- •Національна академія наук україни інститут програмних систем
- •1. Об'єкти захисту
- •2. Загрози безпеки інформації
- •3. Модель порушника в ас
- •4. Методи і принципи парирування загрозам безпеки
- •5. Правила інформаційної безпеки
- •4.1. Організаційні заходи по забезпеченню безпеки
- •4.2. Класифікація і управління ресурсами
- •4.3. Безпека персоналу
- •4.3.1. Безпека в посадових інструкціях і при виділенні ресурсів
- •4.3.2. Перевірка осіб, що приймаються на роботу
- •4.3.3. Угода про конфіденційність
- •4.3.4. Навчання користувачів
- •4.3.5. Реакція на інциденти безпеки і несправності
- •4.4. Фізична безпека
- •4.4.1. Фізичний периметр безпеки
- •4.4.2. Правила використовування робочого столу
- •4.4.3. Захист обладнання
- •4.4.3.1. Розміщення і захист обладнання
- •4.4.3.2. Джерела електроживлення
- •4.4.3.3. Захист кабельної розводки
- •4.4.3.4. Технічне обслуговування обладнання
- •4.4.3.5. Захист обладнання, що використовується за межами організації
- •4.4.3.6. Надійна утилізація обладнання
- •4.5. Управління комунікаціями і процесами
- •4.5.1. Посадові (службові) інструкції і відповідальність
- •4.5.2. Захист від шкідливого пз (вірусів, троянських коней, Spyware)
- •4.5.3. Управління внутрішніми ресурсами
- •4.5.4. Аутентифікація і безпека мережі
- •4.5.4.1. Відповідальність
- •4.5.4.2. Архітектура мережі
- •4.5.4.3. Адресація в мережі
- •4.5.4.4. Управління доступом до мережі
- •4.5.4.5. Імена користувачів
- •4.5.4.6. Паролі
- •4.5.4.7. Засоби управління доступом
- •4.5.4.8. Видалений доступ
- •4.5.4.9. Безпека зв'язку по телефонних каналах
- •4.5.5. Безпека носіїв даних
- •4.5.6. Вимоги до передачі системної документації і критичної інформації
- •4.6. Контроль доступу до інформаційних ресурсів
- •4.6.1. Загальні вимоги
- •4.6.2. Процедури реєстрації
- •4.6.3.Процедура авторизації
- •4.6.4. Управління ідентифікаторами і паролями
- •4.6.5. Система управління паролями
- •4.6.6. Правила захисту обладнання, залишеного без нагляду
- •4.6.7. Використовування мережних служб і сервісів
- •4.6.8. Процедура входу в систему (log on)
- •4.6.9. Використовування системних утіліт
- •4.6.10. Прикладні системи
- •4.6.11. Журнали реєстрації
- •4.6.12. Віддалений доступ
- •4.6.12.3. Безпека для мобільних комп'ютерів і користувачів при віддалений роботі:
- •4.6.13. Процедури керування доступом користувачів до інформаційних ресурсів нан України
- •4.6.13.1. Процедура керування доступом користувачів до Веб-порталу нан України
- •4.6.13.2. Процедура керування доступом користувачів до Веб-сайтів організацій та установ нан України
- •4.6.13.3. Процедура керування доступом користувачів до вітчизняних та зарубіжних електронних бібліотек
- •4.6.13.4. Процедура керування доступом користувачів до корпоративної інформаційно-пошукової системи «Наукові інформаційні ресурси нан України» (Веб-сайту)
- •4.6.13.5. Технологія використання засобів керування доступом користувачів до банку науково-прикладних засобів
- •4.6.13.6. Процедура керування доступом користувачів до автоматизованої інформаційної системи підтримки міжнародної діяльності нан України
- •4.6.13.7. Процедура керування доступом користувачів до інтегрованої системи електронного документообігу в нан України
- •4.6.13.8. Технологія використання засобів керування доступом користувачів до типових інформаційно-аналітичних підсистеми нан України
- •4.7. Правила безпеки для брандмауерів
- •4.7.1. Ризики безпеки брандмауера
- •4.7.2. Хост, підключений до двох сегментів мережі
- •4.7.3. Екранований хост
- •4.7.4. Екранована підмережа
- •4.7.5. Інтранет
- •4.7.6. Адміністрування брандмауера
- •4.7.7. Віддалене адміністрування брандмауера
- •4.7.8. Зареєстровані користувачі
- •4.7.9. Архівні копії брандмауера
- •4.7.10. Довірчі взаємозв'язки в мережі
- •4.7.11. Віртуальні приватні мережа (vpn)
- •4.7.12. Відображення імен на адреси за допомогою dns
- •4.7.13. Цілісність системи
- •4.7.14. Документація
- •4.7.15. Фізична безпека брандмауера
- •4.7.16. Дії при спробах порушення безпеки
- •4.7.17. Відновлення сервісів
- •4.7.18. Удосконалення брандмауера
- •4.8. Правила безпеки при роботі в Інтернеті
- •4.8.1. Пошук інформації в Інтернеті за допомогою браузера
- •4.8.2. Правила безпеки веб-серверів
- •4.8.3. Правила безпеки для електронної пошти
- •4.9. Розробка і супровід інформаційних систем
- •4.9.1. Безпека додатків
- •4.9.2. Вимоги до застосування криптографічних засобів захисту
- •4.9.3. Безпека системних файлів
- •4.9.4. Безпека процесів розробки і підтримки
- •4.10. Планування безперебійної роботи організації
- •4.11. Відповідність системи основним вимогам
- •4.11.1. Виконання правових вимог
- •4.11.2. Вимоги до дотримання авторських прав на програмне забезпечення
- •4.11.3. Перевірка безпеки інформаційних систем
- •4.11.4. Вимоги до системного аудиту
4.9.2. Вимоги до застосування криптографічних засобів захисту
4.9.2.1. Для організацій НАН України повинна бути розроблена політика використовування криптографічних засобів. При розробці політики необхідно врахувати:
Правила використовування засобів криптографічного захисту інформації усередині організації з урахуванням класів (видів) інформації, які повинні бути захищені.
