- •Глава 6. Організаційний захист інформаційних систем
- •6.1. Політика інформаційної безпеки
- •6.1.1. Принципи політики безпеки
- •6.1.2. Види політики безпеки
- •6.1.3. Політика безпеки для Internet
- •6.2. Основні напрямки захисту інформаційних систем
- •Напрямки захисту іс
- •Шляхи збереження інформації
- •6.3. Інвентаризація інформаційних систем
- •6.3.1. Загальний підхід до інвентаризації інформаційних систем
- •6.3.2. Принципи і напрямки проведення інвентаризації
- •6.3.3. Інформація, що збирається
- •6.4. Принципи організації управління і контролю систем захисту
- •6.5. Управління доступом до робочих місць в інформаційній системі
- •6.6. Управління доступом до сервісів
- •6.7. Захист цілісності даних і програм від шкідливого програмного забезпечення
- •6.8. Контроль за станом безпеки інформаційних систем
- •6.9. Сканери безпеки інформаційної системи
- •Контрольні питання
6.7. Захист цілісності даних і програм від шкідливого програмного забезпечення
Існує, як відомо, ряд шкідливих методів, які дозволяють порушувати цілісність даних і програм: “комп’ютерні віруси”, “мережеві хробаки”, “троянські коні”, “логічні бомби” тощо. Адміністратори ІС і користувачі повинні бути завжди готові до можливості проникнення шкідливого програмного забезпечення ІС і оперативно вживати заходи щодо виявлення його впровадження і ліквідації наслідків його атак.
В основу захисту від вірусів повинні бути покладені знання розуміння правил безпеки, належні засоби управління доступом до систем, зокрема:
- організація повинна проводити політику щодо встановлення тільки ліцензійного програмного забезпечення;
- антивірусні програмні засоби повинні регулярно оновлюватися і використовуватися для профілактичних перевірок (бажано щоденних);
- необхідно проводити регулярну перевірку цілісності критично важливих програм і даних. Наявність лишніх файлів і слідів несанкціонованого внесення змін потрібно реєструвати в журналі та розслідувати;
- дискети “невідомого походження” слід перевіряти на наявність вірусів до їх використання;
- необхідно суворо дотримуватись встановлених процедур повідомлення про випадки ураження ІС комп’ютерними вірусами і вживати заходи щодо ліквідації наслідків їх проникнення;
- слід мати плани забезпечення безперебійної роботи організації у разі вірусного зараження, у тому числі плани резервного копіювання всіх необхідних даних і програм та їх відновлень. Ці плани особливо важливі для мережевих файлових серверів, які підтримують велику кількість робочих станцій.
6.8. Контроль за станом безпеки інформаційних систем
Для ефективного захисту інформації в ІС організації, як правило, створюється підрозділ безпеки, на спеціалістів якого покладається вирішення таких основних задач:
- організація і підтримання контрольованого доступу користувачів до ресурсів ІС на всіх етапах її життєвого циклу;
- слідкування за станом безпеки ІС і оперативне реагування на несанкціоновані дії користувачів у даній системі.
У зв’язку з застосуванням додаткових засобів захисту інформації адміністратору безпеки належить виконувати такі операції:
- встановлювати засоби захисту інформації на комп’ютери організації (установка і впровадження ЗЗІ);
- настроювати засоби захисту інформації шляхом надання прав доступу користувачам як до ресурсів комп’ютерів, так і до ресурсів мережі (експлуатація ЗЗІ);
- контролювати стан захищеності ІС шляхом оперативного моніторингу і аналізу системних журналів (контроль за станом безпеки ІС).
Адміністратору безпеки необхідно контролювати стан безпеки ІС як оперативно, шляхом стеження за станом захищеності комп’ютерів ІС, так і неоперативно – шляхом аналізу вмісту журналів реєстрації подій системи захисту інформації (СЗІ).
Використання сервера управління доступом для оперативного контролю за станом робочих станцій і роботою користувачів дозволяє відмовитись від постійної присутності в мережі адміністратора безпеки. У цьому випадку сервер управління доступом автоматично реєструє несанкціоновані дії, що відбуваються у мережі, і завжди володіє оперативною інформацією про стан станцій.
Збільшення кількості робочих станцій і використання програмних засобів з великою кількістю різноманітних компонентів призводять до істотного збільшення об’ємів журналів реєстрації подій СЗІ. Обсяг відомостей, що зберігаються в журналах, може настільки збільшитись, що адміністратор уже фізично не зможе повністю проаналізувати їх вміст за необхідний час.
Для полегшення роботи адміністратора безпеки необхідно реалізувати:
- оперативний контроль за станом робочих станцій мережі та роботою користувачів і за реєстрацією подій несанкціонованого доступу в спеціальному журналі;
- вибірку визначення подій (за іменем користувача, датою, часом події, її категорії тощо) з системних журналів;
- зберігання системних журналів кожної робочої станції за системою „день/місяць/рік” з автоматичним обмеженням строку їх зберігання. З закінченням установленого строку журнали знищуються;
- спеціальні можливості з обмеження переліку подій, що реєструються СЗІ;
- семантичне стиснення даних у журналі реєстрації, яке дозволяє збільшувати реєстровані події без істотної втрати їх інформативності;
- автоматична підготовка звітних документів установленої форми про роботу станцій мережі та наявних порушень, що дозволяє істотно понизити рутинне навантаження на адміністратора безпеки.