- •Національна академія наук україни інститут програмних систем
- •1. Об'єкти захисту
- •2. Загрози безпеки інформації
- •3. Модель порушника в ас
- •4. Методи і принципи парирування загрозам безпеки
- •5. Правила інформаційної безпеки
- •4.1. Організаційні заходи по забезпеченню безпеки
- •4.2. Класифікація і управління ресурсами
- •4.3. Безпека персоналу
- •4.3.1. Безпека в посадових інструкціях і при виділенні ресурсів
- •4.3.2. Перевірка осіб, що приймаються на роботу
- •4.3.3. Угода про конфіденційність
- •4.3.4. Навчання користувачів
- •4.3.5. Реакція на інциденти безпеки і несправності
- •4.4. Фізична безпека
- •4.4.1. Фізичний периметр безпеки
- •4.4.2. Правила використовування робочого столу
- •4.4.3. Захист обладнання
- •4.4.3.1. Розміщення і захист обладнання
- •4.4.3.2. Джерела електроживлення
- •4.4.3.3. Захист кабельної розводки
- •4.4.3.4. Технічне обслуговування обладнання
- •4.4.3.5. Захист обладнання, що використовується за межами організації
- •4.4.3.6. Надійна утилізація обладнання
- •4.5. Управління комунікаціями і процесами
- •4.5.1. Посадові (службові) інструкції і відповідальність
- •4.5.2. Захист від шкідливого пз (вірусів, троянських коней, Spyware)
- •4.5.3. Управління внутрішніми ресурсами
- •4.5.4. Аутентифікація і безпека мережі
- •4.5.4.1. Відповідальність
- •4.5.4.2. Архітектура мережі
- •4.5.4.3. Адресація в мережі
- •4.5.4.4. Управління доступом до мережі
- •4.5.4.5. Імена користувачів
- •4.5.4.6. Паролі
- •4.5.4.7. Засоби управління доступом
- •4.5.4.8. Видалений доступ
- •4.5.4.9. Безпека зв'язку по телефонних каналах
- •4.5.5. Безпека носіїв даних
- •4.5.6. Вимоги до передачі системної документації і критичної інформації
- •4.6. Контроль доступу до інформаційних ресурсів
- •4.6.1. Загальні вимоги
- •4.6.2. Процедури реєстрації
- •4.6.3.Процедура авторизації
- •4.6.4. Управління ідентифікаторами і паролями
- •4.6.5. Система управління паролями
- •4.6.6. Правила захисту обладнання, залишеного без нагляду
- •4.6.7. Використовування мережних служб і сервісів
- •4.6.8. Процедура входу в систему (log on)
- •4.6.9. Використовування системних утіліт
- •4.6.10. Прикладні системи
- •4.6.11. Журнали реєстрації
- •4.6.12. Віддалений доступ
- •4.6.12.3. Безпека для мобільних комп'ютерів і користувачів при віддалений роботі:
- •4.6.13. Процедури керування доступом користувачів до інформаційних ресурсів нан України
- •4.6.13.1. Процедура керування доступом користувачів до Веб-порталу нан України
- •4.6.13.2. Процедура керування доступом користувачів до Веб-сайтів організацій та установ нан України
- •4.6.13.3. Процедура керування доступом користувачів до вітчизняних та зарубіжних електронних бібліотек
- •4.6.13.4. Процедура керування доступом користувачів до корпоративної інформаційно-пошукової системи «Наукові інформаційні ресурси нан України» (Веб-сайту)
- •4.6.13.5. Технологія використання засобів керування доступом користувачів до банку науково-прикладних засобів
- •4.6.13.6. Процедура керування доступом користувачів до автоматизованої інформаційної системи підтримки міжнародної діяльності нан України
- •4.6.13.7. Процедура керування доступом користувачів до інтегрованої системи електронного документообігу в нан України
- •4.6.13.8. Технологія використання засобів керування доступом користувачів до типових інформаційно-аналітичних підсистеми нан України
- •4.7. Правила безпеки для брандмауерів
- •4.7.1. Ризики безпеки брандмауера
- •4.7.2. Хост, підключений до двох сегментів мережі
- •4.7.3. Екранований хост
- •4.7.4. Екранована підмережа
- •4.7.5. Інтранет
- •4.7.6. Адміністрування брандмауера
- •4.7.7. Віддалене адміністрування брандмауера
- •4.7.8. Зареєстровані користувачі
- •4.7.9. Архівні копії брандмауера
- •4.7.10. Довірчі взаємозв'язки в мережі
- •4.7.11. Віртуальні приватні мережа (vpn)
- •4.7.12. Відображення імен на адреси за допомогою dns
- •4.7.13. Цілісність системи
- •4.7.14. Документація
- •4.7.15. Фізична безпека брандмауера
- •4.7.16. Дії при спробах порушення безпеки
- •4.7.17. Відновлення сервісів
- •4.7.18. Удосконалення брандмауера
- •4.8. Правила безпеки при роботі в Інтернеті
- •4.8.1. Пошук інформації в Інтернеті за допомогою браузера
- •4.8.2. Правила безпеки веб-серверів
- •4.8.3. Правила безпеки для електронної пошти
- •4.9. Розробка і супровід інформаційних систем
- •4.9.1. Безпека додатків
- •4.9.2. Вимоги до застосування криптографічних засобів захисту
- •4.9.3. Безпека системних файлів
- •4.9.4. Безпека процесів розробки і підтримки
- •4.10. Планування безперебійної роботи організації
- •4.11. Відповідність системи основним вимогам
- •4.11.1. Виконання правових вимог
- •4.11.2. Вимоги до дотримання авторських прав на програмне забезпечення
- •4.11.3. Перевірка безпеки інформаційних систем
- •4.11.4. Вимоги до системного аудиту
4.6.11. Журнали реєстрації
4.6.11.1. Необхідно забезпечувати безпеку систем, що ведуть журнали реєстрації. Засоби контролю безпеки повинні забезпечувати захист від таких інцидентів, як
Виведення з ладу системи ведення журналів реєстрації
