2354
.pdf
безопасности, включающих: выявление причин, приведших к инциденту; формирование мер по недопущению аналогичных инцидентов; выявление круга лиц, причастных к инциденту; формирование предложений по применению мер административного, материального или иного воздействия на виновных.
В процессе своей деятельности служба ИБ должна реализовывать следующий комплекс мероприятий.
1). Разовые мероприятия:
общесистемные мероприятия по созданию научнотехнических и методологических основ (концепции и других руководящих документов) защиты КС;
мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов КС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);
мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);
проведение спецпроверок всех применяемых в КС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;
внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные
обязанности |
должностных |
лиц, |
инструкции |
пользователей |
системы и |
т.п.) по |
вопросам |
|
101 |
|
|
обеспечения безопасности программноинформационных ресурсов КС и действиям в случае возникновения кризисных ситуаций; оформление юридических документов (в форме
договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими с КС, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи и т.п.; определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы; мероприятия по разработке правил управления
доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием КС, а также используемых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в КС; выявление наиболее вероятных угроз для данной КС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты); организацию пропускного режима;
определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные
102
копии программ и массивов информации, архивные данные и т.п.; организацию учета, хранения, использования и
уничтожения документов и носителей с закрытой информацией; определение порядка проектирования, разработки,
отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать); создание отделов (служб) компьютерной
безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программноинформационных ресурсов автоматизированной системы обработки информации; разработка и утверждение функциональных
обязанностей должностных лиц службы компьютерной безопасности; определение перечня необходимых регулярно
проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса КС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов ТС, ошибок в программах и действиях персонала, стихийных бедствий.
103
Пример: Требования к комплексу средств физической защиты носят достаточно общий характер, в целом не зависящий от характера объектов защиты. Меры физической защиты представляют собой действия, которые предпринимаются для защиты от стихийных бедствий, нарушения условий эксплуатации, аварий и преднамеренных воздействий. Объектами физической защиты могут быть: здания, компьютерные помещения, компьютеры, вспомогательное оборудование, носители информации и каналы ее передачи. Эффективность физической защиты оценивается временем проникновения, т.е. временем, необходимым злоумышленнику для преодоления средств физической защиты. При оценке физической безопасности любого объекта, в том числе компьютера, обычно используют
метод концентрических окружностей, позволяющий установить как может преступник получить доступ к объекту и попасть на место преступления. Начинают с окружности внешнего периметра, проходящей по краю автомобильной стоянки или даже по улице, затем - по внешней стене здания, и постепенно приближаются к нужной точке.
Приведем некоторые рекомендации, которые следует учитывать при проектировании средств физической защиты компьютерных объектов:
охраняемые элементы компьютерной системы следует располагать в помещениях, расположение и состояние которых обеспечивает наибольшую безопасность;
критически важное компьютерное оборудование следует размещать как можно более компактно;
охраняемые компьютерные помещения необходимо оборудовать техническими средствами ограничения доступа, мониторинга, сигнализации и пожаротушения;
коммуникационные узлы, распределительные щиты электропитания должны размещаться в контролируемых и запираемых помещениях.
104
2). Многократно проводимые мероприятия: 
мониторинг работоспособности ТС и СЗИ;
распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);
анализ системных журналов и лог-файлов;
мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;
анализ (с привлечением сторонних специалистов) состояния и оценки эффективности мер и применяемых средств защиты;
мероприятия по пересмотру состава и построения системы защиты;
наблюдение за работой персонала и пользователей КС; обучение персонала и пользователей.
3). Мероприятия, проводимые по необходимости:
принятие мер по обнаруженным нарушениям правил работы с КС (например, проведение служебных расследований);
мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;
мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);
мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.);
105
утверждение списка программного обеспечения, допустимого к установке на пользовательских компьютерах (в случаях смены поколений ПО, вводе новых технологических операций и т.п.); лишение пользователей прав локального
администратора на эксплуатируемых ПК (после установки системного ПО); определение конфигурации периферийного
оборудования на рабочих местах пользователей; установление лимитов на объемы выводимой из КС информации.
В качестве примера проведения комплекса организационных мероприятий можно рассмотреть выделение режимных зон (помещений) на объекте информатизации. К основным мероприятиям по защите информации в выделенных помещениях относятся:
категорирование выделенных помещений в зависимости от важности, секретности и условий обработки информации в соответствии с нормативными документами Гостехкомиссии России; назначение сотрудников, ответственных за выполнение требований по защите информации в
выделенных помещениях; обеспечение эффективного контроля за доступом в
выделенные помещения, а также в смежные помещения;
инструктирование сотрудников, работающих в выделенных помещениях, о правилах эксплуатации технических средств обработки информации и связи с соблюдением требований по защите информации;
исключение неконтролируемого доступа к линиям связи, управления сигнализации в ВП, а также в смежные помещения и в коридор;
исключение применения в выделенных помещениях
106
технических средств и аппаратуры, не прошедших специсследований, спецпроверки и не разрешенных для использования в данном помещении; осуществление сотрудниками, ответственными за безопасность информации, контроля за проведением всех монтажных и ремонтных работ в выделенных и смежных с ними помещениях, а также в коридорах.
