- •Національна академія наук україни інститут програмних систем
- •1. Об'єкти захисту
- •2. Загрози безпеки інформації
- •3. Модель порушника в ас
- •4. Методи і принципи парирування загрозам безпеки
- •5. Правила інформаційної безпеки
- •4.1. Організаційні заходи по забезпеченню безпеки
- •4.2. Класифікація і управління ресурсами
- •4.3. Безпека персоналу
- •4.3.1. Безпека в посадових інструкціях і при виділенні ресурсів
- •4.3.2. Перевірка осіб, що приймаються на роботу
- •4.3.3. Угода про конфіденційність
- •4.3.4. Навчання користувачів
- •4.3.5. Реакція на інциденти безпеки і несправності
- •4.4. Фізична безпека
- •4.4.1. Фізичний периметр безпеки
- •4.4.2. Правила використовування робочого столу
- •4.4.3. Захист обладнання
- •4.4.3.1. Розміщення і захист обладнання
- •4.4.3.2. Джерела електроживлення
- •4.4.3.3. Захист кабельної розводки
- •4.4.3.4. Технічне обслуговування обладнання
- •4.4.3.5. Захист обладнання, що використовується за межами організації
- •4.4.3.6. Надійна утилізація обладнання
- •4.5. Управління комунікаціями і процесами
- •4.5.1. Посадові (службові) інструкції і відповідальність
- •4.5.2. Захист від шкідливого пз (вірусів, троянських коней, Spyware)
- •4.5.3. Управління внутрішніми ресурсами
- •4.5.4. Аутентифікація і безпека мережі
- •4.5.4.1. Відповідальність
- •4.5.4.2. Архітектура мережі
- •4.5.4.3. Адресація в мережі
- •4.5.4.4. Управління доступом до мережі
- •4.5.4.5. Імена користувачів
- •4.5.4.6. Паролі
- •4.5.4.7. Засоби управління доступом
- •4.5.4.8. Видалений доступ
- •4.5.4.9. Безпека зв'язку по телефонних каналах
- •4.5.5. Безпека носіїв даних
- •4.5.6. Вимоги до передачі системної документації і критичної інформації
- •4.6. Контроль доступу до інформаційних ресурсів
- •4.6.1. Загальні вимоги
- •4.6.2. Процедури реєстрації
- •4.6.3.Процедура авторизації
- •4.6.4. Управління ідентифікаторами і паролями
- •4.6.5. Система управління паролями
- •4.6.6. Правила захисту обладнання, залишеного без нагляду
- •4.6.7. Використовування мережних служб і сервісів
- •4.6.8. Процедура входу в систему (log on)
- •4.6.9. Використовування системних утіліт
- •4.6.10. Прикладні системи
- •4.6.11. Журнали реєстрації
- •4.6.12. Віддалений доступ
- •4.6.12.3. Безпека для мобільних комп'ютерів і користувачів при віддалений роботі:
- •4.6.13. Процедури керування доступом користувачів до інформаційних ресурсів нан України
- •4.6.13.1. Процедура керування доступом користувачів до Веб-порталу нан України
- •4.6.13.2. Процедура керування доступом користувачів до Веб-сайтів організацій та установ нан України
- •4.6.13.3. Процедура керування доступом користувачів до вітчизняних та зарубіжних електронних бібліотек
- •4.6.13.4. Процедура керування доступом користувачів до корпоративної інформаційно-пошукової системи «Наукові інформаційні ресурси нан України» (Веб-сайту)
- •4.6.13.5. Технологія використання засобів керування доступом користувачів до банку науково-прикладних засобів
- •4.6.13.6. Процедура керування доступом користувачів до автоматизованої інформаційної системи підтримки міжнародної діяльності нан України
- •4.6.13.7. Процедура керування доступом користувачів до інтегрованої системи електронного документообігу в нан України
- •4.6.13.8. Технологія використання засобів керування доступом користувачів до типових інформаційно-аналітичних підсистеми нан України
- •4.7. Правила безпеки для брандмауерів
- •4.7.1. Ризики безпеки брандмауера
- •4.7.2. Хост, підключений до двох сегментів мережі
- •4.7.3. Екранований хост
- •4.7.4. Екранована підмережа
- •4.7.5. Інтранет
- •4.7.6. Адміністрування брандмауера
- •4.7.7. Віддалене адміністрування брандмауера
- •4.7.8. Зареєстровані користувачі
- •4.7.9. Архівні копії брандмауера
- •4.7.10. Довірчі взаємозв'язки в мережі
- •4.7.11. Віртуальні приватні мережа (vpn)
- •4.7.12. Відображення імен на адреси за допомогою dns
- •4.7.13. Цілісність системи
- •4.7.14. Документація
- •4.7.15. Фізична безпека брандмауера
- •4.7.16. Дії при спробах порушення безпеки
- •4.7.17. Відновлення сервісів
- •4.7.18. Удосконалення брандмауера
- •4.8. Правила безпеки при роботі в Інтернеті
- •4.8.1. Пошук інформації в Інтернеті за допомогою браузера
- •4.8.2. Правила безпеки веб-серверів
- •4.8.3. Правила безпеки для електронної пошти
- •4.9. Розробка і супровід інформаційних систем
- •4.9.1. Безпека додатків
- •4.9.2. Вимоги до застосування криптографічних засобів захисту
- •4.9.3. Безпека системних файлів
- •4.9.4. Безпека процесів розробки і підтримки
- •4.10. Планування безперебійної роботи організації
- •4.11. Відповідність системи основним вимогам
- •4.11.1. Виконання правових вимог
- •4.11.2. Вимоги до дотримання авторських прав на програмне забезпечення
- •4.11.3. Перевірка безпеки інформаційних систем
- •4.11.4. Вимоги до системного аудиту
4.2. Класифікація і управління ресурсами
4.2.1. В кожній з організацій НАН України необхідно регулярно (рекомендується не рідше ніж двічі в рік) проводити інвентаризацію ресурсів.
