Здавалка
Главная | Обратная связь

Деякі зауваження щодо політики інформаційної безпеки (ПІБ), ПІБ для WEB-сервера

⇐ ПредыдущаяСтр 23 из 23

Політика інформаційної безпеки (ПІБ) має бути наочною. Це сприятиме її реалізації, усвідомленню і розумінню всіма співробітниками організації. Презентації, відеофільми, семінари, вечори запитань і відповідей, статті у внутрішніх виданнях організації збільшують наочність ПІБ. Про політику інформаційної безпеки користувачі можуть дізнатися з програми навчання в галузі комп’ютерної безпеки та через контрольні перевірки дій в тих чи інших ситуаціях. З нею слід ознайомити всіх нових співробітників організації.

ПІБ повинна мати гарантію підтримки з боку керівників відділів, особливо якщо співробітники постійно підпадають під вплив політичної інформації, директив, рекомендацій та наказів. Окрім того, ПІБ має бути узгоджена з іншими діючими директивами, законами, наказами, а також інтегрована в інші політики і узгоджена з ними, наприклад з політикою прийому на роботу. Одним із способів координації політик є їх узгодження з іншими відділами в ході розробки.

Існують ризики, пов’язані з застосуванням WWW-броузерів для пошуку і отримання інформації з Internet. Програми WEB-броузерів є надзвичайно складними і стануть ще складнішими. Чим складнішою є програма, тим вона менш безпечна. Помилки в ній дехто може використовувати для мережних атак. Програми для пошуку і перегляду інформації в Internet надаються співробітникам головним чином для більш ефективного виконання ними службових обов’язків. Усі програми, яким послуговуються для доступу до WWW, мають затверджуватися системним адміністратором і на них повинні встановлюватися всі доробки виробників (patch), пов’язані з безпекою. Усі файли, завантажені з допомогою WWW, треба перевіряти на віруси з допомогою затверджених керівництвом антивірусних програм. У всіх броузерах має бути заборонена обробка із застосуванням Java, JavaScript та ActiveX внаслідок небезпеки даних технологій. Можна застосовувати чи завантажувати тільки версії броузерів – це дозволено в організації, інші версії можуть містити віруси чи помилки. Всі WEB-броузери повинні мати таку конфігурацію, щоб застосовувати проксі-сервер для WWW із складу брандмауера. Доступ до Internet має здійснюватися тільки через HTTP-проксі. WEB-сторінки часто містять форми. Як і електронна пошта, дані, які надсилаються WEB-броузером на WEB-сервер, проходять через велику кількість проміжних комп’ютерів і мереж до того, як досягнуть свого кінцевого призначення. Будь-яка важлива інформація, яка надсилається з допомогою введення даних на WEB-сторінці, може бути перехоплена.

Велика кількість організацій підтримують зовнішні WWW-сайти, які описують їх компанію чи сервіси, – однією з форм створення іміджу та репутації компанії. З причин безпеки ці сервери часто розміщуються за брандмауером компанії. Крім того, внутрішні WEB-сайти компанії, розташовані в середині брандмауера організації, часто застосовуються для поширення внутрішньої інформації про проекти. При цьому вони є центром інформації для дослідницьких груп. Хоча такі WEB-сайти не є видимими, вони, так само, як і зовнішні сторінки, повинні адмініструватися з допомогою спеціально розроблених настанов і директив. За це повинні відповідати керівники груп. Незалежно від того, яким чином адмініструється WEB-сайт, всі користувачі, котрі виконують ці обов’язки, повинні втілювати в життя політику компанії, розроблену її керівництвом.

