- •Основы управления защитой информации
- •Создание службы информационной безопасности, организационная структура и основные функции.
- •Администратор безопасности.
- •Информационное обеспечение администратора безопасности
- •Дополнительные меры контроля
- •Устранение нарушений
- •Неудачные попытки проникновения
- •Удачные попытки проникновения
- •Средства управления информационной безопасностью
- •Автоматизированный комплекс безопасности (вариант построения)
- •Заключение
Администратор безопасности.
Администратор безопасности является лицом, выполняющим функции по обеспечению безопасности информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники, в пределах своей зоны ответственности.
Изменение зоны ответственности администратора безопасности производится приказом руководителя СИБ в случае изменения организационной структуры или по предложению СИБ.
Администратор назначается приказом руководителя службы информационной безопасности (СИБ) из числа сотрудников структурного подразделения, эксплуатирующего локальную вычислительную сеть (ЛВС).
Деятельность администратора непосредственно связана с:
выполнением правил эксплуатации средств защиты информации;
обеспечением непрерывности процесса обработки информации;
реагированием на нарушения в компьютерной системе и восстановлением работоспособности компьютерной системы;
выполнением ряда рутинных функций.
Основные правила эксплуатации средств защиты содержатся в документации. Администратор безопасности несет персональную ответственность за сохранность своего идентификатора и предотвращение вторжений в компьютерную систему со стороны пользователей и посторонних лиц с правами администратора, а также за предотвращение случаев компрометации секретных ключей шифрования, используемых в компьютерной системе.
Установка и снятие средств защиты производится силами СИБ в соответствии с Планом защиты. После установки администратору безопасности передается полная документация на средства защиты, ключевые дискеты и электронные идентификаторы. В случае выявления конфликтов в работе средств защиты, приводящих к серьезным нарушениям и затрудняющим обработку информации администратор должен немедленно сообщить об этом в СИБ.
Назначение и изменение полномочий по доступу к компьютерной системе производится администратором совместно с руководителем подразделения. При этом производится регистрация электронного идентификатора пользователя и запись в Журнал учета выданных идентификаторов.
Администратор безопасности принимает участие в обеспечении непрерывности процесса обработки информации. В пределах своей зоны ответственности он поддерживает:
аварийный архив - копии используемого в компьютерной системе программного обеспечения.
текущий архив - данные компьютерной системы по состоянию на конец предыдущего рабочего дня.
долговременный архив - данные компьютерной системы за предварительно установленный период.
Аварийный архив обновляется в случае замены версий системного и прикладного программного обеспечения или изменения конфигурации.
Текущий архив обновляется ежедневно в конце рабочего дня. На носителях с текущим архивом проставляется дата архивирования. При записи архивов на магнитные носители администратор безопасности обрабатывает данные средствами помехоустойчивого кодирования. Места хранения архивов должны быть физически защищены. Вид носителей для хранения архивов и состав архивируемых данных определяется в Плане обеспечения непрерывной работы и восстановления компьютерной системы.
В случае возникновения нарушения в компьютерной системе администратор безопасности выполняет следующие действия:
классифицирует нарушение - (нарушение конфиденциальности, целостности, подлинности информации; нарушение работоспособности компьютерной системы);
сообщает о нарушении руководителю подразделения и в СИБ;
определяет причину возникновения нарушения (НСД, вирусное воздействие, сбой, отключение электропитания, кража носителей, выход оборудования из строя и т.д.);
локализует нарушение, то есть определяет, кто нарушитель, что он делает, что будет делать дальше. Для этого, прежде всего, необходимо определить круг подозреваемых: кто мог вообще это сделать? Кто обладал необходимыми полномочиями? Кто знал, как это сделать? После этого, используя имеющуюся информацию, сужать этот круг. Например, определив, с какого терминала осуществлено нарушение, в какое время и каким образом, и вы значительно сузите круг подозреваемых. Конкретные действия оператора и/или администратора безопасности в каждом случае определяются особенностями АС и системы защиты.
исключает из компьютерной системы скомпрометированные идентификаторы и ключи;
принимает меры к ликвидации последствий нарушения (восстанавливает разрушенные данные и программы, используя аварийные, текущие и долговременные архивы);
останавливает процесс обработки информации до прибытия специалистов отдела автоматизации и СИБ, если в результате нарушения дальнейшая работа может повлечь за собой увеличение размеров ущерба;
определяет размер ущерба, вызванного нарушением, выражаемый во временных потерях или денежных затратах;
составляет служебную записку о факте нарушения в компьютерной системе, а в случае необходимости инициирует проведение служебного расследования.
В интересах выполнения основных функций администратор производит ряд обеспечивающих операций.
Анализ учетных и регистрационных данных. Оформление статистической отчетности.
Администратор безопасности ежедневно анализирует журналы регистрации входов в компьютерную систему и учета работы пользователей. Анализ этих журналов должен быть направлен на выявление попыток НСД и нарушений пользователями своих полномочий. В случае обнаружения подобных действий администратор сообщает об этом руководителю подразделения и в СИБ. Данные журналов подшиваются и хранятся с соблюдением правил конфиденциального делопроизводства. Ежеквартально администратор безопасности направляет в СИБ статистический отчет о нарушениях в компьютерной системе.
Учет идентификаторов и носителей информации.
Все выдаваемые администратором электронные идентификаторы должны регистрироваться в журнале учета присвоенных идентификаторов. При выдаче идентификаторов администратор должен ознакомить пользователей с правилами обращения с идентифицирующей и ключевой информацией и требовать их росписи в журнале. Носители информации, на которых хранятся конфиденциальные данные должны регистрироваться в журнале учета носителей и храниться у администратора безопасности.
Заполнение формуляров.
Состав компьютерной системы описывается администратором безопасности в формуляре средств вычислительной техники. В него также заносятся все произошедшие изменения.