- •Національна академія наук україни інститут програмних систем
- •1. Об'єкти захисту
- •2. Загрози безпеки інформації
- •3. Модель порушника в ас
- •4. Методи і принципи парирування загрозам безпеки
- •5. Правила інформаційної безпеки
- •4.1. Організаційні заходи по забезпеченню безпеки
- •4.2. Класифікація і управління ресурсами
- •4.3. Безпека персоналу
- •4.3.1. Безпека в посадових інструкціях і при виділенні ресурсів
- •4.3.2. Перевірка осіб, що приймаються на роботу
- •4.3.3. Угода про конфіденційність
- •4.3.4. Навчання користувачів
- •4.3.5. Реакція на інциденти безпеки і несправності
- •4.4. Фізична безпека
- •4.4.1. Фізичний периметр безпеки
- •4.4.2. Правила використовування робочого столу
- •4.4.3. Захист обладнання
- •4.4.3.1. Розміщення і захист обладнання
- •4.4.3.2. Джерела електроживлення
- •4.4.3.3. Захист кабельної розводки
- •4.4.3.4. Технічне обслуговування обладнання
- •4.4.3.5. Захист обладнання, що використовується за межами організації
- •4.4.3.6. Надійна утилізація обладнання
- •4.5. Управління комунікаціями і процесами
- •4.5.1. Посадові (службові) інструкції і відповідальність
- •4.5.2. Захист від шкідливого пз (вірусів, троянських коней, Spyware)
- •4.5.3. Управління внутрішніми ресурсами
- •4.5.4. Аутентифікація і безпека мережі
- •4.5.4.1. Відповідальність
- •4.5.4.2. Архітектура мережі
- •4.5.4.3. Адресація в мережі
- •4.5.4.4. Управління доступом до мережі
- •4.5.4.5. Імена користувачів
- •4.5.4.6. Паролі
- •4.5.4.7. Засоби управління доступом
- •4.5.4.8. Видалений доступ
- •4.5.4.9. Безпека зв'язку по телефонних каналах
- •4.5.5. Безпека носіїв даних
- •4.5.6. Вимоги до передачі системної документації і критичної інформації
- •4.6. Контроль доступу до інформаційних ресурсів
- •4.6.1. Загальні вимоги
- •4.6.2. Процедури реєстрації
- •4.6.3.Процедура авторизації
- •4.6.4. Управління ідентифікаторами і паролями
- •4.6.5. Система управління паролями
- •4.6.6. Правила захисту обладнання, залишеного без нагляду
- •4.6.7. Використовування мережних служб і сервісів
- •4.6.8. Процедура входу в систему (log on)
- •4.6.9. Використовування системних утіліт
- •4.6.10. Прикладні системи
- •4.6.11. Журнали реєстрації
- •4.6.12. Віддалений доступ
- •4.6.12.3. Безпека для мобільних комп'ютерів і користувачів при віддалений роботі:
- •4.6.13. Процедури керування доступом користувачів до інформаційних ресурсів нан України
- •4.6.13.1. Процедура керування доступом користувачів до Веб-порталу нан України
- •4.6.13.2. Процедура керування доступом користувачів до Веб-сайтів організацій та установ нан України
- •4.6.13.3. Процедура керування доступом користувачів до вітчизняних та зарубіжних електронних бібліотек
- •4.6.13.4. Процедура керування доступом користувачів до корпоративної інформаційно-пошукової системи «Наукові інформаційні ресурси нан України» (Веб-сайту)
- •4.6.13.5. Технологія використання засобів керування доступом користувачів до банку науково-прикладних засобів
- •4.6.13.6. Процедура керування доступом користувачів до автоматизованої інформаційної системи підтримки міжнародної діяльності нан України
- •4.6.13.7. Процедура керування доступом користувачів до інтегрованої системи електронного документообігу в нан України
- •4.6.13.8. Технологія використання засобів керування доступом користувачів до типових інформаційно-аналітичних підсистеми нан України
- •4.7. Правила безпеки для брандмауерів
- •4.7.1. Ризики безпеки брандмауера
- •4.7.2. Хост, підключений до двох сегментів мережі
- •4.7.3. Екранований хост
- •4.7.4. Екранована підмережа
- •4.7.5. Інтранет
- •4.7.6. Адміністрування брандмауера
- •4.7.7. Віддалене адміністрування брандмауера
- •4.7.8. Зареєстровані користувачі
- •4.7.9. Архівні копії брандмауера
- •4.7.10. Довірчі взаємозв'язки в мережі
- •4.7.11. Віртуальні приватні мережа (vpn)
- •4.7.12. Відображення імен на адреси за допомогою dns
- •4.7.13. Цілісність системи
- •4.7.14. Документація
- •4.7.15. Фізична безпека брандмауера
- •4.7.16. Дії при спробах порушення безпеки
- •4.7.17. Відновлення сервісів
- •4.7.18. Удосконалення брандмауера
- •4.8. Правила безпеки при роботі в Інтернеті
- •4.8.1. Пошук інформації в Інтернеті за допомогою браузера
- •4.8.2. Правила безпеки веб-серверів
- •4.8.3. Правила безпеки для електронної пошти
- •4.9. Розробка і супровід інформаційних систем
- •4.9.1. Безпека додатків
- •4.9.2. Вимоги до застосування криптографічних засобів захисту
- •4.9.3. Безпека системних файлів
- •4.9.4. Безпека процесів розробки і підтримки
- •4.10. Планування безперебійної роботи організації
- •4.11. Відповідність системи основним вимогам
- •4.11.1. Виконання правових вимог
- •4.11.2. Вимоги до дотримання авторських прав на програмне забезпечення
- •4.11.3. Перевірка безпеки інформаційних систем
- •4.11.4. Вимоги до системного аудиту
3. Модель порушника в ас
Порушник - це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Порушники модуть бути як внутрішні так і зовнішні.