Зміна або видалення журналів реєстрації
4.6.12. Віддалений доступ
4.6.12.1. Необхідно проводити тренінги персоналу, що використовує мобільні комп'ютери, для інформування про підвищений ризик при такому способі роботи
4.6.12.2. При складанні процедур і стандартів для управління діями при віддаленій роботі повинні бути виконані наступні правила:
Забезпечення фізичного захисту місця віддаленої роботи, включаючи фізичну безпеку будівлі або найближчого оточення
Забезпечення безпеки телекомунікацій, що враховує необхідність віддаленого доступу до внутрішніх ресурсів організації
Облік можливої загрози неавторизованого доступу до інформації або ресурсів від інших близьких до віддалений користувача людей, наприклад, сім'я, друзі
4.6.12.3. Безпека для мобільних комп'ютерів і користувачів при віддалений роботі:
Забезпечення необхідним обладнанням для віддаленого мобільного доступу, програмним забезпеченням і засобами забезпечення безпеки
Повинні бути визначені дозволені види робіт, час доступу, класифікація інформації, яка може оброблятися віддалено, системи і сервіси, до яких даному мобільному користувачу дозволений віддалений доступ
Фізична безпека
Процедури резервного копіювання і забезпечення безперервності ведення ділової діяльності
Відміна повноважень, прав доступу і повернення обладнання при припиненні віддаленої роботи
4.6.13. Процедури керування доступом користувачів до інформаційних ресурсів нан України
4.6.13.1. Процедура керування доступом користувачів до Веб-порталу нан України
Мета: забезпечення розмежування доступу до підмножин контенту Веб-порталу та функцій наповнення контенту.
Групи користувачів:
Зовнішній користувач;
Користувач – співробітник НАНУ;
Привілейований користувач – співробітник НАНУ;
Користувач – співробітник НАНУ, що має привілеї щодо наповнення контенту.
Повноваження:
Зовнішній користувач повинен мати доступ до наперед заданого (на етапі проектування) переліку сторінок Веб-порталу.
Користувач – співробітник НАНУ повинен мати доступ до відкритої інформації, що розміщена на Веб-порталі .
Привілейований користувач – співробітник НАНУ повинен мати доступ до відкритої та конфіденційної інформації (наприклад, персональна інформація щодо наукових кадрів, інформація щодо результатів наукових досліджень), що розміщена на Веб-порталі. Привілейований користувач – співробітник НАНУ має також всі повноваження користувача – співробітника НАНУ.
Користувач – співробітник НАНУ, що має привілеї щодо наповнення контенту повинен мати можливість формувати та змінювати окремі сторінки Веб-порталу. Привілейований користувач – співробітник НАНУ , що має привілеї щодо наповнення контенту, має також всі повноваження користувача – співробітника НАНУ.
Засоби керування доступом:
Засоби керування доступом операційних систем, СУБД та Веб-серверів – формування та використання облікових записів користувачів;
Засоби керування доступом Веб-порталу на основі списку доступу користувачів НАН України.
Технологічні операції:
Розробник формує перелік сторінок Веб-порталу, що доступні зовнішнім користувачам та забезпечує доступ до них;
Розробник формує перелік сторінок Веб-порталу, що доступні користувачам – співробітникам НАНУ та забезпечує доступ до них;
Розробник формує перелік сторінок Веб-порталу, що доступні привілейованим користувачам – співробітникам НАНУ та забезпечує доступ до них;
Розробник на основі карти Веб-порталу по кожній із сторінок формує дані про організацію , яка відповідає за наповнення та супровід.
Служба супроводу Веб-порталу передає в організації та установи НАН України (з визначеною періодичністю) перелік сторінок Веб-порталу, що доступні користувачам – співробітникам НАНУ та привілейованим користувачам – співробітникам НАНУ, а також перелік сторінок за наповнення та супровід яких відповідає організація;
Керівники організацій та установ НАН України забезпечують формування Заявки на надання повноважень Привілейованих користувачів та Користувачів – співробітників НАНУ, що має привілеї щодо наповнення контенту. Форма Заявки наведена в додатку до звіту: «Рекомендації по організації керування доступом користувачів до інформаційних ресурсів АІС НАНУ». Заявка передається в Службу супроводу Веб-порталу.
На основі Заявок Служба супроводу Веб-порталу формує облікові записи користувачів що входять до груп Привілейованих користувачів та Користувачів – співробітників НАНУ, що має привілеї щодо наповнення контенту.
Службу супроводу Веб-порталу разом із Адміністратором корпоративної мережі формує список доступу (ІР-адрес) комп’ютерів користувачів НАН України.
При підключенні користувача до Веб-порталу на основі списків доступу визначається належність його до групи зовнішніх користувачів чи користувачів – співробітників НАНУ і надаються належні повноваження по доступу.
Для привілейованих користувачів та користувачів – співробітників НАНУ, що мають привілеї щодо наповнення контенту необхідно забезпечити виконання процедури реєстрації шляхом вводу логіну та паролю для надання їм належних повноважень.