- •Національна академія наук україни інститут програмних систем
- •1. Об'єкти захисту
- •2. Загрози безпеки інформації
- •3. Модель порушника в ас
- •4. Методи і принципи парирування загрозам безпеки
- •5. Правила інформаційної безпеки
- •4.1. Організаційні заходи по забезпеченню безпеки
- •4.2. Класифікація і управління ресурсами
- •4.3. Безпека персоналу
- •4.3.1. Безпека в посадових інструкціях і при виділенні ресурсів
- •4.3.2. Перевірка осіб, що приймаються на роботу
- •4.3.3. Угода про конфіденційність
- •4.3.4. Навчання користувачів
- •4.3.5. Реакція на інциденти безпеки і несправності
- •4.4. Фізична безпека
- •4.4.1. Фізичний периметр безпеки
- •4.4.2. Правила використовування робочого столу
- •4.4.3. Захист обладнання
- •4.4.3.1. Розміщення і захист обладнання
- •4.4.3.2. Джерела електроживлення
- •4.4.3.3. Захист кабельної розводки
- •4.4.3.4. Технічне обслуговування обладнання
- •4.4.3.5. Захист обладнання, що використовується за межами організації
- •4.4.3.6. Надійна утилізація обладнання
- •4.5. Управління комунікаціями і процесами
- •4.5.1. Посадові (службові) інструкції і відповідальність
- •4.5.2. Захист від шкідливого пз (вірусів, троянських коней, Spyware)
- •4.5.3. Управління внутрішніми ресурсами
- •4.5.4. Аутентифікація і безпека мережі
- •4.5.4.1. Відповідальність
- •4.5.4.2. Архітектура мережі
- •4.5.4.3. Адресація в мережі
- •4.5.4.4. Управління доступом до мережі
- •4.5.4.5. Імена користувачів
- •4.5.4.6. Паролі
- •4.5.4.7. Засоби управління доступом
- •4.5.4.8. Видалений доступ
- •4.5.4.9. Безпека зв'язку по телефонних каналах
- •4.5.5. Безпека носіїв даних
- •4.5.6. Вимоги до передачі системної документації і критичної інформації
- •4.6. Контроль доступу до інформаційних ресурсів
- •4.6.1. Загальні вимоги
- •4.6.2. Процедури реєстрації
- •4.6.3.Процедура авторизації
- •4.6.4. Управління ідентифікаторами і паролями
- •4.6.5. Система управління паролями
- •4.6.6. Правила захисту обладнання, залишеного без нагляду
- •4.6.7. Використовування мережних служб і сервісів
- •4.6.8. Процедура входу в систему (log on)
- •4.6.9. Використовування системних утіліт
- •4.6.10. Прикладні системи
- •4.6.11. Журнали реєстрації
- •4.6.12. Віддалений доступ
- •4.6.12.3. Безпека для мобільних комп'ютерів і користувачів при віддалений роботі:
- •4.6.13. Процедури керування доступом користувачів до інформаційних ресурсів нан України
- •4.6.13.1. Процедура керування доступом користувачів до Веб-порталу нан України
- •4.6.13.2. Процедура керування доступом користувачів до Веб-сайтів організацій та установ нан України
- •4.6.13.3. Процедура керування доступом користувачів до вітчизняних та зарубіжних електронних бібліотек
- •4.6.13.4. Процедура керування доступом користувачів до корпоративної інформаційно-пошукової системи «Наукові інформаційні ресурси нан України» (Веб-сайту)
- •4.6.13.5. Технологія використання засобів керування доступом користувачів до банку науково-прикладних засобів
- •4.6.13.6. Процедура керування доступом користувачів до автоматизованої інформаційної системи підтримки міжнародної діяльності нан України
- •4.6.13.7. Процедура керування доступом користувачів до інтегрованої системи електронного документообігу в нан України
- •4.6.13.8. Технологія використання засобів керування доступом користувачів до типових інформаційно-аналітичних підсистеми нан України
- •4.7. Правила безпеки для брандмауерів
- •4.7.1. Ризики безпеки брандмауера
- •4.7.2. Хост, підключений до двох сегментів мережі
- •4.7.3. Екранований хост
- •4.7.4. Екранована підмережа
- •4.7.5. Інтранет
- •4.7.6. Адміністрування брандмауера
- •4.7.7. Віддалене адміністрування брандмауера
- •4.7.8. Зареєстровані користувачі
- •4.7.9. Архівні копії брандмауера
- •4.7.10. Довірчі взаємозв'язки в мережі
- •4.7.11. Віртуальні приватні мережа (vpn)
- •4.7.12. Відображення імен на адреси за допомогою dns
- •4.7.13. Цілісність системи
- •4.7.14. Документація
- •4.7.15. Фізична безпека брандмауера
- •4.7.16. Дії при спробах порушення безпеки
- •4.7.17. Відновлення сервісів
- •4.7.18. Удосконалення брандмауера
- •4.8. Правила безпеки при роботі в Інтернеті
- •4.8.1. Пошук інформації в Інтернеті за допомогою браузера
- •4.8.2. Правила безпеки веб-серверів
- •4.8.3. Правила безпеки для електронної пошти
- •4.9. Розробка і супровід інформаційних систем
- •4.9.1. Безпека додатків
- •4.9.2. Вимоги до застосування криптографічних засобів захисту
- •4.9.3. Безпека системних файлів
- •4.9.4. Безпека процесів розробки і підтримки
- •4.10. Планування безперебійної роботи організації
- •4.11. Відповідність системи основним вимогам
- •4.11.1. Виконання правових вимог
- •4.11.2. Вимоги до дотримання авторських прав на програмне забезпечення
- •4.11.3. Перевірка безпеки інформаційних систем
- •4.11.4. Вимоги до системного аудиту
4.3.3. Угода про конфіденційність
4.3.3.1. Користувачі конфіденційних інформаційних ресурсів організації повинні підписати відповідне зобов'язання про конфіденційність (нерозголошуванні). Звичайно службовці організації підписують таке зобов'язання при прийомі на роботу.
