Лекции.Орг


Поиск:




Категории:

Астрономия
Биология
География
Другие языки
Интернет
Информатика
История
Культура
Литература
Логика
Математика
Медицина
Механика
Охрана труда
Педагогика
Политика
Право
Психология
Религия
Риторика
Социология
Спорт
Строительство
Технология
Транспорт
Физика
Философия
Финансы
Химия
Экология
Экономика
Электроника

 

 

 

 


Характеристика организационных мер и средств защиты КС




 

Как было показано в предыдущей лекции, организационный уровень ЗИ КС включает в себя проведение организационных мероприятий, технологических операций, регламентов применения определенных методов и средств и является составной частью системы защиты всего объекта информатизации. Достижение высокого уровня защищенности КС невозможно без применения комплекса организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей КС, должно регламентировать правила автоматизированной обработки информации (включая и правила ее защиты), устанавливать меру ответственности за нарушение этих правил и контролировать их выполнение.

о рганизационные (административные) меры - это меры, регламентирующие процессы функционирования КС, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

Система организационных и организационно-технических защитных включает в себя:

-разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

-мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой КС или внешней среде (проводимые по необходимости);

-многократно проводимые мероприятия (периодические или стохастические).

Организационные средства - средства, с помощью которых реализуются организационные меры, и не относящиеся к программным или техническим видам. К ним можно отнести:

-нормативно-правовую базу государства;

-организационно-распорядительную документацию;

-административный ресурс и т.п.

К разовым мероприятиям относят:

-общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты АС;

-мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов КС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);

-мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);

-проведение спецпроверок всех применяемых в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;

-внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов КС и действиям в случае возникновения кризисных ситуаций;

-оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;

-определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;

-мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием КС, а также используемых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в КС; выявление наиболее вероятных угроз для данной КС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);

-организацию пропускного режима;

-определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;

-организацию учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;

-определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует, и что при этом они должны делать);

-создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации;

-разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;

-определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса КС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов ТС, ошибок в программах и действиях персонала, стихийных бедствий.

К многократно проводимым мероприятиям относят:

-мониторинг работоспособности ТС и ЗИ;

-распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

-анализ системных журналов и лог-файлов;

-мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;

-периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;

-мероприятия по пересмотру состава и построения системы защиты;

-анализ состояния и оценка эффективности мер и применяемых средств защиты;

-наблюдение за работой персонала и пользователей КС;

-обучение персонала и пользователей.

К мероприятиям, проводимым по необходимости, относят:

-принятие мер по обнаруженным нарушениям правил работы;

-мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

-мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);

-мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.).

В качестве примера проведения комплекса организационных мероприятий можно рассмотреть выделение режимных зон (помещений) на объекте информатизации. К основным мероприятиям по защите информации в выделенных помещениях относятся:

1. Категорирование выделенных помещений в зависимости от важности, секретности и условий обработки информации в соответствии с нормативными документами Гостехкомиссии России.

-Назначение сотрудников, ответственных за выполнение требований по защите информации в выделенных помещениях.

-Обеспечение эффективного контроля за доступом в выделенные помещения, а также в смежные помещения.

-Инструктирование сотрудников, работающих в выделенных помещениях, о правилах эксплуатации технических средств обработки информации и связи с соблюдением требований по защите информации.

-Исключение неконтролируемого доступа к линиям связи, управления сигнализации в ВП, а также в смежные помещения и в коридор.

-Исключение применения в выделенных помещениях технических средств и аппаратуры, не прошедших специсследований, спецпроверки и не разрешенных для использования в данном помещении.

-Осуществление сотрудниками, ответственными за безопасность информации, контроля за проведением всех монтажных и ремонтных работ в выделенных и смежных с ними помещениях, а также в коридорах.

Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в КС может быть (а при больших объемах защищаемой информации - должна быть) создана специальная штатная служба обеспечения компьютерной безопасности. Основные функции службы:

-формирование требований к системе защиты в процессе создания АС;

-участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

-планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;

-распределение между пользователями необходимых реквизитов защиты;

-наблюдение за функционированием системы защиты и ее элементов;

-организация проверок надежности функционирования системы защиты;

-обучение пользователей и персонала АС правилам безопасной обработки информации;

-контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

-принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.

