- •Актуальность проблемы обеспечения безопасности информационных технологий Место и роль информационных систем в управлении бизнес-процессами
- •Основные причины обострения проблемы обеспечения безопасности информационных технологий
- •Защита информационных технологий как процесс управления рисками. Сложность количественной оценки рисков
- •Особенности современных автоматизированных систем как объектов защиты
- •Основные понятия в области безопасности информационных технологий Что такое безопасность информационных технологий
- •Информация и информационные отношения
- •Субъекты информационных отношений, их безопасность
- •Цель защиты автоматизированной системы и циркулирующей в ней информации
- •Угрозы безопасности информационных технологий Уязвимость основных структурно-функциональных элементов распределённых автоматизированных систем
- •Угрозы безопасности информации, автоматизированных систем и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Классификация каналов проникновения в автоматизированную систему и утечки информации
- •Неформальная модель нарушителя
- •Виды мер и основные принципы обеспечения безопасности информационных технологий Виды мер противодействия угрозам безопасности
- •Достоинства и недостатки различных видов мер защиты
- •Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе
- •Правовые основы обеспечения безопасности информационных технологий Введение
- •Защищаемая информация
- •Лицензирование
- •Сертификация средств защиты и аттестация объектов информатизации
- •Новое поколение нормативно-технических документов (гост р исо/мэк 15408-2008)
- •Часть 2 рд содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определённым правилам.
- •Специальные требования и рекомендации по технической защите конфиденциальной информации
- •Юридическая значимость электронных документов с электронной подписью
- •Ответственность за нарушения в сфере защиты информации
- •Государственная система защиты информации Введение
- •Государственная система защиты информации
- •Организация защиты информации в системах и средствах информатизации и связи
- •Контроль состояния защиты информации
- •Финансирование мероприятий по защите информации
- •Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты Основные механизмы защиты информационных систем
- •Разграничение доступа зарегистрированных пользователей к ресурсам автоматизированной системы
- •Регистрация и оперативное оповещение о событиях безопасности
- •Криптографические методы защиты информации
- •Контроль целостности программных и информационных ресурсов
- •Обнаружение атак
- •Защита периметра компьютерных сетей
- •Управление механизмами защиты
- •Страхование информационных рисков
- •Организационная структура системы обеспечения безопасности информационных технологий Понятие технологии обеспечения (управления) безопасности информации и ресурсов в автоматизированной системе
- •Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала автоматизированной системы
- •Политика безопасности организации
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Распределение функций по обеспечению безопасности информационных технологий
- •Система организационно-распорядительных документов по обеспечению безопасности информационных технологий
- •Документы , регламентирующие правила парольной и антивирусной защиты Инструкция по организации парольной защиты
- •Инструкция по организации антивирусной защиты
- •Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы Допуск сотрудников подразделений к работе с ас
- •Обеспечение и контроль физической целостности и неизменности конфигурации аппаратно-программных средств автоматизированной системы
- •Регламентация процессов обслуживания и осуществления модификации аппаратных и программных средств автоматизированной системы
- •Процедура внесения изменений в конфигурацию аппаратных и программных средств защищённых серверов и рабочих станций
- •Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач Основы процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
- •Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
- •Назначение, возможности, и основные защитные механизмы межсетевых экранов Введение
- •Мэ - основные сведения
- •Классификация мэ
- •Варианты расположения мэ
- •Политика безопасности и мэ
- •Недостатки мэ
- •Что такое «HoneyNet»?
Процедура внесения изменений в конфигурацию аппаратных и программных средств защищённых серверов и рабочих станций
Процедура внесения изменений в конфигурацию аппаратных и программных средств защищённых серверов и рабочих станций системы может инициироваться либо заявкой руководителя данного подразделения, либо заявкой руководителя подразделения автоматизации.
Заявка руководителя подразделения, в котором требуется произвести изменения конфигурации рабочей станции, оформляется на имя руководителя подразделения автоматизации. Производственная необходимость проведения указанных в заявке изменений может подтверждаться подписью вышестоящего руководителя.
Заявка руководителя подразделения автоматизации, которое отвечает за плановое развитие АС и проведение изменений (обновлений версий) ПО, оформляется на имя руководителя структурного подразделения (подразделений), использующего (использующих) подсистему АС, требующую модификации. Производственная необходимость проведения указанных в заявке изменений может подтверждаться подписью вышестоящего руководителя.
