ввода данных.

2.3 Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала

Основные возможные пути умышленной дезорганизации работы, вывода АС ОРГАНИЗАЦИИ из строя, проникновения в систему и НСД к информации (с корыстными целями, по принуждению, из желания отомстить и т.п.)

Меры по нейтрализации угроз и снижению возможного наносимого ущерба

Физическое разрушение или вывод из строя всех или отдельных наиболее важных компонентов автоматизированной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.), отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, линий связи и т.п.) 1. Организационные меры (регламентация действий, введение запретов).

2. Применение физических средств, препятствующих неумышленному совершению нарушения.

3. Резервирование критичных ресурсов.

4. Обеспечение личной безопасности сотрудников.

Внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность), вербовка (путем подкупа, шантажа, угроз и т.п.) пользователей, имеющих определенные полномочия по доступу к защищаемым ресурсам Организационные меры (подбор, расстановка и работа с кадрами, усиление контроля и ответственности). Автоматическая регистрация действий персонала.

Хищение носителей информации (распечаток, магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ), хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.) Организационные меры (организация хранения и использования носителей с защищаемой информацией).

Несанкционированное копирование носителей информации, чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств 1. Организационные меры (организация хранения и использования носителей с защищаемой информацией).

2. Применение технических средств разграничения доступа к защищаемым ресурсам и автоматической регистрации получения твердых копий документов.

Незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы программными закладками и т.д.) с последующей маскировкой под зарегистрированного пользователя ("маскарад") 1. Организационные меры (регламентация действий, введение запретов, работа с кадрами).

2. Применение технических средств, препятствующих внедрению программ перехвата паролей, ключей и других реквизитов.

Несанкционированное использование АРМ пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п. 1. Организационные меры (строгая регламентация доступа в помещения и допуска к работам на данных АРМ).

2. Применение физических и технических средств разграничения доступа.

Несанкционированная модификация программного обеспечения – внедрение программных "закладок" и "вирусов" ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи защищаемой информации или дезорганизации функционирования системы 1. Организационные меры (строгая регламентация допуска к работам).

2. Применение физических и технических средств разграничения доступа и препятствующих несанкционированной модификации аппаратно-программной конфигурации АРМ.

3. Применение средств контроля целостности программ.

Перехват данных, передаваемых по каналам связи, и их анализ с целью получения конфиденциальной информации и выяснения протоколов обмена, правил вхождения в связь и авторизации пользователей и последующих попыток их имитации для проникновения в систему 1. Физическая защита каналов связи.

2. Применение средств криптографической защиты передаваемой информации.

Вмешательство в процесс функционирования АС сетей общего пользования с целью несанкционированной модификации данных, доступа к конфиденциальной информации, дезорганизации работы подсистем и т.п. 1. Организационные меры (регламентация подключения и работы в сетях общего пользования).

2. Применение специальных технических средств защиты (межсетевых экранов, средств контроля защищенности и обнаружения атак на ресурсы системы и т.п.).

2.4 Основные принципы построения системы комплексной зашиты информации

Построение системы обеспечения безопасности информации АС ОРГАНИЗАЦИИ и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

• Законность;

• Системность;

• Комплексность;

• Непрерывность;

• Своевременность;

• Преемственность и непрерывность совершенствования;

• Разумная достаточность;

• Персональная ответственность;

• Минимизация полномочий;

• Взаимодействие и сотрудничество;

• Гибкость системы защиты;

• Открытость алгоритмов и механизмов защиты;

• Простота применения средств защиты;

• Научная обоснованность и техническая реализуемость;

• Специализация и профессионализм;

• Обязательность контроля.

 3. Меры, методы и средства обеспечения требуемого уровня защищенности инфорационных ресурсов

3.1 Меры обеспечения безопасности

a. Законодательные (правовые) меры защиты

К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.

b. Морально-этические меры защиты

К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах подразделений.

c. Организационные (административные) меры защиты

Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

К организационным мерам относятся:

- Формирование политики безопасности

- Регламентация доступа в помещения АС Организации

- Регламентация допуска сотрудников к использованию ресурсов АС Организации

- Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов

- Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС Организации

- Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов АС Организации

- Кадровая работа (подбор и подготовка персонала, обучение пользователей)

- Подразделения технической защиты информации

- Ответственность за нарушения установленного порядка использования АС Организации. Расследование нарушений.

 4) Физические средства защиты

Это прежде всего разграничение доступа на территорию и в помещения.

