- •Національна академія наук україни інститут програмних систем
- •1. Об'єкти захисту
- •2. Загрози безпеки інформації
- •3. Модель порушника в ас
- •4. Методи і принципи парирування загрозам безпеки
- •5. Правила інформаційної безпеки
- •4.1. Організаційні заходи по забезпеченню безпеки
- •4.2. Класифікація і управління ресурсами
- •4.3. Безпека персоналу
- •4.3.1. Безпека в посадових інструкціях і при виділенні ресурсів
- •4.3.2. Перевірка осіб, що приймаються на роботу
- •4.3.3. Угода про конфіденційність
- •4.3.4. Навчання користувачів
- •4.3.5. Реакція на інциденти безпеки і несправності
- •4.4. Фізична безпека
- •4.4.1. Фізичний периметр безпеки
- •4.4.2. Правила використовування робочого столу
- •4.4.3. Захист обладнання
- •4.4.3.1. Розміщення і захист обладнання
- •4.4.3.2. Джерела електроживлення
- •4.4.3.3. Захист кабельної розводки
- •4.4.3.4. Технічне обслуговування обладнання
- •4.4.3.5. Захист обладнання, що використовується за межами організації
- •4.4.3.6. Надійна утилізація обладнання
- •4.5. Управління комунікаціями і процесами
- •4.5.1. Посадові (службові) інструкції і відповідальність
- •4.5.2. Захист від шкідливого пз (вірусів, троянських коней, Spyware)
- •4.5.3. Управління внутрішніми ресурсами
- •4.5.4. Аутентифікація і безпека мережі
- •4.5.4.1. Відповідальність
- •4.5.4.2. Архітектура мережі
- •4.5.4.3. Адресація в мережі
- •4.5.4.4. Управління доступом до мережі
- •4.5.4.5. Імена користувачів
- •4.5.4.6. Паролі
- •4.5.4.7. Засоби управління доступом
- •4.5.4.8. Видалений доступ
- •4.5.4.9. Безпека зв'язку по телефонних каналах
- •4.5.5. Безпека носіїв даних
- •4.5.6. Вимоги до передачі системної документації і критичної інформації
- •4.6. Контроль доступу до інформаційних ресурсів
- •4.6.1. Загальні вимоги
- •4.6.2. Процедури реєстрації
- •4.6.3.Процедура авторизації
- •4.6.4. Управління ідентифікаторами і паролями
- •4.6.5. Система управління паролями
- •4.6.6. Правила захисту обладнання, залишеного без нагляду
- •4.6.7. Використовування мережних служб і сервісів
- •4.6.8. Процедура входу в систему (log on)
- •4.6.9. Використовування системних утіліт
- •4.6.10. Прикладні системи
- •4.6.11. Журнали реєстрації
- •4.6.12. Віддалений доступ
- •4.6.12.3. Безпека для мобільних комп'ютерів і користувачів при віддалений роботі:
- •4.6.13. Процедури керування доступом користувачів до інформаційних ресурсів нан України
- •4.6.13.1. Процедура керування доступом користувачів до Веб-порталу нан України
- •4.6.13.2. Процедура керування доступом користувачів до Веб-сайтів організацій та установ нан України
- •4.6.13.3. Процедура керування доступом користувачів до вітчизняних та зарубіжних електронних бібліотек
- •4.6.13.4. Процедура керування доступом користувачів до корпоративної інформаційно-пошукової системи «Наукові інформаційні ресурси нан України» (Веб-сайту)
- •4.6.13.5. Технологія використання засобів керування доступом користувачів до банку науково-прикладних засобів
