Учебное пособие 800434
.pdf
информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);
-организацию пропускного режима; -определение порядка учета, выдачи, использования и
хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;
-организацию учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;
-определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует, и что при этом они должны делать);
-создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации;
-разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;
-определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса КС в критических
57
ситуациях, возникающих как следствие НСД, сбоев и отказов ТС, ошибок в программах и действиях персонала, стихийных бедствий.
К многократно проводимым мероприятиям относят: -мониторинг работоспособности ТС и СЗИ; -распределение реквизитов разграничения доступа
(паролей, ключей шифрования и т.п.); -анализ системных журналов и лог-файлов;
-мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;
-периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;
-мероприятия по пересмотру состава и построения системы защиты;
-анализ состояния и оценка эффективности мер и применяемых средств защиты;
-наблюдение за работой персонала и пользователей КС; -обучение персонала и пользователей.
К мероприятиям, проводимым по необходимости, относят:
-принятие мер по обнаруженным нарушениям правил работы;
-мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;
-мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);
-мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при
58
которых персоналу было бы невыгодно нарушать свои обязанности и т.д.).
В качестве примера проведения комплекса организационных мероприятий можно рассмотреть выделение режимных зон (помещений) на объекте информатизации. К основным мероприятиям по защите информации в выделенных помещениях относятся:
1. Категорирование выделенных помещений в зависимости от важности, секретности и условий обработки информации в соответствии с нормативными документами Гостехкомиссии России.
-Назначение сотрудников, ответственных за выполнение требований по защите информации в выделенных помещениях.
-Обеспечение эффективного контроля за доступом в выделенные помещения, а также в смежные помещения.
-Инструктирование сотрудников, работающих в выделенных помещениях, о правилах эксплуатации технических средств обработки информации и связи с соблюдением требований по защите информации.
-Исключение неконтролируемого доступа к линиям связи, управления сигнализации в ВП, а также в смежные помещения и в коридор.
-Исключение применения в выделенных помещениях технических средств и аппаратуры, не прошедших специсследований, спецпроверки и не разрешенных для использования в данном помещении.
-Осуществление сотрудниками, ответственными за безопасность информации, контроля за проведением всех монтажных и ремонтных работ в выделенных и смежных с ними помещениях, а также в коридорах.
Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в КС может быть (а при больших объемах защищаемой информации - должна быть) создана специальная штатная служба обеспечения компьютерной безопасности.
59
Основные функции службы:
-формирование требований к системе защиты в процессе создания АС;
-участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
-планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;
-распределение между пользователями необходимых реквизитов защиты;
-наблюдение за функционированием системы защиты и ее элементов;
-организация проверок надежности функционирования системы защиты;
-обучение пользователей и персонала АС правилам безопасной обработки информации;
-контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
-принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.
5.2. Администрирование КС
Процесс администрирования КС является организационно-технологическим процессом, объединяющим методики и процедуры обеспечения безопасности с действиями сил и средств. К основным процедурам процесса администрирования относятся:
-проверка системы и средств безопасности; -управление паролями; -поддержка пользователей;
-сопровождение программного обеспечения; -конфигурационное управление; -резервное копирование; -управление носителями.
60
Систематические проверки безопасности —
необходимое условие надежного функционирования КС. Проверки должны включать: проведение учений и регламентные работы по контролю политики и всей системы безопасности, постоянное тестирование основных процедур, программно-аппаратных механизмов и средств. Важным элементом проверки является определение достаточной степени полноты проверок и периодичности с целью получения уверенности в защищенности КС.
Управление паролями является наиболее важной процедурой обеспечения безопасности работы пользователей. По данным CERT/CC не менее 80% инцидентов в КС связаны с плохим выбором паролей. Процедуры управления паролями варьируются от эпизодических просьб по смене пароля до анализа устойчивости системы аутентификации. Для последнего используются сетевые анализаторы либо программы вскрытия паролей.