У рамках ПІБ існують такі правила:

- користувачам забороняється встановлювати чи запускати WEB- сервери;

- щодо WEB-сторінок треба дотримуватися встановленого в організації порядку затвердження документів, звітів, маркетингової інформації та ін.;

- WEB- сервер та будь-які дані, що є публічно доступними, мають бути розміщені за межами брандмауера організації;

- у WEB-серверів має бути така конфігурація, щоб користувачі не могли встановлювати CGI-скрипти;

- всі мережні додатки, окрім HTTP, треба відключити (SMTP, FTP тощо);

- інформаційні сервери треба помістити в захищеній підмережі для їх ізоляції від інших систем; організації, що зменшує імовірність того, що інформаційний сервер буде скомпрометовано і використано для атаки на інші системи організації;

- при застосуванні засобів адміністрування з допомогою WWW, слід обмежувати доступ до нього тільки авторизованих систем з допомогою IP- адрес, а не імен хостів; слід завжди змінювати паролі за умовчанням;

- користувачам заборонено завантажувати, встановлювати чи запускати програми WEB-серверів;

- обов’язковим є контроль мережного трафіку для виявлення неавторизованих WEB- серверів; оператори яких підлягають дисциплінарним покаранням;

- керівництво організації повинно дати в письмовій формі дозвіл на роботу WEB- сервера, підключеного до Інтернет;

- вміст WEB- серверів компанії, приєднаних до Internet, має бути затверджений і встановлений WEB- майстром;

- конфіденційна інформація не має бути доступною шляхом WEB- сайту;

- до інформації, розміщеної на WEB-сервері, можна застосувати всі закони про її захист; тому, перш ніж розміщувати інформацію в Internet, її треба переглянути й затвердити так само, як затверджуються офіційні документи організації; необхідно захистити авторські права та отримати дозвіл на публікацію інформації на WEB- сайті;

- всі публічно доступні WEB-сайти необхідно регулярно тестувати на предмет коректності посилань і не переводити їх в стан «under construction», під час реконструкції областей вони мають ставати недоступними;

- не має бути засобів віддаленого управління WEB- сервером, тобто місць, відмінних від консолі; усі дії адміністратор повинен виконувати тільки з консолі; вхід до системи з віддаленого терміналу з правами суперкористувача треба заборонити;

- програми WEB- серверів та операційної системи, під управлінням якої працює WEB- сервер, мають містити всі виправлення, рекомендовані виробником для цієї версії;

- вхідний трафік HTTP слід сканувати, а про випадки появи неавторизованих серверів – доповідати;

- обмеження доступу до інформації користувачами, адреса яких закінчується на .GOV чи .COM, забезпечує мінімальний захист для інформації, дозволеної для спільного показу; можна використовувати окремий сервер чи окрему частину для інформації з обмеженим доступом;

- за всіма WEB-сайтами треба здійснювати контроль як складову частина адміністрування мережі; дії всіх користувачів, запідозрюваних у некоректному застосуванні Internet, можуть бути запротокольовані для обґрунтування застосування до них надалі адміністративних санкцій;

- на UNIX- системах WEB-сервери не треба запускати з правами суперкористувача;

- розробка та застосування CGI- скриптів підлягають контролю, CGI- скрипти не повинні обробляти дані без їх перевірки; будь-які зовнішні програми, які запускаються з параметрами в командній стрічці, не повинні містити мета-символів; розробники відповідають за застосування правильних регулярних виразів для сканування мета символів командного процесору та їх видалення перед передачею вхідних програм на сервері в операційній системі;

- усі WWW-сервери організації, підключені до Internet, мають міститися між брандмауером та внутрішньою мережею організації; будь-які внутрішні WWW- сервери організації, які забезпечують роботу критичних додатків організації, мають бути захищені внутрішніми брандмауерами; критична, конфіденційна і персональну інформацію не треба зберігати на зовнішньому WWW- сервері.

 

Концепція забезпечення інформаційної безпеки в ІС містить:

- загальну характеристику об’єкта захисту, опис складу, функцій та існуючої технології обробки даних у типовій ІС;

- формулювання цілей створення системи захисту, основних завдань забезпечення інформаційної безпеки та шляхів досягнення цілей і розв’язання завдань;

- перелік типових загроз інформаційній безпеці та можливих шляхів їх реалізації, неформальна модель імовірних порушників;

- основні принципи і підходи до побудови системи забезпечення інформаційної безпеки, заходи, методи й засоби досягнення цілей захисту.