В заявках могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств рабочих станций и серверов подразделения:
установка в подразделении новой ПЭВМ (развёртывание новой рабочей станции или сервера);
замена ПЭВМ (рабочей станции или сервера подразделения);
изъятие ПЭВМ (рабочей станции или сервера подразделения);
добавление устройства (узла, блока) в состав конкретной рабочей станции или сервера подразделения;
замена устройства (узла, блока) в составе конкретной рабочей станции или сервера подразделения;
изъятие устройства (узла, блока) из состава конкретной рабочей станции или сервера;
установка (развёртывание) на конкретной рабочей станции или сервере программных средств, необходимых для решения определённой задачи (добавление возможности решения данной задачи на данной рабочей станции или сервере);
обновление (замена) на конкретной рабочей станции или сервере программных средств, необходимых для решения определённой задачи (обновление версий используемых для решения определённой задачи программ);
удаление с конкретной рабочей станции или сервера программных средств, используемых для решения определённой задачи (исключение возможности решения данной задачи на данной рабочей станции).
В заявке должны указываться условные наименования развёрнутых рабочих станций и серверов в соответствии с их формулярами. В случае развёртывания новой рабочей станции её наименование в заявке указывать не требуется (оно должно устанавливается позднее при заполнении формуляра новой рабочей станции). Наименования задач указываются в соответствии с формулярами задач или перечнем задач архива эталонных дистрибутивов подразделения автоматизации, которые можно решать с использованием АС.
Заключение о технической возможности осуществления затребованных изменений выдаётся специалистами подразделения автоматизации (на основании формуляров задач и формуляров соответствующих рабочих станций или серверов).
Заключение о возможности совмещения решения новых задач (обработки информации) на указанных в заявке рабочих станциях или серверах в соответствии с требованиями по безопасности выдаётся специалистами подразделения обеспечения безопасности ИТ, которым заявка передаётся на согласование (одновременно с этим производится определение новых категорий защищённости указанных рабочих станций или серверов).
После чего заявка передаётся в подразделение автоматизации для непосредственного исполнения работ по внесению изменений в конфигурацию рабочих станций или серверов АС организации.
Ответственный за обеспечение безопасности информации в подразделении (при его отсутствии - руководитель подразделения) допускает уполномоченных исполнителей к внесению изменений в состав аппаратных средств и программного обеспечения только по предъявлении последними утверждённой заявки на осуществление данных изменений.
Установка, изменение (обновление) и удаление системных и прикладных программных средств производится уполномоченными сотрудниками подразделения автоматизации. Если рабочая станция или сервер относится к защищаемым рабочим станциям, то установка, снятие, и внесение необходимых изменений в настройки средств защиты от НСД и средств контроля целостности файлов на рабочей станции осуществляется уполномоченными сотрудниками подразделения обеспечения безопасности ИТ (администраторами специальных средств защиты). Работы производятся в присутствии ответственного за обеспечение безопасности информации подразделения и пользователя данной рабочей станции.
Установка или обновление подсистем АС должны проводиться в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.
Модификация ПО на подлежащих защите серверах осуществляется уполномоченными сотрудниками подразделения автоматизации обязательно в присутствии уполномоченного сотрудника подразделения обеспечения безопасности ИТ. После установки модифицированных модулей на сервер сотрудник подразделения безопасности ИТ в присутствии сотрудников подразделения автоматизации должен настроить средства контроля целостности модулей на сервере (произвести пересчёт контрольных сумм эталонов модулей).
Все добавляемые программные и аппаратные компоненты должны быть предварительно установленным порядком проверены на работоспособность, а также отсутствие опасных функций. До и после проведения модификации ПО на рабочих станциях и серверах сотрудник подразделения автоматизации может проводить антивирусный контроль, если это оговорено в соответствующей «Инструкции по антивирусной защите».
Установка и обновление общего ПО (системного, тестового и т.п.) на рабочие станции и сервера должны производиться с оригинальных лицензионных дистрибутивных носителей (дискет, компакт дисков и т.п.), полученных установленным порядком, либо с эталонных копий программных средств, полученных из АЭД (при реализации сетевого архива эталонных дистрибутивов программ - из него).
При необходимости (в случае установки части компонент на дисках сетевых серверов) к работам привлекаются администраторы сети (серверов) и администраторы баз данных.
Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера также должна быть выполнена антивирусная проверка.
После установки (обновления) ПО администратор СЗИ НСД (возможно также администраторы серверов и баз данных) должен произвести настройку средств управления доступом к компонентам данной задачи (программного средства) в соответствии с её (его) формуляром и совместно с сотрудником подразделения автоматизации и пользователем рабочей станции должен проверить работоспособность ПО и правильность настройки средств защиты.
После завершения работ по внесению изменений в состав аппаратных средств защищённой рабочей станции её системный блок должен закрываться сотрудником подразделения автоматизации на ключ (при наличии штатных механических замков) и опечатываться (пломбироваться, защищаться специальной наклейкой) сотрудником подразделения обеспечения безопасности ИТ.
Уполномоченные исполнители работ от подразделений автоматизации и обеспечения безопасности ИТ должны произвести соответствующую запись в «Журнале учёта нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций подразделения», а также сделать отметку о выполнении задания на модификацию (на обратной стороне заявки).
Формат записей Журнал учёта нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций подразделения следующий:
|
№ п/п |
Дата |
Краткое описание выполненной работы (нештатной ситуации) |
ФИО исполнителей и их подписи |
ФИО ответственного пользователя PC, подпись |
Подпись ответственного заобеспечение безопасности информации подразделения |
Примечание (ссылка на заявку) |
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
При изъятии компьютера из состава рабочих станций подразделения, его передача на склад, в ремонт или в другое подразделение для решения иных задач осуществляется только после того, как специалист подразделения обеспечения безопасности ИТ снимет с данной ПЭВМ средства защиты и предпримет необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью ответственного за обеспечение безопасности информации в подразделении.
Допуск новых пользователей к решению задач с использованием вновь развёрнутого ПО (либо изменение их полномочий доступа) осуществляется согласно «Инструкции по внесению изменений в списки пользователей системы и наделению пользователей полномочиями доступа к ресурсам АС».
Оригиналы заявок (документов), на основании которых производились изменения в составе технических или программных средств рабочей станции с отметками о внесении изменений в состав аппаратно-программных средств должны храниться вместе с оригиналами формуляров рабочих станций и «Журналом учёта...» в подразделении (у ответственного за обеспечение безопасности информации подразделения или руководителя подразделения). Копии исполненных заявок и актов могут храниться в подразделениях автоматизации и обеспечения безопасности ИТ. Они могут использоваться
для восстановления конфигурации рабочей станции после аварий;
для контроля правомерности установки на конкретной рабочей станции средств для решения соответствующих задач при разборе конфликтных ситуаций;
для проверки правильности установки и настройки средств защиты рабочей станции
Экстренная модификация (обстоятельства форс-мажор)
В исключительных случаях (перечень которых должен определяться руководством организации), требующих безотлагательного изменения ПО и модификации технических средств, сотрудник подразделения автоматизации ставит в известность своего руководителя и руководителя подразделения обеспечения безопасности ИТ (в случае их отсутствия - дежурного сотрудника подразделения обеспечения безопасности ИТ и пользователя рабочей станции) о необходимости такого изменения для получения соответствующего разрешения (перечень лиц, которым предоставлено право разрешать выполнение форс-мажорных работ должен определяться руководством организации).
Факт внесения изменений в ПО и технических средств защищённых рабочих станций и серверов фиксируется актом за подписями ответственного за обеспечение безопасности информации в подразделении и пользователя данной рабочей станции, сотрудников подразделений автоматизации и обеспечения безопасности ИТ. В акте указывается причина модификации, перечисляются файлы, подвергшиеся изменению, и указываются лица, принявшие решение на проведение работ и проводившие эти работы. Факт модификации ПО и корректировки настроек системы защиты фиксируется в «Журнале учёта нештатных ситуаций...» того подразделения, в котором установлены рабочие станции (сервера).
В течение следующего дня после составления акта руководством подразделений автоматизации и обеспечения безопасности ИТ при участии сотрудников структурных подразделений выясняются причины и состав проведённых экстренных изменений и принимается решение о необходимости подготовки исправительной модификации ПО или восстановления ПО рабочей станции (сервера) с эталонной копии (из АЭД). Результат разбирательства оформляется в виде согласованного решения и хранится в подразделении автоматизации, копии передаются в подразделение обеспечения безопасности ИТ и в структурное подразделение.