Комплексная система защиты информации на предприятии
..pdf–Положение о разрешительной системе допуска к информационным ресурсам;
–Положение о пропускном и внутриобъектовом режиме;
–Инструкция по эксплуатации и тестированию СЗИ от
НСД;
–Инструкция по антивирусной защите;
–Инструкция администратору безопасности информации
ЛВС;
–Инструкция администратору ЛВС;
–Инструкция пользователя АС.
Предположения безопасности
Все рабочие станции и сервера объединены в одну локальную сеть, разбитую на несколько виртуальных подсетей, изолированных друг от друга маршрутизатором на уровне транспортного протокола TCP и домена. Необходимым является наличие уполномоченного пользователя, выполняющего роль администратора сети.
Администратором сети настраиваются:
–политика безопасности домена;
–локальные политики безопасности рабочих станций пользователей.
Остальные пользователи домена не имеют права настраивать и изменять политику безопасности рабочих станций и серверов ЛВС.
Администратором настраивается политика безопасности, реализуемая:
–средствами операционной системы Microsoft Windows Server 2003/2008 Standard;
–антивирусом ESET NOD32.
Администратором устанавливаются права доступа пользователей к информационным ресурсам баз данных, осуществляется своевременная блокировка или ликвидация данных аутентификации и привилегий пользователя.
81
elib.pstu.ru
Учетные записи пользователей, находящихся в отпусках, командировках или отсутствующих по болезни, блокируются администратором сети.
Учетные записи уволенных пользователей блокируются с момента подписания обходного листа администратором сети. Контроль выполнения этого требования возлагается на администратора безопасности.
ПО, используемое в ЛВС ОС, должно быть лицензионным. В ЛВС устанавливается только ПО, включенное в утвержденный исполнительным директором Перечень ПО, разрешен-
ного к использованию.
Все пользователи должным образом выполняют требования организационно-распорядительных документов по безопасности информации в отношении сохранности личных паролей, хранении персональных электронных идентификаторов. В случае утраты персонального электронного идентификатора немедленно ставят в известность своего начальника отдела.
Авторизованные пользователи несут персональную ответственность за хранение личных идентификаторов и не имеют права передавать их кому-либо или оставлять на рабочих местах без присмотра.
Авторизованные пользователи принимают меры для невозможности просмотра персонального пароля при его наборе. При подозрении, что произошло ознакомление постороннего лица с паролем, пользователь самостоятельно его изменяет.
Администраторы сети должным образом выполняют требования своих функциональных инструкции в части запретов на самовольное внесение изменений прав и полномочий пользователей, изменение настроек данной политики безопасности.
Резервное копирование информации, ассоциированной с сервисом безопасности. Архивирование и резервное копирование центральной БД сервера безопасности производятся регулярно и своевременно администратором безопасности с помощью встроенных средств ОС Microsoft Windows Server, позво-
82
elib.pstu.ru
ляющих осуществлять резервное копирование систем целиком или отдельных файлов и папок, аварийное восстановление отдельных файлов и папок или диска целиком.
Физическая защищенность рабочих станций и серверов, на которых функционируют сервисы безопасности. Помещения,
где расположены сервера и коммутационное оборудование оснащены техническими средствами охраны, надежными замками, сдаются и принимаются под охрану в полном соответствии с действующей Инструкцией о порядке сдачи и приема под охрану помещений.
Все сервера и коммутационное оборудование оснащены источниками бесперебойного питания, способными обеспечить подачу электроэнергии не менее чем в течение 30 мин в случае аварийной ситуации.
Право физического доступа к серверам ЛВС имеют только администратор сети и исполнительный директор.
Пользователи должным образом выполняют требования ор- ганизационно-распорядительных документов по информационной безопасности и своевременно сообщают о нарушениях.
Правила и процедуры, действующие в ЛВС Правила идентификации и аутентификации всех субъек-
тов доступа
Для каждого пользователя поддерживаются следующие атрибуты безопасности:
–идентификатор и аутентификационная информация;
–права доступа к информационным ресурсам (БД);
–права доступа к сетевым ресурсам (устройства вводавывода печати).
Идентификация пользователей осуществляется по персональному логину пользователя и паролю.