Політику управління ключами, включаючи методи для відновлення зашифрованої інформації у разі втрати, компрометації або знищення ключів.
Розподіл обов'язків: хто і за що несе відповідальність.
Впровадження політики.
Управління ключами.
Порядок визначення адекватного рівня криптографічного захисту.
Стандарти, які можуть бути впроваджені і пристосовані в організації (які рішення підходять для яких ділових процесів).
Необхідно підписувати всі електронні повідомлення цифровим підписом для того, щоб забезпечити аутентифікацію відправника і цілісність самого повідомлення.
Необхідно вибирати стійкі алгоритми для цифрового підпису.
Криптографічні ключі, які застосовуються для цифрового підпису, повинні відрізнятися від ключів, що застосовуються в шифруванні.
Необхідно забезпечити захист криптографічних ключів.
При шифруванні з відкритим ключем відкритий ключ повинен зберігатися в загальнодоступному місці, а для закритого ключа повинен дотримуватися режим секретності.
При використовуванні симетричного шифрування для ключа повинен дотримуватися режим секретності між тими, хто обмінюється конфіденційною інформацією.
4.9.2.2. Система управління ключами повинна базуватися на певних погоджених стандартах і процедурах:
Генерація ключів для різних криптосистем і додатків.
Генерація і отримання відкритих ключів.
Видача ключів користувачам, включаючи процедуру активації ключа після його отримання.
Зберігання ключів, включаючи порядок отримання авторизованими користувачами доступу до ключів.
Порядок зміни ключів.
Дії у разі компрометації ключів.
Відзив ключів, включаючи порядок їх деактивації при компрометації або звільненні відповідального за них співробітника, а також визначення випадків, коли ці ключі повинні бути збережені.
Відновлення пошкоджених або загублених ключів (як частина управління безперервністю ведення ділової діяльності).
Архівація і резервне копіювання ключів.
Знищення ключів.
Протоколювання всіх дій, пов'язаних з управлінням ключами.
4.9.3. Безпека системних файлів
4.9.3.1. Необхідний контроль об'єктів операційної системи з урахуванням наступних вимог:
Слід отримати дозвіл на оновлення бібліотек операційної системи у відповідного керівника.
По можливості операційна система повинна містити тільки виконувані файли.
Після всіх змін в бібліотеках повинна бути забезпечена перевірка всіх реєстраційних журналів.
Попередні версії повинні бути збережені для непередбачених випадків.
Виконувані файли і зміни бібліотек не повинні впроваджуватися в операційну систему до підтвердження їх успішного тестування, інформування і навчання користувачів.
4.9.3.2. Необхідно забезпечити захист даних, отриманих в результаті тестів систем, з урахуванням наступних вимог:
Система розмежування доступу до тестової системи повинна відповідати доступу до звичайної системи
Необхідне забезпечення різних (роздільних) авторизацій кожного разу, коли робоча (оперативна) інформація копіюється в тестову систему
Робоча інформація повинна бути негайно видалена з тестової системи після завершення тестів
Копіювання і використовування робочої (оперативній) інформації повинно бути запротокольовано для подальшої можливості аудиту.
4.9.3.3. Необхідно забезпечити контроль доступу до початкових текстів програм і бібліотек з урахуванням наступних вимог:
Де можливо, початкові тексти програм не повинні міститися в ОС
Для кожного додатку повинен бути призначений відповідальний співробітник, що відповідає за контроль виконуваних модулів
Персонал із служби підтримки не повинен мати необмеженого доступу до початкових текстів програм і бібліотек
Зміни і доповнення в початкові тексти програм і бібліотек, а також передача початкових текстів програмістам повинна здійснюватися тільки разом з бібліотеками і по дозволу менеджера підтримки даного додатку
Лістинги програм повинні зберігатися в безпечному місці
Всі спроби здійснення доступу до початкових текстів повинні протоколюватися
Старі версії початкових текстів програм необхідно заархівувати, з відміткою часу і дати і разом зі всім супутнім програмним забезпеченням, процедурами, описами і т.ін.
Підтримка і копіювання початкових текстів бібліотек і програм повинна бути предметом процедур контролю змін