- •Національна академія наук україни інститут програмних систем
- •1. Об'єкти захисту
- •2. Загрози безпеки інформації
- •3. Модель порушника в ас
- •4. Методи і принципи парирування загрозам безпеки
- •5. Правила інформаційної безпеки
- •4.1. Організаційні заходи по забезпеченню безпеки
- •4.2. Класифікація і управління ресурсами
- •4.3. Безпека персоналу
- •4.3.1. Безпека в посадових інструкціях і при виділенні ресурсів
- •4.3.2. Перевірка осіб, що приймаються на роботу
- •4.3.3. Угода про конфіденційність
- •4.3.4. Навчання користувачів
- •4.3.5. Реакція на інциденти безпеки і несправності
- •4.4. Фізична безпека
- •4.4.1. Фізичний периметр безпеки
- •4.4.2. Правила використовування робочого столу
- •4.4.3. Захист обладнання
- •4.4.3.1. Розміщення і захист обладнання
- •4.4.3.2. Джерела електроживлення
- •4.4.3.3. Захист кабельної розводки
- •4.4.3.4. Технічне обслуговування обладнання
- •4.4.3.5. Захист обладнання, що використовується за межами організації
- •4.4.3.6. Надійна утилізація обладнання
- •4.5. Управління комунікаціями і процесами
- •4.5.1. Посадові (службові) інструкції і відповідальність
- •4.5.2. Захист від шкідливого пз (вірусів, троянських коней, Spyware)
- •4.5.3. Управління внутрішніми ресурсами
- •4.5.4. Аутентифікація і безпека мережі
- •4.5.4.1. Відповідальність
- •4.5.4.2. Архітектура мережі
- •4.5.4.3. Адресація в мережі
- •4.5.4.4. Управління доступом до мережі
- •4.5.4.5. Імена користувачів
- •4.5.4.6. Паролі
- •4.5.4.7. Засоби управління доступом
- •4.5.4.8. Видалений доступ
- •4.5.4.9. Безпека зв'язку по телефонних каналах
- •4.5.5. Безпека носіїв даних
- •4.5.6. Вимоги до передачі системної документації і критичної інформації
- •4.6. Контроль доступу до інформаційних ресурсів
- •4.6.1. Загальні вимоги
- •4.6.2. Процедури реєстрації
- •4.6.3.Процедура авторизації
- •4.6.4. Управління ідентифікаторами і паролями
- •4.6.5. Система управління паролями
- •4.6.6. Правила захисту обладнання, залишеного без нагляду
- •4.6.7. Використовування мережних служб і сервісів
- •4.6.8. Процедура входу в систему (log on)
- •4.6.9. Використовування системних утіліт
- •4.6.10. Прикладні системи
- •4.6.11. Журнали реєстрації
- •4.6.12. Віддалений доступ
- •4.6.12.3. Безпека для мобільних комп'ютерів і користувачів при віддалений роботі:
- •4.6.13. Процедури керування доступом користувачів до інформаційних ресурсів нан України
- •4.6.13.1. Процедура керування доступом користувачів до Веб-порталу нан України
- •4.6.13.2. Процедура керування доступом користувачів до Веб-сайтів організацій та установ нан України
- •4.6.13.3. Процедура керування доступом користувачів до вітчизняних та зарубіжних електронних бібліотек
- •4.6.13.4. Процедура керування доступом користувачів до корпоративної інформаційно-пошукової системи «Наукові інформаційні ресурси нан України» (Веб-сайту)
- •4.6.13.5. Технологія використання засобів керування доступом користувачів до банку науково-прикладних засобів
- •4.6.13.6. Процедура керування доступом користувачів до автоматизованої інформаційної системи підтримки міжнародної діяльності нан України
- •4.6.13.7. Процедура керування доступом користувачів до інтегрованої системи електронного документообігу в нан України
- •4.6.13.8. Технологія використання засобів керування доступом користувачів до типових інформаційно-аналітичних підсистеми нан України
- •4.7. Правила безпеки для брандмауерів
- •4.7.1. Ризики безпеки брандмауера
- •4.7.2. Хост, підключений до двох сегментів мережі
- •4.7.3. Екранований хост
- •4.7.4. Екранована підмережа
- •4.7.5. Інтранет
- •4.7.6. Адміністрування брандмауера
- •4.7.7. Віддалене адміністрування брандмауера
- •4.7.8. Зареєстровані користувачі
- •4.7.9. Архівні копії брандмауера
- •4.7.10. Довірчі взаємозв'язки в мережі
- •4.7.11. Віртуальні приватні мережа (vpn)
- •4.7.12. Відображення імен на адреси за допомогою dns
- •4.7.13. Цілісність системи
- •4.7.14. Документація
- •4.7.15. Фізична безпека брандмауера
- •4.7.16. Дії при спробах порушення безпеки
- •4.7.17. Відновлення сервісів