Администратор ЛВС осуществляет следующие настройки политики безопасности на первичном контроллере домена ЛВС:
–присвоение пользователям учетных записей;
83
elib.pstu.ru
–доступ пользователей к информационным ресурсам согласно заявкам;
–доступ пользователей к устройствам ввода-вывода и пе-
чати;
–блокировку и удаление учетных записей;
–настройку политики личных паролей.
Создание учетных записей производится путем регистрации администратором на сервере.
Допуск пользователей к информационным ресурсам производится путем присвоения прав пользователю на основании запроса начальника отдела с указанием ресурсов.
Допуск пользователей к устройствам ввода-вывода и печати производится путем присвоения прав пользователю на основании запроса начальника отдела с указанием ресурсов.
Блокировка и удаление учетных записей производится администратором на основании письменного уведомления отдела кадров.
Настройка политики личных паролей осуществляется администратором сети на первичном контроллере домена.
Политика личных паролей регламентирует:
–минимальную длину пароля (8 символов);
–максимальный срок действия пароля (45 дней);
–сложность пароля – сочетание верхнего и нижнего регистра, специальных символов, цифр;
–количествопоследнихнабираемыхихранимыхпаролей(10). Запрещается работа в ЛВС под чужой учетной записью. За
все действия, произведенные под чужой учетной записью, несет ответственность пользователь, под чьей учетной записью эти действия производились.
Отказ в аутентификации (блокирование учетной записи) осуществляется и при пяти неудачных попытках регистрации. В неуспешных попытках регистрации (ввода личного пароля) время блокировки учетной записи при этом – 30 мин. Отказ в аутентификации фиксируется в регистрационном журнале.
84
elib.pstu.ru
Политика прав пользователей
Разделение функций пользователя и администратора осуществляется путем включения учетной записи пользователя в группу «Пользователи домена» или «Администраторы домена» соответственно.
Включение пользователя в группу «Администраторы домена» осуществляется администратором ЛВС по представлению исполнительного директора.
Включение пользователя в группу «Пользователи домена» осуществляется администратором ЛВС по представлению начальника соответствующего отдела в установленном порядке.
На всех рабочих станциях ЛВС, кроме серверов, администратором ЛВС создаются группы:
–«Опытный пользователь»;
–«Администратор».
Вгруппу «Опытный пользователь» включается группа «Пользователи домена». В группу «Администраторы» включается группа пользователей инженерной группы, а также могут быть включены другие пользователи по согласованию с начальниками отделов ОБИ и ИТО.
Идентификация и аутентификация пользователя осуществляются системой до разрешения любого действия, выполняемого сервисом безопасности от имени этого пользователя.
Правила протоколирования и аудита для анализа функционирования сервиса безопасности
Протоколирование (регистрация) событий осуществляется администратором в журналах:
–событий;
–системы;
–безопасности.
Категории событий, регистрируемые средствами ОС
Windows:
–вход и выход (сетевой или интерактивный) в систему;
–доступ к файлам, папкам, принтерам и другим объектам;
85
elib.pstu.ru
–применение прав пользователей;
–создание, удаление, изменение или блокировка учетной записи отдельного пользователя и групп пользователей;
–изменение политики учетных записей, политики прав пользователей, политики аудита;
–перезагрузка ОС, выключение РС и системные сообще-
ния;
–нарушение или превышение прав доступа, нарушение прав владения, неверная идентификация и аутентификация, нарушение полномочного доступа;
–действия, связанные с контролем целостности, изменением меток конфиденциальности, сменой пароля, изменением системного журнала, изменением БД, использованием удаленного управления;
–запуск и завершение работы, использование и прекращение использования хранителя экрана, блокировка и разблокировка РС;
–ошибки в работе: программ и модулей, БД контроля целостности, синхронизации, ошибки в ключе реестра, ошибки изменения баз данных.
Параметры регистрации
Вкаждой регистрационной записи должны присутствовать дата и время события, тип события, идентификатор субъекта и результат (успех или неудача) события.
Аудит регистрационной информации, протоколируемой средствами ОС Windows, производится администратором (что конкретно и кем, в каком объеме и с какого рабочего места, объем памяти журналов событий).
Аудит регистрационной информации производится администратором безопасности с сервера безопасности ежедневно. Объем памяти журналов событий устанавливается не менее
2048 Кбайт.
Вся регистрационная информация подлежит архивированию по мере достижения максимального объема журналов со-
86
elib.pstu.ru
бытий. Архивирование системных журналов отдельных РС осуществляется администратором сети еженедельно.