5) Технические (программно-аппаратные) средства защиты

Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС Организации и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

С учетом всех требований и принципов обеспечения безопасности информации в АС по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

• Средства аутентификации потребителей (пользователей) и элементов АС Организации (терминалов, задач, элементов баз данных и т.п.), соответствующих степени конфиденциальности информации и обрабатываемых данных;

• Средства разграничения доступа к данным;

• Средства криптографического закрытия информации в линиях передачи данных и в базах данных;

• Средства регистрации обращения и контроля за использованием защищаемой информации;

• Средства реагирования на обнаруженный НСД;

• Средства снижения уровня и информативности ПЭМИН, создаваемых различными элементами АС;

• Средства снижения уровня акустических излучений, сопровождающих функционирование элементов АС;

• Средства маскировки от оптических средств наблюдения;

• Средства электрической развязки как элементов АС, так и конструктивных элементов помещений, в которых размещается АС (включая водопроводную и канализационную систему);

• Средства активного зашумления в радио и акустическом диапазонах.

На технические средства защиты от НСД возлагается решение следующих основных задач (в соответствии с Руководящими документами ФСТЭК России и ГОСТ):

• Идентификация и аутентификации пользователей при помощи имен и/или специальных аппаратных средств (Touch Memory, Smart Card и т.п.);

• Регламентация доступа пользователей к физическим устройствам компьютера (дискам, портам ввода-вывода);

• Избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам;

• Полномочное (мандатное) разграничение доступа к защищаемым данным на рабочей станции и на файловом сервере;

• Создание замкнутой программной среды разрешенных для запуска программ, расположенных как на локальных, так и на сетевых дисках;

• Защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;

• Контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора;

• Регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;

• Централизованный сбор, хранение и обработка на файловом сервере журналов регистрации рабочих станций сети;

• Защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети;

• Централизованное управление настройками средств разграничения доступа на рабочих станциях сети;

• Оповещение администратора безопасности обо всех событиях НСД, происходящих на рабочих станциях;

• Оперативный контроль за работой пользователей сети, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости) любой станции сети.

Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными мерами и используемыми физическими средствами защиты:

• Физическая целостность всех компонент АС Организации обеспечена;

• Каждый сотрудник (пользователь системы) имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;

• В защищенной системе нет программирующих пользователей. Разработка и отладка программ осуществляется за пределами защищенной системы;

• Все изменения конфигурации технических и программных средств ПЭВМ АС производятся строго установленным порядком только на основании распоряжений руководства структурных подразделений Организации;

• Сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних (специальные помещениях, шкафах, и т.п.).

• Специальной службой технической защиты информации осуществляется непрерывное управление и административная поддержка функционирования средств защиты в соответствии с Планом защиты АС Организации.

3.2 Средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей

В целях предотвращения работы с АС Организации посторонних лиц необходимо обеспечить возможность распознавания системой каждого законного пользователя (или ограниченных групп пользователей). Для этого в системе (в защищенном месте) должен храниться ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости - и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе. Кроме того, для идентификации могут применяться различного рода устройства: магнитные карточки, ключевые вставки, дискеты и т.п.

Аутентификация (подтверждение подлинности) пользователей должна осуществляться на основе использования паролей (секретных слов) или проверки уникальных характеристик (параметров) пользователей при помощи специальных биометрических средств.

3.3 Средства разграничения доступа зарегистрированных пользователей системы к ресурсам АС

После распознавания пользователя система должна осуществлять авторизацию пользователя, то есть определять, какие права предоставлены пользователю: какие данные и как он может использовать, какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. Авторизация пользователя должна осуществляется с использованием следующих механизмов реализации разграничения доступа:

• механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;

• механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;

• механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для запуска программ),

поддерживаемых механизмами идентификации (распознавания) и аутентификации (подтверждения подлинности) пользователей при их входе в систему.

Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.

Технические средства разграничения доступа должны быть составной частью единой системы контроля доступа:

• на контролируемую территорию;

• в отдельные помещения;

• к элементам АС и элементам системы защиты информации (физический доступ);

• к ресурсам АС (программно-математический доступ);

• к информационным хранилищам (носителям информации, томам, файлам, наборам данных, архивам, справкам, записям и т.д.);

• к активным ресурсам (прикладным программам, задачам, формам запросов и т.п.);

• к операционной системе, системным программам и программам защиты и т.п.

3.4 Средства обеспечения и контроля целостности программных и информационных ресурсов

Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:

• Средствами подсчета контрольных сумм;

• Средствами электронной цифровой подписи;

• Средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);

• Средствами разграничения доступа (запрет доступа с правами модификации или удаления).