Поддержка пользователей состоит в обучении,
консультировании, оказании помощи при их работе в системе, а также в контроле соблюдения ими правил безопасности и выяснении причин возникших проблем или подозрительных событий. Для обучения и консультирования могут быть определены специальные часы занятий. Для оказания помощи в работе, кроме администратора системы, может назначаться специальная группа сопровождения пользователей или группа реагирования на нарушения. Целесообразно вести учет всех вызовов пользователями. Это способствует проведению оценки и совершенствованию качества системы безопасности. Важным является выяснение причин возникших трудностей. Это позволяет оперативно выявить разного рода нарушения, в том числе неавторизованную деятельность злоумышленника.
Процедура сопровождения программного обеспечения требует:
-контролировать безопасность информационных процессов с целью выявления компьютерных вирусов, сбоев и
отказов |
функционирования |
программ |
и |
запуска |
|
61 |
|
|
|
неавторизованных программ и процессов; -контролировать целостность программного обеспечения
(неавторизованную модификацию) на предмет выявления программных закладок, недокументированных функций и других программных дефектов;
-обеспечивать восстановление программ с эталонных копий (возможно, с привлечением сил и средств фонда алгоритмов и программ предприятия), их обновление, замену и другие вопросы, касающиеся жизненного цикла программного обеспечения.
Процедуры конфигурационного управления.
Администратор обеспечивает функциональную совместимость компонентов системы и их настройку с целью максимальной производительности и безопасности. Следует отметить, что зачастую именно ошибки в конфигурации систем являются причиной незащищенности распределенных КС. Дело в том, что конфигурирование особенно сетевых и устаревших аппаратных компонентов может быть делом очень трудным и требовать высокой квалификации технических работников. Поэтому стараются выбирать стандартные настройки подсистем. Это упрощает установку, администрирование и развитие системы, но может не соответствовать специфическим особенностям безопасности КС. Кроме того, стандартные конфигурации более уязвимы перед внешними вторжениями.
Резервное копирование - традиционный способ обеспечения работоспособности системы на случай порчи или утраты информационно-программного ресурса АС. При оценке возможных нарушений производится оценка возможности восстановления информации и программ и требуемые для этого ресурсы. Исходя из этого, рассчитывается периодичность и полнота создания резервных копий. Разуметься, копии должны храниться так, чтобы исключить их утрату вместе с оригиналом. Обычно их содержат в отдельных защищенных помещениях или/и специальных сейфах на случай пожара, затопления, всплеска радиации или другого
62
стихийного бедствия и действия злоумышленника. Управление носителями включает процедуры по их
хранению, учету, выдаче, контролю правильности использования и уничтожения носителей. Сюда относится контроль и учет выдачи информации и на печатающие устройства. На некоторых предприятиях имеются ограничения на использование определенных носителей. Например, разрешается пользоваться только зарегистрированными носителями.
5.3. Документирование мероприятий по ЗИ
Разработка регламентирующей документации является важным этапом создания системы безопасности органа ГМУ, поскольку она является официальной (признаваемой законодательством РФ) нормативной основой информационной деятельности и правоотношений внутри органа ГМУ. Для организации и обеспечения эффективного функционирования комплексной системы компьютерной безопасности должны быть разработаны следующие группы организационно-распорядительных документов:
-документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в АС (план защиты информации в АС, план обеспечения непрерывной работы и восстановления информации);
-документы, определяющие ответственность взаимодействующих организаций (субъектов) при обмене электронными документами (договор об организации обмена электронными документами).
Примерный перечень документации, регламентирующей статус КС органа ГМУ, правила безопасной работы и требования безопасности для пользователей и персонала, а также формы и методы учета и контроля состоит из следующих документов.
1). Положение об информационной системе объекта. Содержит описание защищаемой системы: назначение АС,
63
перечень решаемых АС задач, конфигурация, характеристики и размещение технических средств и программного обеспечения.
