3.2. Требования политики безопасности к построению иткс

Политика ИБ разрабатывается специалистами ИБ компании для использования остальными сотрудниками компании. По этому, она должна быть изложена максимально просто, на обычном языке с использованием минимума специальной лексики только там где это необходимо.

Политика информационной безопасности должна описывать в своем содержании:

1. Цель.

2. Область применения.

3. Требования к защите.

4. Ответственность за нарушение.

5. Расшифровка специальных терминов. При необходимости.

6. Периодичность и учет пересмотра (изменения).

Требования содержащиеся в политике информационной безопасности должны быть обоснованными и подходящими. Это значит что они должны устанавливаться исходя из уязвимостей, угроз и ценности защищаемых активов и не должны препятствовать их функционированию соответственно.

Кроме того, требования должны иметь общий характер и не зависеть от конкретных систем защиты. Наоборот, системы защиты выбираются исходя из политик информационной безопасности.

Также можно заметить, что требования политик информационной безопасности должны быть реализуемыми.

3.3. ПРИМЕНЕНИЕ ПРОГРАММНО-АППРАТАНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В ИТКС

В настоящее время отечественными специалистами разработаны множество программных средств защиты конфиденциальной информации. В качестве основных элементов защиты мы рассмотрим Соболь, Secret Net, Dallas Lock.

Система Secret Net 6 предназначена для защиты от НСД к информационным ресурсам компьютеров, работающая на MS Windows 2000/XP/2003/Vista/2008/7.

Основные функции.

Система Secret Net 6 может функционировать в следующих режимах:

• автономный режим — предусматривает только локальное управление защитными функциями;

• сетевой режим — предусматривает локальное и централизованное управление защитными функциями, а также централизованное получение информации и управление защищаемыми компьютерами.

Основные защитные функции, реализуемые системой Secret Net 6:

• контроль входа пользователей в систему;

• разграничение доступа пользователей к устройствам компьютера;

• создание для пользователей ограниченной замкнутой среды программного обеспечения компьютера (замкнутой программной среды);

• разграничение доступа пользователей к конфиденциальным данным;

• контроль потоков конфиденциальной информации в Secret Net 6;

• контроль вывода конфиденциальных данных на печать;

• контроль целостности защищаемых ресурсов;

• контроль аппаратной конфигурации компьютера;

• функциональный контроль ключевых компонентов Secret Net 6;

• уничтожение (затирание) содержимого файлов при их удалении;

• регистрация событий безопасности в журнале Secret Net;

• мониторинг и оперативное управление защищаемыми компьютерами (только в сетевом режиме функционирования);

• централизованный сбор и хранение журналов (только в сетевом режиме функционирования);

• централизованное управление параметрами механизмов защиты (только в сетевом режиме функционирования);

• защита доступа к Active Directory при сетевых обращениях компонентов системы Secret Net 6 (только в сетевом режиме функционирования).

Система Secret Net 6 состоит из следующих отдельно устанавливаемых программных средств:

1. Компонент "Secret Net 6" (далее — клиент).

2. Компонент "Модификатор схемы Active Directory" (далее — модификатор AD). Используется только в сетевом режиме функционирования.

3. Компонент "Secret Net 6 — Сервер безопасности" (далее — сервер безопасности или СБ). Используется только в сетевом режиме функционирования.

4. Компонент "Secret Net 6 — Средства управления" (далее — средства управления). Используется только в сетевом режиме функционирования.

Лицензирование

Имеется ряд ограничений на использование системы Secret Net 6, связанных с политикой лицензирования данного продукта. Лицензируются следующие параметры:

• режим функционирования системы Secret Net 6;

• разрешенные для использования версии программного обеспечения;

• количество клиентов в глобальном каталоге (в сетевом режиме функционирования);

• количество подчиненных клиентов серверу безопасности (в сетевом режиме функционирования);

• количество компьютеров, с которых возможно одновременное подключение средств управления к серверу безопасности (в сетевом режиме функционирования).

Рис.4. Архитектура системы Secret Net 6

Ограничения на использование Secret Net 6 определяются приобретенными лицензиями.

Защитные механизмы системы Secret Net 6 - это программные и аппаратные средства в составе клиента системы Secret Net 6, предназначенные для реализации защитных функций системы. В зависимости от назначения защитные механизмы условно распределены по следующим группам:

1. Механизм защиты входа в систему.

2. Механизмы разграничения доступа и защиты ресурсов:

- механизм полномочного разграничения доступа к объектам файловой

системы;

- механизм замкнутой программной среды;

- механизм разграничения доступа к устройствам компьютера;

- механизм затирания информации, удаляемой с дисков компьютера.

3. Механизмы контроля и регистрации:

- механизм функционального контроля подсистем;

- механизм регистрации событий безопасности;

- механизм контроля целостности;

- механизм контроля аппаратной конфигурации компьютера;

- механизм контроля печати.

Система защиты Dallas Lock 7.5 обеспечивает многоуровневую защиту локальных ресурсов компьютера. При загрузке компьютера осуществляется идентификация и аутентификация пользователя. Также выполняется проверка целостности контролируемых объектов средствами механизма контроля целостности. В том случае, если имя пользователя и его пароль указаны верно, разрешенное время работы совпадает с фактическим и целостность контролируемых объектов не нарушена, загрузка компьютера продолжается. Иначе загрузка компьютера прерывается.

Система защиты позволяет произвести загрузку компьютера одному пользователю, а войти в ОС другому. Для этого перед входом в ОС система защиты повторно проводит идентификацию и аутентификацию, а также проверяет расписание работы. Если все указано верно, то пользователь входит в ОС и становится текущим пользователем компьютера. При этом он приобретает статус в системе Dallas Lock 7.5 и наделяется правами доступа к ресурсам компьютера.

В процессе работы текущего пользователя с ресурсами компьютера драйвер защиты контролирует доступ пользователя к ресурсам. Если пользователь превышает свои права доступа к ресурсу, его действия ограничиваются способом, заданным параметрами работы системы защиты. Также средствами механизма регистрации событий осуществляется регистрация в системном журнале всех событий, связанных с безопасностью системы и работой пользователя на компьютере.