- •Національна академія наук україни інститут програмних систем
- •1. Об'єкти захисту
- •2. Загрози безпеки інформації
- •3. Модель порушника в ас
- •4. Методи і принципи парирування загрозам безпеки
- •5. Правила інформаційної безпеки
- •4.1. Організаційні заходи по забезпеченню безпеки
- •4.2. Класифікація і управління ресурсами
- •4.3. Безпека персоналу
- •4.3.1. Безпека в посадових інструкціях і при виділенні ресурсів
- •4.3.2. Перевірка осіб, що приймаються на роботу
- •4.3.3. Угода про конфіденційність
- •4.3.4. Навчання користувачів
- •4.3.5. Реакція на інциденти безпеки і несправності
- •4.4. Фізична безпека
- •4.4.1. Фізичний периметр безпеки
- •4.4.2. Правила використовування робочого столу
- •4.4.3. Захист обладнання
- •4.4.3.1. Розміщення і захист обладнання
- •4.4.3.2. Джерела електроживлення
- •4.4.3.3. Захист кабельної розводки
- •4.4.3.4. Технічне обслуговування обладнання
- •4.4.3.5. Захист обладнання, що використовується за межами організації
- •4.4.3.6. Надійна утилізація обладнання
- •4.5. Управління комунікаціями і процесами
- •4.5.1. Посадові (службові) інструкції і відповідальність
- •4.5.2. Захист від шкідливого пз (вірусів, троянських коней, Spyware)
- •4.5.3. Управління внутрішніми ресурсами
- •4.5.4. Аутентифікація і безпека мережі
- •4.5.4.1. Відповідальність
- •4.5.4.2. Архітектура мережі
- •4.5.4.3. Адресація в мережі
- •4.5.4.4. Управління доступом до мережі
- •4.5.4.5. Імена користувачів
- •4.5.4.6. Паролі
- •4.5.4.7. Засоби управління доступом
- •4.5.4.8. Видалений доступ
- •4.5.4.9. Безпека зв'язку по телефонних каналах
- •4.5.5. Безпека носіїв даних
- •4.5.6. Вимоги до передачі системної документації і критичної інформації
- •4.6. Контроль доступу до інформаційних ресурсів
- •4.6.1. Загальні вимоги
- •4.6.2. Процедури реєстрації
- •4.6.3.Процедура авторизації
- •4.6.4. Управління ідентифікаторами і паролями
- •4.6.5. Система управління паролями
- •4.6.6. Правила захисту обладнання, залишеного без нагляду
- •4.6.7. Використовування мережних служб і сервісів
- •4.6.8. Процедура входу в систему (log on)
- •4.6.9. Використовування системних утіліт
- •4.6.10. Прикладні системи
- •4.6.11. Журнали реєстрації
- •4.6.12. Віддалений доступ
- •4.6.12.3. Безпека для мобільних комп'ютерів і користувачів при віддалений роботі:
- •4.6.13. Процедури керування доступом користувачів до інформаційних ресурсів нан України
- •4.6.13.1. Процедура керування доступом користувачів до Веб-порталу нан України
- •4.6.13.2. Процедура керування доступом користувачів до Веб-сайтів організацій та установ нан України
- •4.6.13.3. Процедура керування доступом користувачів до вітчизняних та зарубіжних електронних бібліотек
- •4.6.13.4. Процедура керування доступом користувачів до корпоративної інформаційно-пошукової системи «Наукові інформаційні ресурси нан України» (Веб-сайту)
- •4.6.13.5. Технологія використання засобів керування доступом користувачів до банку науково-прикладних засобів
- •4.6.13.6. Процедура керування доступом користувачів до автоматизованої інформаційної системи підтримки міжнародної діяльності нан України
- •4.6.13.7. Процедура керування доступом користувачів до інтегрованої системи електронного документообігу в нан України
- •4.6.13.8. Технологія використання засобів керування доступом користувачів до типових інформаційно-аналітичних підсистеми нан України
- •4.7. Правила безпеки для брандмауерів
- •4.7.1. Ризики безпеки брандмауера
- •4.7.2. Хост, підключений до двох сегментів мережі
- •4.7.3. Екранований хост
- •4.7.4. Екранована підмережа
- •4.7.5. Інтранет
- •4.7.6. Адміністрування брандмауера
- •4.7.7. Віддалене адміністрування брандмауера
- •4.7.8. Зареєстровані користувачі
- •4.7.9. Архівні копії брандмауера
- •4.7.10. Довірчі взаємозв'язки в мережі
- •4.7.11. Віртуальні приватні мережа (vpn)
- •4.7.12. Відображення імен на адреси за допомогою dns