- •4.6.13.6. Процедура керування доступом користувачів до автоматизованої інформаційної системи підтримки міжнародної діяльності нан України
- •4.6.13.7. Процедура керування доступом користувачів до інтегрованої системи електронного документообігу в нан України
- •4.6.13.8. Технологія використання засобів керування доступом користувачів до типових інформаційно-аналітичних підсистеми нан України
- •4.7. Правила безпеки для брандмауерів
- •4.7.1. Ризики безпеки брандмауера
- •4.7.2. Хост, підключений до двох сегментів мережі
- •4.7.3. Екранований хост
- •4.7.4. Екранована підмережа
- •4.7.5. Інтранет
- •4.7.6. Адміністрування брандмауера
- •4.7.7. Віддалене адміністрування брандмауера
- •4.7.8. Зареєстровані користувачі
- •4.7.9. Архівні копії брандмауера
- •4.7.10. Довірчі взаємозв'язки в мережі
- •4.7.11. Віртуальні приватні мережа (vpn)
- •4.7.12. Відображення імен на адреси за допомогою dns
- •4.7.13. Цілісність системи
- •4.7.14. Документація
- •4.7.15. Фізична безпека брандмауера
- •4.7.16. Дії при спробах порушення безпеки
- •4.7.17. Відновлення сервісів
- •4.7.18. Удосконалення брандмауера
- •4.8. Правила безпеки при роботі в Інтернеті
- •4.8.1. Пошук інформації в Інтернеті за допомогою браузера
- •4.8.2. Правила безпеки веб-серверів
- •4.8.3. Правила безпеки для електронної пошти
- •4.9. Розробка і супровід інформаційних систем
- •4.9.1. Безпека додатків
- •4.9.2. Вимоги до застосування криптографічних засобів захисту
- •4.9.3. Безпека системних файлів
- •4.9.4. Безпека процесів розробки і підтримки
- •4.10. Планування безперебійної роботи організації
- •4.11. Відповідність системи основним вимогам
- •4.11.1. Виконання правових вимог
- •4.11.2. Вимоги до дотримання авторських прав на програмне забезпечення
- •4.11.3. Перевірка безпеки інформаційних систем
- •4.11.4. Вимоги до системного аудиту
Національна академія наук україни інститут програмних систем
ЗАТВЕРДЖУЮ ЗАТВЕРДЖУЮ
Керівник програми Директор ІПС НАН України
Перший віце-президент- академік НАН України
Головний вчений секретар
НАН України,
академік НАН України
________________ А.П.Шпак _________________П.І.Андон
«__» _____________ 2006р. «__» _____________ 2006р.
Назва проекту: «Розробка та впровадження типових рішень
щодо комплексної системи захисту інформації в АІС НАНУ»
Правила (політика) комп'ютерної безпеки
для організацій та установ НАН України
05540149.90000.042.ПБ-01-ЛЗ
УЗГОДЖЕНО
Начальник науково-організаційного В.о. заст.директора,
відділу Президії НАН України вчений секретар ІПС НАН України
________________ В.Л.Богданов _______________ С.С.Шалугін
«__» _______________ 2006р. «___» ______________ 2006р.
Керівник сектору науково- Керівник проекту, с.н.с.
організаційного відділу Інституту програмних систем
Президії НАН України НАН України
_________________ В.Л.Майстренко ________________ В.П.Шилін
«___» ______________2006р. «__»_______________ 2006р.