4.3.3.2. Користувачі із сторонніх організацій, робота яких не передбачена умовами існуючого договору (а зобов'язання про нерозголошування повинне бути його частиною), повинні підписати зобов'язання про нерозголошування, перш ніж їм буде наданий доступ до конфіденційних інформаційних ресурсів організації.
4.3.3.3. Зобов'язання про нерозголошування необхідно переглядати, коли змінюються умови найма або договір, особливо якщо службовці повинні звільнитися з організації або якщо закінчуються терміни дії договору.
4.3.4. Навчання користувачів
4.3.4.1. Користувачі повинні отримати необхідні відомості про політику організації і прийняті в ній процедури, включаючи вимоги до безпеки і інших засобів контролю, а також навчитися правильно користуватися інформаційними ресурсами (наприклад, знати процедуру входу в систему, уміти користуватися пакетами програм) перед тим, як вони отримають доступ до інформаційних сервісів.
Примітка. Ці заходи необхідні для того, щоб гарантувати, що процедури захисту виконуються правильно, і для зведення до мінімуму ризику порушення конфіденційності, цілісності і доступності даних через помилку користувача.
Цього правила слід дотримуватися як відносно співробітників організації, так і відносно користувачів із сторонніх організацій.
4.3.5. Реакція на інциденти безпеки і несправності
4.3.5.1. В кожній з організацій НАН України слід встановити формальну процедуру повідомлення, а також процедуру реакції на події, що описує заходи, які належить прийняти після отримання повідомлення про інцидент. Всі співробітники і підрядчики повинні бути ознайомлені з цією процедурою; вони зобов'язані повідомляти про такого роду події у відповідну службу підтримки системи захисту.
4.3.5.2. Користувачі інформаційних сервісів зобов'язані реєструвати будь-які спостережувані або передбачувані слабкості в системі безпеки, або загрози системам або сервісам і повідомляти про них. Користувачі повинні негайно доводити подібні інциденти до зведення свого безпосереднього керівництва, служби підтримки системи захисту або постачальників відповідних послуг.
4.3.5.3. Користувачі ні за яких обставин не повинні намагатися перевіряти передбачувані слабкість в системи захисту.
Примітка. Це потрібно для захисту самих користувачів, оскільки їх дії по тестуванню слабкості можна тлумачити як спроби несанкціонованого використовування системи.
4.3.5.4. Користувачі інформаційних сервісів зобов'язані реєструвати всі випадки, коли функціонування програмного забезпечення представляється їм неправильним, тобто таким, що не не відповідає специфікації; вони повинні повідомляти про це в службу технічної підтримки інформаційних систем або безпосередньо постачальнику даних послуг.
4.3.5.5. В кожній з організацій НАН України слід встановити процедури, які негайно повинен виконати користувач, що підозрює, що збій викликаний шкідливою програмою, наприклад, комп'ютерним вірусом. При розробці таких процедур слід звернути особливу увагу на наступні моменти:
Записати «симптоми» і всі повідомлення, що з'являються на екрані.
Припинити роботу на комп'ютері і, якщо можливо, відключити його.
Негайно повідомити про інцидент в службу підтримки системи захисту інформаційної системи.
Якщо обладнання підлягає огляду, то його необхідно від'єднати від мереж організації, перш ніж знову включити живлення.
Не використовувати на інших комп'ютерах магнітних носіїв, записаних на цьому комп'ютері.
4.3.5.6. Ні за яких обставин користувачі не повинні намагатися видалити підозріле програмне забезпечення. Відновлення програмного забезпечення повинні виконувати фахівці, що мають відповідні знання і досвід роботи.
4.3.5.7. В кожній з організацій НАН України слід визначити формальну процедуру накладення дисциплінарних стягнень на співробітників, які порушили прийняті в організації політику і процедури безпеки. Ця процедура повинна забезпечувати правильний і справедливий розгляд справ співробітників, підозрюваних в серйозному або постійному порушенні безпеки. Процедура накладення дисциплінарних стягнень повинна бути розроблена з урахуванням кадрової політики організації і затверджена керівництвом.