Внутрішніми порушниками можуть бути:
користувачі та адміністратори системи;
персонал, що обслуговує технічні засоби
прикладні і системні програмісти;
технічний персонал , що має доступ у приміщення, виділені для розміщення компонентів АС;
керівники різних рівнів;
співробітники, які розроблюють та супроводжують систему
співробітники, які розроблюють та супроводжують КСЗІ.
Зовнішніми порушниками можуть бути:
представники сторонніх організацій, із якими здійснюється взаємодія
персонал, що проводить ремонтно-регламентні роботи;
особа за межами контрольованої зони
представники перевіряючих організацій.
За рівнем знань про АС
має високий рівень знань і досвід роботи з технічними засобами системи і їх обслуговуванням - Зн1;
має високий рівень знань в області програмування й обчислювальної техніки, проектування й експлуатації автоматизованих інформаційних систем –Зн2;
знає структуру, функції і механізм дії засобів захисту, їх сильні і слабкі сторони – Зн3.
За рівнем можливостей (використовуваним методам і засобам):
використовують пасивні засоби (технічні засоби перехоплення без модифікації компонентів системи) – РМ1
використовують тільки штатні засоби АС:
має можливість запуску фіксованого набору завдань (програм), що реалізують заздалегідь передбачені функції обробки інформації – РМ2;
має можливість створення (використання) і запуску власних програм з новими функціями обробки iнформації – РМ3;
має можливість управління функціонуванням системою, тобто впливом на базове програмне забезпечення системи і на склад і конфігурацію її устаткування – РМ4;
використовують методи і засоби активного впливу (модифікація і підключення додаткових технічних засобів, підключення до каналів передачі даних, впровадження програмних закладок) - РМ5.
По місцю дії:
без доступу на контрольовану територію - МД1;
усередині помешкань, але без доступу до технічних засобів АС - МД2;
з робочих місць користувачів АС - МД3;
з доступом у зону даних (баз даних, архівів і т.п.) – МД4;
з доступом у зону управління засобами забезпечення безпеки АСІАП – МД5.
За мотивами здійснення порушень:
Безвідповідальність – МП1
Професійність – МП2
Самозатвердження – МП3
Корисливий інтерес – МП4
Професійний обов’язок – МП5
За часом дії:
Під час бездіяльності компонентів системи (в неробочій час, під час планових перерв у роботі, перерв для обслуговування та ремонту і т.ін.)
Під час функціонування АС (або компонентів системи)
Під час створення системи
При формуванні моделі порушника й оцінці ризику від дій персоналу необхідно диференціювати усіх співробітників по можливості доступу до системи і, отже, по потенційним збиткам від кожної категорії користувачів. Наприклад, адміністратор системи може завдати незрівнянно незрівнянно більше збитків, ніж звичайний користувач.
Таким чином, кожен користувач у відповідності зі своєю категорією ризику може заподіяти велику або меншу шкоду системі. Крім того, необхідно враховувати, що користувачі різних категорій різняться не тільки по ступеню ризику, але і по тому, якому елементу системи вони загрожують більш усього. В результаті можна оцінити ступінь ризику даної категорії користувачів щодо даного елемента системи і представити результати аналізу у виді таблиці відповідностей.
Визначення категорії порушника |
Ймовірність |
Наслідки |
Ступінь ризику |
Внутрішні по відношенню до АС |
|
|
|
Технічний персонал, який обслуговує будови та приміщення (електрики, сантехніки, прибиральники тощо), в яких розташовані компоненти АС |
низька |
низькі |
низький |
Користувачі АС першої категорії (наукові співробітники) |
низька |
низькі |
низький |
Користувачі АС другої категорії ( співробітники бухгалтерії, планово-виробничих підрозділів і т.ін.) |
низька |
високі |
середній |
Користувачі АС третьої категорії ( адміністрація, співробітники РСВ) |
низька |
високі |
середній |
Інженери підтримки ЛОМ |
низька |
середні |
середній |
Адміністратор ЛОМ |
низька |
високі |
середній |
Адміністратор СЗІ |
низька |
високі |
середній |
Адміністратор БД |
низька |
високі |
середній |
Адміністратор ОС |
низька |
високі |
середній |
Зовнішні по відношенню до АС |
|
|
|
Особи, що знаходяться за межами контрольованої зони. |
висока |
високі |
високий |
Відвідувачі |
середня |
середні |
середній |
Представники перевіряючих організацій |
низька |
середні |
середній |
Таким чином, за ступенем ризику особливої уваги заслуговують зовнішні порушники, користувачі АС, що вирішують адміністративні задачі організації, адміністратори системи, а також різного роду відвідувачі.