- •4.7.13. Цілісність системи
- •4.7.14. Документація
- •4.7.15. Фізична безпека брандмауера
- •4.7.16. Дії при спробах порушення безпеки
- •4.7.17. Відновлення сервісів
- •4.7.18. Удосконалення брандмауера
- •4.8. Правила безпеки при роботі в Інтернеті
- •4.8.1. Пошук інформації в Інтернеті за допомогою браузера
- •4.8.2. Правила безпеки веб-серверів
- •4.8.3. Правила безпеки для електронної пошти
- •4.9. Розробка і супровід інформаційних систем
- •4.9.1. Безпека додатків
- •4.9.2. Вимоги до застосування криптографічних засобів захисту
- •4.9.3. Безпека системних файлів
- •4.9.4. Безпека процесів розробки і підтримки
- •4.10. Планування безперебійної роботи організації
- •4.11. Відповідність системи основним вимогам
- •4.11.1. Виконання правових вимог
- •4.11.2. Вимоги до дотримання авторських прав на програмне забезпечення
- •4.11.3. Перевірка безпеки інформаційних систем
- •4.11.4. Вимоги до системного аудиту
4.6.8. Процедура входу в систему (log on)
4.6.8.1. Процедура входу в систему (log on) повинна задовольняти певним вимогам:
Не видавати інформації про тип і версію системи або додатку до успішного завершення процедур ідентифікації і аутентифікації
Обмежувати число невдалих спроб входу (рекомендується до 3 разів). При цьому кожна ітерація повинна включати запис невдалої спроби входу, тимчасову затримку перед повторною спробою входу в систему, роз'єднання
Видавати попередження, що вхід в систему дозволений тільки авторизованим користувачам
Не видавати підказок і довідкової інформації, щоб ускладнити проникнення в систему неавторизованому користувачу
Перевірку введеної інформації здійснювати тільки після її повного введення. У разі виявлення помилки система не повинна уточнювати, які саме дані введені неправильно
Визначити максимальний час для процедури реєстрації; при його перевищенні закінчувати реєстрацію
Після успішного входу користувача в систему інформувати його про дату останнього входу в систему і будь-які неуспішні спроби
4.6.9. Використовування системних утіліт
4.6.9.1. Використовування системних утіліт повинне задовольняти наступним вимогам:
При використовуванні системних утіліт повинна застосовуватися процедура аутентифікації
Системні утіліти і додатки необхідно зберігати роздільно
Використовування системних утіліт повинно бути дозволено мінімально можливому числу довірених авторизованих користувачів
Повинні бути визначені і документально закріплені рівні авторизації для системних утіліт
Необхідно видаляти всі непотрібні програмні утіліти і системне програмне забезпечення
Доступність системних утіліт повинна бути обмежена
Повинна вестися реєстрація всіх дій з системними утілітами
4.6.10. Прикладні системи
4.6.10.1. Прикладні системи повинні задовольняти ряду вимог:
Повинен бути забезпечений захист від несанкціонованого доступу до системних утіліт і програмного забезпечення
Повинна бути забезпечена можливість надавати доступ до інформації тільки її власнику, іншим певним користувачам або групам користувачів
Не піддавати небезпеки системи, з якими використовуються спільні ресурси
Доступ користувачів до інформації і системних викликів додатків повинен контролюватися відповідно до політики безпеки
4.6.10.2. Необхідне виконання певних вимог по обмеженню доступу користувачів прикладних систем до інформації:
Передбачати меню для управління доступом до функцій додатків
Необхідно визначати права доступу користувачів (читання, запис, видалення, виконання)
Необхідний контроль того, що вихідні дані додатків, що оброблюють критичну інформацію, містять необхідну інформацію, яка відправляється тільки на авторизовані термінали, а також періодичні перевірки того, що надмірна інформація віддаляється
Інформація про функції інформаційних систем і додатків повинна надаватися користувачу, залежно від рівня його доступу (необхідна відповідна редакція призначеної для користувача документації і системного меню)