4.2.2. . Інвентаризацію необхідно провести для всіх основних ресурсів, пов'язаних з кожною інформаційною системою. Кожний ресурс повинен бути чітко ідентифікований, а його власник і категорія секретності погоджені і задокументовані. Прикладами ресурсів, пов'язаних з інформаційними системами, є:
Інформаційні ресурси: бази даних і файли даних, системна документація, документація, призначена для користувача, учбові матеріали, інструкції з експлуатації або по підтримці, плани по підтримці безперервності ділової діяльності, заходи щодо усунення несправностей, архіви інформації або даних;
Програмні ресурси: додатки користувачів, операційні системи і системне програмне забезпечення, засоби розробки;
Фізичні ресурси: обчислювальна техніка (процесори, монітори, переносні комп'ютери), комунікаційне обладнання (маршрутизатори, телефонні станції, факси, автовідповідачі, модеми), магнітні носії (касети і диски), інше технічне обладнання (джерела живлення, кондиціонери);
Обчислювальні і комунікаційні сервіси, допоміжні послуги: опалювання, освітлення і т.п.
4.2.2. Всі ресурси повинні бути класифіковані по ступеню важливості і категорії доступу.. Для кожного класу повинні бути регламентовані наступні дії:
Копіювання;
Зберігання;
передача поштою, факсом, електронною поштою;
передача голосом, включаючи мобільні телефони, голосову пошту;
знищення.
4.2.3. Ресурсами НАН України є:
Веб-портал НАН України;
Веб-сайти організацій та установ НАН України;
Вітчизняні та зарубіжні електронні бібліотеки;
Корпоративна інформаційно-пошукова система «Наукові інформаційні ресурси НАН України»;
Банк даних з програмних засобів НАН України;
Автоматизована інформаційна система підтримки міжнародної діяльності НАН України;
Інтегрована системаи електронного документообігу в НАН України;
Типові інформаційно-аналітичні підсистеми НАН України:
"Бюджет НАН України"
"Науково-організаційна робота НАН України"
“Наукові і керівні кадри”
4.3. Безпека персоналу
4.3.1. Безпека в посадових інструкціях і при виділенні ресурсів
4.3.1.1. Аспекти, пов'язані з безпекою, слід враховувати ще на стадії набору персоналу, включати їх в посадові інструкції і договори, а також контролювати протягом всього часу роботи даного співробітника.
4.3.1.2. Обов'язки і відповідальність за безпеку, що встановлені прийнятою в організації політикою інформаційної безпеки, слід включати в посадові інструкції, де це необхідно. В інструкціях необхідно відобразити як загальну відповідальність за проведення в життя або підтримку політики безпеки, так і конкретні обов'язки по захисту певних ресурсів або відповідальність за виконання певних процедур або дій по захисту.
4.3.2. Перевірка осіб, що приймаються на роботу
4.3.2.1. Заяви про прийом на роботу слід ретельно розглянути, якщо робота на даній посаді пов'язана з доступом до конфіденційних інформаційних ресурсів. Всіх кандидатів на заняття подібних вакансій слід перевірити по наступних пунктах:
перевірка рекомендацій;
перевірка (повнота і точність) відомостей, повідомлених претендентом на вакансію в своїй автобіографії;
підтвердження вчених ступенів і освіти;
перевірка ідентифікації (наприклад, паспорти).