Хранение архивных копий осуществляется в ограниченном для доступа всем пользователям кроме администратора безопасности каталоге на файловом сервере.
Администраторам, осуществляющим аудит регистрационной информации, запрещается изменять, корректировать или удалять содержимое журналов событий.
Порядок обеспечения целостности аппаратно-програм- мной и информационной частей сервиса безопасности
Подотчетность пользователей реализуется посредством аудита их действий с объектами.
Аудит осуществляется средствами консоли управления
Microsoft Windows Server 2003/2008.
Правила управления доступом к информационным ресурсам сервиса безопасности
Все защищаемые информационные ресурсы хранятся на сервере. Доступ к сетевым информационным ресурсам сервера осуществляется по индивидуально-групповому принципу. Все пользователи ЛВС разделяются на группы с одинаковыми правами по доступу к сетевым ресурсам и полномочиями.
В случае если сетевые ресурсы содержат в себе дополнительные ресурсы (папки), предназначенные для пользователей лично, такие права в рамках соответствующей группы конкретизируются для каждого пользователя.
Включение (исключение) пользователя в соответствующую группу и предоставление (изменение) полномочий по отношению к информационным ресурсам осуществляются администратором сети по представлению начальника отдела в установленном порядке.
Все защищаемые информационные ресурсы, группы пользователей, их права и полномочия отражаются в матрице доступа ЛВС.
87
elib.pstu.ru
Контроль за реализацией матрицы доступа осуществляет администратор сети по согласованию с исполнительным директором.
Доступ к операционным документам осуществляется индивидуально, на основании перечня рабочих мест отдела, закрепления за ним конкретного пользователя и выполняемых операций, по письменному представлению начальника отдела в установленном порядке.
Изменение прав пользователей производится в соответствии с распоряжением начальника соответствующего отдела.
Переопределение прав пользователей производится на основании письменного распоряжения начальника соответствующего отдела.
Обеспечение невозможности обхода используемого СЗИ от НСД реализуется:
– блокировкой в настройке программы начальной загрузки (SETUP) возможности загрузки с устройства со съемными машинными носителями информации (CD-ROM, флеш-памяти
идр.);
–запретом на включения учетной записи пользователя в группу «Локальные администраторы» РС;
–запретом редактирования реестра ОС.
Вцелях недопущения перехвата пароля доменного администратора клавиатурными шпионами и другими вредоносными программами запрещается терминальное подключение к серверам под учетной записью доменного администратора. Все настройки и управление сервисами происходит через консоли/утилиты управления с рабочего места администратора сети.
Доступ в ЛВС из внешних сетей по VPN как доступ к внешним сетям клиентов предоставляется по распоряжению начальника отдела с письменным согласованием исполнительного директора.
88
elib.pstu.ru
ПРИЛОЖЕНИЕ 9
УТВЕРЖДАЮ Руководитель ООО «Конфидент»
__________ Медведев Д.А. "___"___________ _____г.
АКТ классификации автоматизированной системы,
предназначенной для обработки конфиденциальной информации ООО «Конфидент»
Комиссия в составе: Председатель: Медведев Д.А.
Членыкомиссии: СекретныйВ.Ф.; БезопасныйР.Р.; ВасинВ.А. Рассмотрев исходные данные на автоматизированную систему (АС) ООО «Конфидент», условия ее эксплуатации – многопользовательский с разными правами доступа к информации, с учетом характера обрабатываемой информации (коммерческая тайна, персональные данные), и в соответствии с руководящими документами Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и «Специальные требования и рекомендации по технической защите конфиденциальной информа-
ции (СТР-К)»,
КОМИССИЯ РЕШИЛА:
Присвоить АС ООО «Конфидент» класс защищенности 1Г
Председатель комиссии _______________ Медведев Д.А.
Члены комиссии: _______________Секретный В.Ф. Безопасный Р.Р. Васин В.А.
89
elib.pstu.ru
ПРИЛОЖЕНИЕ 10
ТЕХНИЧЕСКИЙ ПАСПОРТ
на автоматизированную систему организации
ООО «Конфидент»
СОГЛАСОВАНО |
РАЗРАБОТАЛ |
_________________________ |
__________________ |
(представитель подразделения |
|
по защите информации) |
|
"___"_________ 20____ г. |
|
|
2012 г |
90
elib.pstu.ru