Київ-2006
НАЦІОНАЛЬНА АКАДЕМІЯ НАУК УКРАЇНИ
ІНСТИТУТ ПРОГРАМНИХ СИСТЕМ
ЗАТВЕРДЖЕНО
05540149.90000.042.ПБ-01-ЛЗ
Назва проекту: «Розробка та впровадження типових рішень
щодо комплексної системи захисту інформації в АІС НАНУ»
Правила (політика) комп'ютерної безпеки
для організацій та установ НАН України
05540149.90000.042.ПБ-01
Київ-2006
1. Об'єкти захисту 5
2. Загрози безпеки інформації 8
3. Модель порушника в АС 15
4. Методи і принципи парирування загрозам безпеки 18
5. Правила інформаційної безпеки 21
4.1. Організаційні заходи по забезпеченню безпеки 21
4.3. Безпека персоналу 25
4.4. Фізична безпека 28
4.4.1. Фізичний периметр безпеки 28
4.4.2. Правила використовування робочого столу 29
4.4.3. Захист обладнання 30
4.4.3.5. Захист обладнання, що використовується за межами організації 31
4.4.3.6. Надійна утилізація обладнання 32
4.5. Управління комунікаціями і процесами 32
4.5.1. Посадові (службові) інструкції і відповідальність 32
4.5.4. Аутентифікація і безпека мережі 36
4.5.5. Безпека носіїв даних 40
4.6. Контроль доступу до інформаційних ресурсів 43
4.6.13. Процедури керування доступом користувачів до інформаційних ресурсів НАН України 52
4.6.13.2. Процедура керування доступом користувачів до Веб-сайтів організацій та установ НАН України 53
4.6.13.3. Процедура керування доступом користувачів до вітчизняних та зарубіжних електронних бібліотек 55
4.6.13.4. Процедура керування доступом користувачів до корпоративної інформаційно-пошукової системи «Наукові інформаційні ресурси НАН України» (Веб-сайту) 56
4.6.13.5. Технологія використання засобів керування доступом користувачів до банку науково-прикладних засобів 57
4.6.13.6. Процедура керування доступом користувачів до автоматизованої інформаційної системи підтримки міжнародної діяльності НАН України 58
4.6.13.7. Процедура керування доступом користувачів до інтегрованої системи електронного документообігу в НАН України 59
4.6.13.8. Технологія використання засобів керування доступом користувачів до типових інформаційно-аналітичних підсистеми НАН України 59
4.7. Правила безпеки для брандмауерів 59
4.7.1. Ризики безпеки брандмауера 59
4.7.2. Хост, підключений до двох сегментів мережі 60
4.7.3. Екранований хост 60
4.7.4. Екранована підмережа 60
4.7.5. Інтранет 61
4.7.9. Архівні копії брандмауера 62
4.7.10. Довірчі взаємозв'язки в мережі 62
4.7.11. Віртуальні приватні мережа (VPN) 63
4.7.12. Відображення імен на адреси за допомогою DNS 63
4.7.13. Цілісність системи 64
4.7.14. Документація 64
4.7.15. Фізична безпека брандмауера 64
4.7.16. Дії при спробах порушення безпеки 65
4.8. Правила безпеки при роботі в Інтернеті 66
4.8.3. Правила безпеки для електронної пошти 69
4.9. Розробка і супровід інформаційних систем 70
4.9.1. Безпека додатків 70
4.10. Планування безперебійної роботи організації 75
4.11. Відповідність системи основним вимогам 78
Вступ
Термін Правила (політика) комп'ютерної безпеки має різний зміст для різних людей. Це може бути директива одного з керівників організації по організації програми комп'ютерної безпеки, що встановлює її цілі і призначає відповідальних за її виконання. Або це може бути рішення начальника відділу відносно безпеки електронної пошти або факсів. Або це можуть бути правила забезпечення безпеки для конкретної системи (це такі типи політик, про які експерти в комп'ютерній безпеці говорять, що вони реалізуються програмно-апаратними засобами і організаційними заходами).
Політика інформаційної безпеки є планом високого рівня, в якому описуються цілі і задачі заходів у сфері безпеки. Політика не представляє собою ні директиву, ні норматив, ні інструкції, ні засоби управління. Політика описує безпеку в узагальнених термінах без специфічних деталей. Вона забезпечує планування всієї програми безпеки так само, як специфікація визначає номенклатуру продукції, що випускається.
Політика інформаційної безпеки повинна забезпечувати захист виконання задач організацій та установ НАН України.
В цьому документі описані рішення відносно безпеки організацій та установ НАН України. Ці рішення включають визначення того, як будуть захищатися технічні і інформаційні ресурси, а також як повинні поводитися службовці в тих або інших ситуаціях.
Цей документ розроблений на підставі вимог нормативного документу «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі». НД ТЗІ 3.7-003-05.
Структура та зміст цього документу відповідають вимогам міжнародного стандарту ISO/IEC 17799.