- •4.7.18. Удосконалення брандмауера
- •4.8. Правила безпеки при роботі в Інтернеті
- •4.8.1. Пошук інформації в Інтернеті за допомогою браузера
- •4.8.2. Правила безпеки веб-серверів
- •4.8.3. Правила безпеки для електронної пошти
- •4.9. Розробка і супровід інформаційних систем
- •4.9.1. Безпека додатків
- •4.9.2. Вимоги до застосування криптографічних засобів захисту
- •4.9.3. Безпека системних файлів
- •4.9.4. Безпека процесів розробки і підтримки
- •4.10. Планування безперебійної роботи організації
- •4.11. Відповідність системи основним вимогам
- •4.11.1. Виконання правових вимог
- •4.11.2. Вимоги до дотримання авторських прав на програмне забезпечення
- •4.11.3. Перевірка безпеки інформаційних систем
- •4.11.4. Вимоги до системного аудиту
4.5.4. Аутентифікація і безпека мережі
4.5.4.1. Відповідальність
а) Відповідальним за планування, експлуатацію і безпеку локальної обчислювальної мережі організації НАН України є системний адміністратор, що призначається встановленим порядком.
б) Відповідальним за планування, експлуатацію і безпеку корпоративної обчислювальної мережі (інформаційно-телекомунікаційної мережі) НАН України є розробник і провайдер цієї мережі – UAR NET/
в) Відповідальність за використовування мережних сервісів і виконання локальних операцій на мережних робочих станціях покладається на кінцевих користувачів, закріплених за цими станціями встановленим порядком.
4.5.4.2. Архітектура мережі
а) Архітектура локальних обчислювальних мереж організацій НАН України повинна бути побудована на принципі «управління трафиком» тобто з використанням підмереж.
б) Відділ кадрів, бухгалтерія, планово-виробничий відділ і інші адміністративні системи повинні бути фізично відокремлені від основної мережі, щоб таким чином управляти вхідними і витікаючими потоками інформації в цих системах.
в) Обробка секретної інформації в режимно-секретних відділах організацій НАН України допускається тільки на локальних (не підключених до мережі) засобах обчислювальної техніки.
4.5.4.3. Адресація в мережі
а) Адреси внутрішньої мережі організації повинні залишатися прихованими. Коли системи запрошують доступ до інших мереж, приховані адреси перед передачею повинні бути перетворені на легальні зареєстровані адреси.
б) Для забезпечення груповими іменами доступних внутрішніх систем необхідно наступне: служба мережних імен повинна забезпечити користувачів Internet умовними іменами, зрозумілими для внутрішніх систем, а достовірні імена привласнити користувачам для роботи у внутрішній мережі організації.
в) Адреси мережі повинні бути заздалегідь визначені для кожної системи і мережного пристрою і можуть завантажуватися наперед або бути сформованими перед підключенням до мережі.
г) Сервери мережних адрес і сервери, які використовуються для формування адрес, повинні бути захищені всіма доступними для цих пристроїв способами.
д) Необхідно розробити методики, що дозволяють реконфігурувати мережу організації. В цих методиках повинні бути відображені всі зміни, що стосуються безпосередньо всіх внутрішніх і зовнішніх точок доступу.
4.5.4.4. Управління доступом до мережі
а) Будь-який шлюз, запропонований для установки в мережі організації, якщо він може порушити правила або процедури, що визначені цими правилами, не повинен встановлюватися без попереднього затвердження відповідальним за безпеку в організації..
б) Додатки, необхідні для роботи шлюзів, повинні піддаватися аутентифікації в мережі. Якщо сам додаток не може бути аутентифікований, то правила аутентифікації, описані в даному документі, повинні розповсюджуватися на допоміжні системи, підключені через шлюзи.
в) Весь телефонний доступ в мережі повинен бути захищений за допомогою засобів строгого контролю аутентифікації. Модеми необхідно конфігурувати для одного з доступів dial-іn або dial-out, але у жодному випадку не для обох. Адміністратор мережі повинен забезпечити процедури гарантованого доступу до модемних систем. Користувачі не повинні встановлювати модеми в інших точках мережі без відповідних санкцій.