Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
БИТиС / Лекции_Мошак_Птицына_ Пособие_БИТиС.docx
Скачиваний:
86
Добавлен:
05.09.2023
Размер:
4.32 Mб
Скачать

Глава 4. Организационно-технические предложения по методам и механизмам защиты ис организации

Для построения СИБ ИС соответствующего класса защищенности, должны быть выбраны защитные меры и механизмы защиты, реализующие требования Политики ИС и ведомственных документов организации, а также требований документов ФСТЭК [11-13] и других регуляторов. Выбор защитных мер, адекватных моделям угроз и на­рушителей, должен проводится с учетом затрат на их реализацию и объема возможных потерь от реализа­ции угроз. При этом должны применяться только те защитные меры, эффективность ра­боты которых может быть проверена с учетом их на бизнес–цели.

Ниже приводятся общие подходы по защите «закрытого» и «открытого» контуров ИС организации [15-17].

4.1. Технические решения для защиты компьютерных ресурсов серверов и арм

4.1.1. Общие организационно-технические решения по обеспечению безопасности

В качестве приоритетной организационной меры по предотвращению потенциальных угроз со стороны группы администраторов необходимо сначала разделить полномочия по обеспечению доступа к управлению компонентов ИС и непосредственному управлению этими компонентами. Кроме того, необходимо ограничить доступ к оборудованию путем оснащения помещений средствами демилитаризации доступа.

Для предотвращения несанкционированного дистанционного сетевого управления оборудованием необходимо использовать средства фильтрации сетевого трафика, позволяющие управлять оборудованием только из выделенного для этих целей АРМ, указанный AРМ должен быть оснащен средствами защиты от НСД, обеспечивая, в частности, невозможность изменения её сетевых настроек (например, СЗИ от НСД SecretNet)

Пользователи и администраторы всех компонентов ИС должны иметь в них уникальные идентификаторы. Использование чужих идентификаторов должно быть запрещено. Учетные записи администратора этих систем (например, root в HP-UX, SYS в СУБД Oracle) должны использоваться только в том случае, если требуемая операция не может быть выполнена технически с использованием учетной записи индивидуального администратора этой системы.

При настройке инструментов регистрации событий на другой уровень детализации перехваченных событий в серверной ОС, сетевом оборудовании ОС, ОС АРМ и СУБД должны быть выполнены следующие требования.

1. Полнота зарегистрированных событий должна быть достаточной, а не избыточной для доказательного анализа ситуации.

2. Данные аудита должны быть максимально независимыми от администратора контролируемой системы.

3. Необходимо обеспечить несанкционированное искажение журналов аудита, включая системных администраторов.

4. Мониторы безопасности должны использоваться для быстрого обнаружения возможных атак в режиме реального времени.

5. Журналы аудита должны храниться в сроки, определенные правилами компании.

Вне зависимости от типа операционной системы, подсистема аудита должна обеспечивать регистрацию:

1. Идентификационная информация, включая попытки пользователей ввести пароль.

2. Операции, отклоненные автоматизированными системами из-за отсутствия полномочий операторов.

3. Факт модификации конфигурационных файлов IE.

4. Тот факт, что администраторы изменили разрешения пользователей.

5. Система аудита отключена администраторами.

6. Факты IE начинаются и останавливаются.