2). Положение о перечне и порядке обращения с информацией ограниченного распространения. В нем закрепляются категории информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащей защите; требования по обеспечению доступности, конфиденциальности, целостности этих категорий; список пользователей и их полномочий по доступу к ресурсам системы и т.п.
3). Положение о системе защиты информации (в ряде источников - план защиты информации). Включает в себя:
-цели защиты системы, пути обеспечения безопасности КС и циркулирующей в ней информации;
-перечень значимых угроз безопасности АС, от которых требуется защита, и наиболее вероятных каналов нанесения ущерба;
-основные требования к организации процесса функционирования АС и мерам обеспечения безопасности обрабатываемой информации;
-требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;
-основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности КС.
4). Набор должностных инструкций (памяток) для пользователей и персонала с правилами эксплуатации элементов КС и требованиями информационной безопасности.
5). Приказы руководителя организации о вводе в
эксплуатацию КС и ее подсистем, о назначении ответственных за различные аспекты безопасности сотрудников.
6). Акты категорирования помещений и компьютерной техники, заключения о проведении проверочных мероприятий, предписания на эксплуатацию КС и ее элементов.
7). Подписанные сотрудниками обязательства по
64
соблюдению правил и требований и неразглашению информации ограниченного распространения.
8). Журналы учета документов, носителей компьютерной
информации, выдачи средств доступа и т.п. |
|
|
||
9). План обеспечения бесперебойной |
работы и |
|||
восстановления |
целостности |
КС. |
Должен |
отражать |
следующие вопросы: |
|
|
|
|
-цель |
обеспечения |
непрерывности |
процесса |
|
функционирования КС, своевременность восстановления ее работоспособности и чем она достигается;
-перечень и классификация возможных кризисных ситуаций;
-требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);
-обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их
последствий, |
минимизации |
наносимого |
ущерба |
и |
восстановлению |
нормального |
процесса функционирования |
||
системы. |
|
|
|
|
|
6. ТЕХНИЧЕСКИЕ СЗИ В КС |
|
||
Область применения технических СЗИ соответствует |
||||
аппаратному уровню четырехуровневой модели |
комплексной |
|||
системы ЗИ. К техническим СЗИ относятся:
-направления ЗИ, базирующиеся на использовании определенных свойств технических средств обработки и передачи информации;
-направления ЗИ, базирующиеся на включении, изъятии или специализации ТС обработки и передачи информации;
-специализированные аппаратные и аппаратно-программные (имеющие встроенное узко специализированное ПО) средства защиты.
65
6.1.Технические средства защиты КС от НСД
Ктехническим направлениям ЗИ КС от НСД относятся:
-минимизация количества периферийных устройств на пользовательских ПК;
-специализация устройств обработки информации; -использование специализированных сетевых устройств; -применение ТС разграничения доступа к компонентам
КС;
-применение средств гарантированного удаления информации с физических носителей;
-применение средств защиты информации от утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН).
Минимизация количества периферийных устройств на пользовательских ПК.
В рамках данного направления осуществляется:
-определение технологической необходимости присутствия тех или иных устройств в ПК пользователей;
-разумное ограничение наличия на пользовательских ПК устройств для копирования информации с/на внешние носители - флоппи-дисководов, боксов для сменных винчестеров, CD-RW, магнитооптических и ZIP приводов, принтеров;
-использование ―тонких‖ и ―сверхтонких‖ сетевых клиентов (бездисковых ПК с загрузкой по сети или с CD-ROM, Х-терминалов и т.д.);
-затруднение возможности неконтролируемого изменения конфигурации оборудования на пользовательских ПК (т.е. они должны запираться, опечатываться и т.п.).
В результате использования методов, присущих данному направлению, снижается вероятность:
-несанкционированного копирования информации; -возможности внесения в КС нежелательной информации и
программных средств; -оставления всевозможного информационного ―мусора‖.
66