В целях защиты информации и программ от несанкционированного уничтожения или искажения необходимо обеспечить:

• Дублирование системных таблиц и данных;

• Дуплексирование и зеркальное отображение данных на дисках;

• Отслеживание транзакций;

• Периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей;

• Антивирусный контроль;

• Резервное копирование данных по заранее установленной схеме;

• Хранение резервных копий вне помещения файл-сервера;

• Обеспечение непрерывности электропитания для файл-серверов и критичных рабочих станций и кондиционирование электропитания для остальных станций сети.

3.5 Средства оперативного контроля и регистрации событий безопасности

Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства контроля и регистрации должны предоставлять возможности:

• Ведения и анализа журналов регистрации событий безопасности (системных журналов). Журналы регистрации должны вестись для каждой рабочей станции сети;

• Оперативного ознакомления администратора безопасности с содержимым системного журнала любой станции и с журналом оперативных сообщений об НСД;

• Получения твердой копии (печати) системного журнала;

• Упорядочения системных журналов по дням и месяцам, а также установления ограничений на срок их хранения;

• Оперативного оповещения администратора безопасности о нарушениях.

При регистрации событий безопасности в системном журнале должна фиксироваться следующая информация:

• Дата и время события;

• Идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;

• Действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).

Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:

• Вход пользователя в систему;

• Вход пользователя в сеть;

• Неудачная попытка входа в систему или сеть (неправильный ввод пароля);

• Подключение к файловому серверу;

• Запуск программы;

• Завершение программы;

• Оставление программы резидентно в памяти;

• Попытка открытия файла недоступного для чтения;

• Попытка открытия на запись файла недоступного для записи;

• Попытка удаления файла недоступного для модификации;

• Попытка изменения атрибутов файла недоступного для модификации;

• Попытка запуска программы, недоступной для запуска;

• Попытка получения доступа к недоступному каталогу;

• Попытка чтения/записи информации с диска, недоступного пользователю;

• Попытка запуска программы с диска, недоступного пользователю;

• Нарушение целостности программ и данных системы защиты

• И др.

Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности):

• Извещение владельца информации о НСД к его данным;

• Снятие программы (задания) с дальнейшего выполнения;

• Извещение администратора баз данных и администратора безопасности;

• Отключение терминала (рабочей станции), с которого были осуществлены попытки НСД к информации;

• Исключение нарушителя из списка зарегистрированных пользователей;

• Подача сигнала тревоги и др.

 Заключение

В заключение хотелось бы подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных сетях. В то же время свести риск потерь к минимуму возможно лишь при комплексном подходе к вопросам безопасности.

Но для реализации основных правил информационной безопасности целесообразно провести (осуществить) следующие мероприятия:

• Создать во всех территориальных подразделениях Организации подразделения технической защиты информации в АС Организации и ввести ответственных (возможно внештатных, из числа сотрудников подразделения) за безопасность информации в структурных подразделениях Организации, определить их задачи и функции на различных стадиях создания, развития и эксплуатации АС и системы защиты информации;

• Для снижения затрат на создание системы защиты и упрощения категорирования и аттестации подсистем АС Организации рассмотреть возможность внесения изменений в конфигурацию сетей и СВТ, технологии обработки, передачи и хранения (архивирования) информации (с целью максимального разделения подсистем АС Организации, в которых обрабатывается информация различных категорий конфиденциальности);

• Определить порядок приобретения и использования сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации; образцов технических средств, прошедших специальные исследования, в соответствии с требованиями предписания на эксплуатацию, а также сертифицированных средств защиты информации;

• Уточнить (в том числе на основе апробации) конкретные требования к СЗИ, включаемые в ТЗ на разработку СЗИ АС Организации;

• Определить возможность использования в АС Организации имеющихся сертифицированных средств защиты информации;

• Произвести закупку сертифицированных образцов и серийно выпускаемых технических и программных средств защиты информации («Secret Net» и т.п.) и их внедрение на рабочих станциях и файловых серверах сети с целью контроля за изменением конфигурации аппаратных и программных средств и действиями пользователей;

• Произвести разработку и последующую сертификацию программных средств защиты информации в случае, когда на рынке отсутствуют требуемые программные средства;