3.2. Администрирование автоматизированных защищенных систем
Процесс администрирования АЗС является организационно-технологическим процессом, объединяющим методики и процедуры обеспечения безопасности с действиями сил и средств. К основным процедурам процесса администрирования относятся:
проверка (мониторинг) работоспособности системы и средств безопасности;
управление атрибутами безопасности (паролями, ключами, правами доступа);
поддержка пользователей;
сопровождение программного обеспечения;
конфигурирование системы и средств защиты;
резервное копирование;
управление носителями; мониторинг событий безопасности.
Систематические проверки работоспособности системы безопасности – необходимое условие надежного функционирования КС. Проверки должны включать: проведение учений и регламентные работы по контролю политики и всей системы безопасности, постоянное тестирование основных процедур, программно-аппаратных механизмов и средств. Важным элементом проверки является определение достаточной степени полноты проверок и периодичности с целью получения уверенности в защищенности КС.
107
1)Управление атрибутами безопасности является наиболее важной процедурой обеспечения безопасности работы пользователей. По данным CERT/CC не менее 80% инцидентов в КС связаны с плохим выбором паролей. Процедуры управления паролями варьируются от эпизодических просьб по смене пароля до анализа устойчивости системы аутентификации. Для последнего используются сетевые анализаторы либо программы вскрытия паролей.
2)Поддержка пользователей состоит в обучении, консультировании, оказании помощи при их работе в системе, а также в контроле соблюдения ими правил безопасности и выяснении причин возникших проблем или подозрительных событий. Для обучения и консультирования могут быть определены специальные часы занятий. Для оказания помощи в работе, кроме администратора системы, может назначаться специальная группа сопровождения пользователей или группа реагирования на нарушения. Целесообразно вести учет всех вызовов пользователями. Это способствует проведению оценки
исовершенствованию качества системы безопасности. Важным является выяснение причин возникших трудностей. Это позволяет оперативно выявить разного рода нарушения, в том числе неавторизованную деятельность злоумышленника.
3)Процедуры сопровождения программного обеспечения требуют:
контролировать безопасность информационных процессов с целью выявления компьютерных вирусов, сбоев и отказов функционирования программ и запуска неавторизованных программ и процессов;
контролировать целостность программного обеспечения (неавторизованную модификацию) на предмет выявления программных закладок, недокумен-
108
тированных функций и других программных дефектов; обеспечивать восстановление программ с эталонных
копий (возможно, с привлечением сил и средств фонда алгоритмов и программ предприятия), их обновление, замену и другие вопросы, касающиеся жизненного цикла программного обеспечения.
4)Процедуры конфигурирования СрЗИ обеспечивают функциональную совместимость компонентов системы и их настройку с целью максимальной производительности и безопасности. Следует отметить, что зачастую именно ошибки
вконфигурации систем являются причиной незащищенности распределенных КС. Дело в том, что конфигурирование особенно сетевых и устаревших аппаратных компонентов может быть делом очень трудным и требовать высокой квалификации технических работников. Поэтому стараются выбирать стандартные настройки подсистем. Это упрощает установку, администрирование и развитие системы, но может не соответствовать специфическим особенностям безопасности КС. Кроме того, стандартные конфигурации более уязвимы перед внешними вторжениями.
5)Резервное копирование – традиционный способ обеспечения работоспособности системы на случай порчи или утраты информационно-программного ресурса АС. При оценке возможных нарушений производится оценка возможности восстановления информации и программ и требуемые для этого ресурсы. Исходя из этого, рассчитывается периодичность и полнота создания резервных копий. Разуметься, копии должны храниться так, чтобы исключить их утрату вместе с оригиналом. Обычно их содержат в отдельных защищенных помещениях или/и специальных сейфах на случай пожара, затопления, всплеска радиации или другого стихийного бедствия и действия злоумышленника.
109
6)Управление носителями включает процедуры по их хранению, учету, выдаче, контролю правильности использования и уничтожения носителей. Сюда относится контроль и учет выдачи информации и на печатающие устройства. На некоторых предприятиях имеются ограничения на использование определенных носителей. Например, разрешается пользоваться только зарегистрированными носителями.
7)Мониторинг событий безопасности в ходе информационных процессов КС применяется обычно в трех режимах:
в режиме архива;
в режиме сигнализации;
-в режиме активной защиты.
Режим архива предполагает минимум вмешательства в деятельность информационной системы. В этом режиме система контроля лишь протоколирует действия пользователей, архивируя журналы операций с конфиденциальной информации и содержимое информационных потоков. Архивы анализируются на предмет наличия в них фактов о нарушении политики информационной безопасности либо по регламенту (каждый вечер, каждую пятницу и т.д.), либо по запросу о расследовании инцидента.
Преимуществом этого режима контроля является нетребовательность к вычислительным ресурсам и гибким управлением временем администратора информационной безопасности, который сам определяет время для анализа архива. Его рабочее время, занятое анализом архива, не превышает нескольких часов в месяц. Недостатком этого режима является невозможность предотвращения утечки.
Режим сигнализации представляет собой расширенный режим архива, однако перед укладыванием информации в архив, действие или сообщение проверяется на предмет
110