 

Администрирование КС

 

Процесс администрирования КС является организационно-технологическим процессом, объединяющим методики и процедуры обеспечения безопасности с действиями сил и средств. К основным процедурам процесса администрирования относятся:

-проверка системы и средств безопасности;

-управление паролями;

-поддержка пользователей;

-сопровождение программного обеспечения;

-конфигурационное управление;

-резервное копирование;

-управление носителями.

Систематические проверки безопасности — необходимое условие надежного функционирования КС. Проверки должны включать: проведение учений и регламентные работы по контролю политики и всей системы безопасности, постоянное тестирование основных процедур, программно-аппаратных механизмов и средств. Важным элементом проверки является определение достаточной степени полноты проверок и периодичности с целью получения уверенности в защищенности КС.

Управление паролями является наиболее важной процедурой обеспечения безопасности работы пользователей. По данным CERT/CC не менее 80% инцидентов в КС связаны с плохим выбором паролей. Процедуры управления паролями варьируются от эпизодических просьб по смене пароля до анализа устойчивости системы аутентификации. Для последнего используются сетевые анализаторы либо программы вскрытия паролей.

Поддержка пользователей состоит в обучении, консультировании, оказании помощи при их работе в системе, а также в контроле соблюдения ими правил безопасности и выяснении причин возникших проблем или подозрительных событий. Для обучения и консультирования могут быть определены специальные часы занятий. Для оказания помощи в работе, кроме администратора системы, может назначаться специальная группа сопровождения пользователей или группа реагирования на нарушения. Целесообразно вести учет всех вызовов пользователями. Это способствует проведению оценки и совершенствованию качества системы безопасности. Важным является выяснение причин возникших трудностей. Это позволяет оперативно выявить разного рода нарушения, в том числе неавторизованную деятельность злоумышленника.

Процедура сопровождения программного обеспечения требует:

-контролировать безопасность информационных процессов с целью выявления компьютерных вирусов, сбоев и отказов функционирования программ и запуска неавторизованных программ и процессов;

-контролировать целостность программного обеспечения (неавторизованную модификацию) на предмет выявления программных закладок, недокументированных функций и других программных дефектов;

-обеспечивать восстановление программ с эталонных копий (возможно, с привлечением сил и средств фонда алгоритмов и программ предприятия), их обновление, замену и другие вопросы, касающиеся жизненного цикла программного обеспечения.

Процедуры конфигурационного управления. Администратор обеспечивает функциональную совместимость компонентов системы и их настройку с целью максимальной производительности и безопасности. Следует отметить, что зачастую именно ошибки в конфигурации систем являются причиной незащищенности распределенных КС. Дело в том, что конфигурирование особенно сетевых и устаревших аппаратных компонентов может быть делом очень трудным и требовать высокой квалификации технических работников. Поэтому стараются выбирать стандартные настройки подсистем. Это упрощает установку, администрирование и развитие системы, но может не соответствовать специфическим особенностям безопасности КС. Кроме того, стандартные конфигурации более уязвимы перед внешними вторжениями.

Резервное копирование - традиционный способ обеспечения работоспособности системы на случай порчи или утраты информационно-программного ресурса АС. При оценке возможных нарушений производится оценка возможности восстановления информации и программ и требуемые для этого ресурсы. Исходя из этого, рассчитывается периодичность и полнота создания резервных копий. Разуметься, копии должны храниться так, чтобы исключить их утрату вместе с оригиналом. Обычно их содержат в отдельных защищенных помещениях или/и специальных сейфах на случай пожара, затопления, всплеска радиации или другого стихийного бедствия и действия злоумышленника.

Управление носителями включает процедуры по их хранению, учету, выдаче, контролю правильности использования и уничтожения носителей. Сюда относится контроль и учет выдачи информации и на печатающие устройства. На некоторых предприятиях имеются ограничения на использование определенных носителей. Например, разрешается пользоваться только зарегистрированными носителями.

 

 





Поделиться с друзьями:


Дата добавления: 2016-11-02; Мы поможем в написании ваших работ!; просмотров: 792 | Нарушение авторских прав


Поиск на сайте:

Лучшие изречения:

Либо вы управляете вашим днем, либо день управляет вами. © Джим Рон
==> читать все изречения...

2230 - | 1969 -


© 2015-2024 lektsii.org - Контакты - Последнее добавление

Ген: 0.013 с.