• Для обеспечения режима удаленного доступа пользователей по сети ОРГАНИЗАЦИИ к информации конфиденциальных баз данных рассмотреть возможность разработки, сертификации и аттестации специальных криптографических средств. В их состав должны входить: сетевой криптошлюз, защищенные абонентские пункты доступа через криптошлюз, центр генерации и распространения ключей. На уровне прикладных программ необходимо разработать средства, обеспечивающие возможность доступа к конфиденциальным данным только с защищенных абонентских пунктов;

• Определить степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер его взаимодействия между собой и с подразделениями по защите информации;

• Произвести разработку и реализацию разрешительной системы доступа пользователей и эксплуатационного персонала АС Организации или иного объекта информатизации к обрабатываемой информации, оформляемой в виде раздела «Положения о разрешительной системе допуска исполнителей к документам и сведениям»;

• Произвести разработку организационно-распорядительной и рабочей документации по эксплуатации объекта информатизации в защищенном исполнении, а также средств и мер защиты информации в АС Организации (План защиты, Инструкции, обязанности и т.п.), регламентирующих процессы допуска пользователей к работе с АС Организации, разработки, приобретения и использования программного обеспечения на рабочих станциях и серверах, порядок внесения изменений в конфигурацию аппаратных и программных средств при ремонте, развитии и обслуживании СВТ, порядок применения и администрирования средств защиты информации и т.п.;

• Для снижения риска перехвата в сети с других рабочих станций имен и паролей привилегированных пользователей (в особенности администраторов средств защиты и баз данных) организовать их работу в отдельных сегментах сети, шире применять сетевые устройства типа switch, не использовать удаленных режимов конфигурирования сетевых устройств (маршрутизаторов, концентраторов и т.п.);

• Исключить доступ программистов в эксплуатируемые подсистемы АС ОРГАНИЗАЦИИ (к реальной информации и базам данных), организовать опытный участок АС для разработки и отладки программ. Передачу разработанных программ в эксплуатацию производить через архив эталонов программ (фонд алгоритмов и программ) подразделения, ответственного за эксплуатацию ПО;

• Для защиты компонентов ЛВС органов Организации от неправомерных воздействий из других ЛВС Организации и внешних сетей по IP - протоколу целесообразно использовать на узлах корпоративной сети Организации сертифицированные установленным порядком межсетевые экраны;

• Произвести опытную эксплуатацию средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объектов информатизации и отработки технологических процессов обработки (передачи) информации;

• Произвести специальную проверку импортных технических средств на предмет возможно внедренных в эти средства электронных устройств перехвата информации («закладок»);

• Произвести специальную проверку выделенных помещений на предмет обнаружения возможно внедренных в эти помещения или предметы интерьера электронных устройств перехвата информации («закладок»);

• Произвести обследование объекта информатизации и специальные исследования технических средств;

• Произвести конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возможных технических каналов утечки информации (в случае необходимости);

• Произвести развязку цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

• Произвести развязку линий связи и других цепей между выходящими за пределы контролируемой зоны и находящимися внутри нее;

• Произвести необходимую звуко- и виброизоляцию выделенных помещений;

• Произвести категорирование помещений, в которых проводятся обсуждения или ведутся переговоры по секретным вопросам (выделенных помещений);

• Произвести категорирование ОТСС, предназначенных для обработки, передачи и хранения конфиденциальной информации;

• Произвести классификацию защищенности автоматизированных систем от несанкционированного доступа (НСД) к информации, предназначенных для обработки конфиденциальной информации;

• Произвести оформление технического паспорта объекта информатизации (АС Организации);

• Произвести аттестацию объекта информатизации по требованиям защиты информации;

• Организовать охрану и физическую защиту объекта информатизации и отдельных технических средств, исключающих НСД к техническим средствам, их хищение и нарушение работоспособности;

• Организовать контроль состояния и эффективности защиты информации с оценкой выполнения требований нормативных документов организационно-технического характера, обоснованности принятых мер, проверки выполнения норм эффективности защиты информации по действующим методикам с применением поверенной контрольно-измерительной аппаратуры и сертифицированных программных средств контроля.

• Для контроля за состоянием защиты, выявлением слабых мест (уязвимостей) в системе защиты серверов и рабочих станций и принятия своевременных мер по их устранению (перекрытию возможности их использования злоумышленниками) необходимо использовать специальные программы оценки защищенности (сканеры, например Internet Security Scanner фирмы ISS);

• Для контроля за правильностью настроек администраторами средств защиты на серверах под управлением ОС UNIX (SINIX) целесообразно использовать System Security Scanner (фирмы ISS).

© Рефератбанк, 2002 - 2024