- •Національна академія наук україни інститут програмних систем
- •1. Об'єкти захисту
- •2. Загрози безпеки інформації
- •3. Модель порушника в ас
- •4. Методи і принципи парирування загрозам безпеки
- •5. Правила інформаційної безпеки
- •4.1. Організаційні заходи по забезпеченню безпеки
- •4.2. Класифікація і управління ресурсами
- •4.3. Безпека персоналу
- •4.3.1. Безпека в посадових інструкціях і при виділенні ресурсів
- •4.3.2. Перевірка осіб, що приймаються на роботу
- •4.3.3. Угода про конфіденційність
- •4.3.4. Навчання користувачів
- •4.3.5. Реакція на інциденти безпеки і несправності
- •4.4. Фізична безпека
- •4.4.1. Фізичний периметр безпеки
- •4.4.2. Правила використовування робочого столу
- •4.4.3. Захист обладнання
- •4.4.3.1. Розміщення і захист обладнання
- •4.4.3.2. Джерела електроживлення
- •4.4.3.3. Захист кабельної розводки
- •4.4.3.4. Технічне обслуговування обладнання
- •4.4.3.5. Захист обладнання, що використовується за межами організації
- •4.4.3.6. Надійна утилізація обладнання
- •4.5. Управління комунікаціями і процесами
- •4.5.1. Посадові (службові) інструкції і відповідальність
- •4.5.2. Захист від шкідливого пз (вірусів, троянських коней, Spyware)
- •4.5.3. Управління внутрішніми ресурсами
- •4.5.4. Аутентифікація і безпека мережі
- •4.5.4.1. Відповідальність
- •4.5.4.2. Архітектура мережі
- •4.5.4.3. Адресація в мережі
- •4.5.4.4. Управління доступом до мережі
- •4.5.4.5. Імена користувачів
- •4.5.4.6. Паролі
- •4.5.4.7. Засоби управління доступом
- •4.5.4.8. Видалений доступ
- •4.5.4.9. Безпека зв'язку по телефонних каналах
- •4.5.5. Безпека носіїв даних
- •4.5.6. Вимоги до передачі системної документації і критичної інформації
- •4.6. Контроль доступу до інформаційних ресурсів
- •4.6.1. Загальні вимоги
- •4.6.2. Процедури реєстрації
- •4.6.3.Процедура авторизації
- •4.6.4. Управління ідентифікаторами і паролями
- •4.6.5. Система управління паролями
- •4.6.6. Правила захисту обладнання, залишеного без нагляду
- •4.6.7. Використовування мережних служб і сервісів
- •4.6.8. Процедура входу в систему (log on)
- •4.6.9. Використовування системних утіліт
- •4.6.10. Прикладні системи
- •4.6.11. Журнали реєстрації
- •4.6.12. Віддалений доступ
- •4.6.12.3. Безпека для мобільних комп'ютерів і користувачів при віддалений роботі:
- •4.6.13. Процедури керування доступом користувачів до інформаційних ресурсів нан України
- •4.6.13.1. Процедура керування доступом користувачів до Веб-порталу нан України
- •4.6.13.2. Процедура керування доступом користувачів до Веб-сайтів організацій та установ нан України
- •4.6.13.3. Процедура керування доступом користувачів до вітчизняних та зарубіжних електронних бібліотек
- •4.6.13.4. Процедура керування доступом користувачів до корпоративної інформаційно-пошукової системи «Наукові інформаційні ресурси нан України» (Веб-сайту)
- •4.6.13.5. Технологія використання засобів керування доступом користувачів до банку науково-прикладних засобів
- •4.6.13.6. Процедура керування доступом користувачів до автоматизованої інформаційної системи підтримки міжнародної діяльності нан України
- •4.6.13.7. Процедура керування доступом користувачів до інтегрованої системи електронного документообігу в нан України
- •4.6.13.8. Технологія використання засобів керування доступом користувачів до типових інформаційно-аналітичних підсистеми нан України
- •4.7. Правила безпеки для брандмауерів
- •4.7.1. Ризики безпеки брандмауера
- •4.7.2. Хост, підключений до двох сегментів мережі
- •4.7.3. Екранований хост
- •4.7.4. Екранована підмережа
- •4.7.5. Інтранет
- •4.7.6. Адміністрування брандмауера
- •4.7.7. Віддалене адміністрування брандмауера
- •4.7.8. Зареєстровані користувачі
- •4.7.9. Архівні копії брандмауера
- •4.7.10. Довірчі взаємозв'язки в мережі
- •4.7.11. Віртуальні приватні мережа (vpn)
- •4.7.12. Відображення імен на адреси за допомогою dns
- •4.7.13. Цілісність системи
- •4.7.14. Документація
- •4.7.15. Фізична безпека брандмауера
- •4.7.16. Дії при спробах порушення безпеки
- •4.7.17. Відновлення сервісів
- •4.7.18. Удосконалення брандмауера
- •4.8. Правила безпеки при роботі в Інтернеті
- •4.8.1. Пошук інформації в Інтернеті за допомогою браузера
- •4.8.2. Правила безпеки веб-серверів
- •4.8.3. Правила безпеки для електронної пошти
- •4.9. Розробка і супровід інформаційних систем
- •4.9.1. Безпека додатків
- •4.9.2. Вимоги до застосування криптографічних засобів захисту
- •4.9.3. Безпека системних файлів
- •4.9.4. Безпека процесів розробки і підтримки
- •4.10. Планування безперебійної роботи організації
- •4.11. Відповідність системи основним вимогам
- •4.11.1. Виконання правових вимог
- •4.11.2. Вимоги до дотримання авторських прав на програмне забезпечення
- •4.11.3. Перевірка безпеки інформаційних систем
- •4.11.4. Вимоги до системного аудиту
4.6.13.2. Процедура керування доступом користувачів до Веб-сайтів організацій та установ нан України
Мета: забезпечення розмежування доступу до підмножин контенту Веб-сайту та функцій наповнення контенту.
Групи користувачів:
Зовнішній користувач;
Користувач – співробітник НАНУ;
Привілейований користувач – співробітник НАНУ;
Користувач – співробітник організації чи установи НАНУ, що має привілеї щодо наповнення контенту.
Повноваження:
Зовнішній користувач повинен мати доступ до наперед заданого (на етапі проектування) переліку сторінок Веб-сайту.
Користувач – співробітник НАНУ повинен мати доступ до відкритої інформації, що розміщена на Веб-сайті.
Привілейований користувач – співробітник НАНУ повинен мати доступ до відкритої та конфіденційної інформації (наприклад, персональна інформація щодо наукових кадрів, інформація щодо результатів наукових досліджень), що розміщена на Веб-порталі. Привілейований користувач – співробітник НАНУ має також всі повноваження користувача – співробітника НАНУ.
Користувач – співробітник НАНУ, що має привілеї щодо наповнення контенту повинен мати можливість формувати та змінювати окремі сторінки Веб-сайту. Привілейований користувач – співробітник НАНУ , що має привілеї щодо наповнення контенту, має також всі повноваження користувача – співробітника НАНУ.
Засоби керування доступом:
Засоби керування доступом операційних систем, СУБД та Веб-серверів – формування та використання облікових записів користувачів;
Засоби керування доступом Веб-сайту на основі списку доступу користувачів НАН України.
Технологічні операції:
1. Розробник формує перелік сторінок Веб-сайту, що доступні зовнішнім користувачам та забезпечує доступ до них;
2. Розробник формує перелік сторінок Веб-сайту, що доступні користувачам – співробітникам НАНУ та забезпечує доступ до них;
3. Розробник формує перелік сторінок Веб-сайту, що доступні привілейованим користувачам – співробітникам НАНУ та забезпечує доступ до них;
4. Розробник на основі карти Веб-порталу по кожній із сторінок формує дані про підрозділ організації чи установи, який відповідає за її наповнення та супровід.
5. Адміністратор Веб-сайту передає в організації та установи НАН України (з визначеною періодичністю) перелік сторінок Веб-порталу, що доступні привілейованим користувачам – співробітникам НАНУ.
6. Адміністратор Веб-сайту передає в підрозділи організації чи установи НАН України (з визначеною періодичністю), перелік сторінок за наповнення та супровід яких відповідає підрозділ організації;
7. Керівники підрозділів організації чи установи НАН України забезпечують формування Заявки на надання повноважень користувачів – співробітників організації чи установи НАНУ, що мають привілеї щодо наповнення окремих сторінок Веб-сайту. Форма Заявки наведена в додатку до звіту: «Рекомендації по організації керування доступом користувачів до інформаційних ресурсів АІС НАНУ». Заявка передається в Адміністратору Веб-сайту.
8. Керівники організацій та установ НАН України забезпечують формування Заявки на надання повноважень Привілейованих користувачів. Форма Заявки наведена в додатку до звіту: «Рекомендації по організації керування доступом користувачів до інформаційних ресурсів АІС НАНУ». Заявка передається в Адміністратору Веб-сайту.
9. На основі Заявок Адміністратор Веб-сайту формує облікові записи користувачів що входять до групи Привілейованих користувачів та Користувачів – співробітників організації чи установи НАНУ, що мають привілеї щодо наповнення контенту.
10. Адміністратор Веб-сайту одержує у Адміністратора корпоративної мережі список доступу (ІР-адрес) комп’ютерів користувачів НАН України.
11.При підключенні користувача до Веб-сайту на основі списків доступу визначається належність його до групи зовнішніх користувачів чи користувачів – співробітників НАНУ і надаються належні повноваження по доступу.
12. Для привілейованих користувачів та користувачів – співробітників НАНУ, що мають привілеї щодо наповнення контенту необхідно забезпечити виконання процедури реєстрації шляхом вводу логіну та паролю для надання їм належних повноважень.