 

«План захисту» від несанкціонованого доступу до інформації та незаконного втручання в процес функціонування ІС містить:

- визначення цілей, завдань захисту інформації в ІС та основних шляхів їх досягнення і розв’язання;

- вимоги до організації та проведення робіт із захисту інформації в ІС;

- опис заходів і вживаних засобів захисту від загроз, що розглядаються, загальних вимог до надбудов застосовуваних засобів захисту інформації від НСД;

- розподіл відповідальності за реалізацію «Плану захисту ІС» між посадовими особами та структурними підрозділами організації.

 

«Положення про категоріювання ресурсів ІС» містить:

- формулювання цілей введення класифікації ресурсів (АРМ, завдань, інформації, каналів передачі) за ступенями (категоріями) захищеності;

- пропозиції щодо чисельності і назв категорій ресурсів, які підлягають захисту, та критерії класифікації ресурсів за потрібними ступенями захищеності (категоріям);

- визначення заходів і засобів захисту інформації, обов’язкових і рекомендованих до застосування на АРМ різних категорій;

- загальні положення, спеціальні терміни і визначення, які трапляються в документі;

- зразок формуляра ЕОМ (для обліку потрібного ступеня захищеності (категорії), комплектації, конфігурації та переліку розв’язуваних на ЕОМ задач);

- зразок формуляру розв’язуваних на ЕОМ функціональних завдань (для врахування їх характеристик, категорій користувачів завдань та їхніх прав доступу до інформаційних ресурсів цих задач).

 

«Порядок обходження з інформацією, яка підлягає захисту» містить:

- визначення основних типів відомостей, інформаційних ресурсів (конфіденційних), які підлягають захисту;

- загальні питання організації обліку, зберігання і знищення документів і магнітних носіїв конфіденційної інформації;

- порядок передачі (надання) конфіденційних відомостей третім особам;

- визначення відповідальності за порушення встановлених правил обходження з інформацією, які підлягають захисту;

- форму типової Угоди (зобов’язання) співробітника організації про дотримання вимог обходження з інформацією, яка підлягає захисту.

 

«План забезпечення безперервної роботи та поновлення» містить:

- загальні положення (призначення документа);

- класифікація можливих (значущих) кризових ситуацій і зазначення джерел отримання інформації про виникнення кризової ситуації;

- перелік основних заходів і засобів забезпечення неперервності процесу функціонування ІС та своєчасності поновлення її працездатності;

- загальні вимоги до підсистеми забезпечення неперервної роботи й поновлення;

- типові форми для планування резервування ресурсів підсистем ІС та визначення конкретних заходів і засобів забезпечення їх безперервної роботи та поновлення;

- порядок дій і обов’язки персоналу із забезпечення неперервної роботи і поновлення працездатності системи.

 

«Положення про відділ технічного захисту інформації» містить:

- загальні положення, про керівництво відділом;

- основні завдання та функції відділу;

- права і обов’язки начальника та співробітників відділу, відповідальність;

- типову організаційно-штатну структуру відділу.

«Обов’язки адміністратора інформаційної безпеки підрозділу» містять:

- основні права та обов’язки з підтримання потрібного режиму безпеки;

- відповідальність за реалізацію прийнятої політики безпеки в межах своєї компетенції.

«Пам’ятка користувачеві» визначає загальні обов’язки співробітників підрозділів у роботі із засобами ІС та відповідальність за порушення встановленого порядку.

«Інструкція із внесення змін до списків користувачів» визначає процедуру реєстрації, надання або зміни прав доступу користувачів до ресурсів ІС.

«Інструкція з модифікації технічних і програмних засобів» регламентує взаємодію підрозділів Організації із забезпечення безпеки інформації під час проведення модифікацій програмного забезпечення і технічного обслуговування засобів обчислювальної техніки.

«Інструкція з організації парольного захисту» регламентує організаційно-технічне забезпечення процесу генерації, зміни і припинення дій паролів (видалення облікових записів користувачів) в автоматизованій системі Організації, а також контроль за діями користувачів і обслуговуючого персоналу у роботі з паролями.

«Інструкція з організації антивірусного захисту» містить;

- вимоги до закупівлі, встановлення антивірусного програмного забезпечення;

- порядок застосування засобів антивірусного захисту, регламенти здійснення перевірок та дій персоналу в разі виявленні вірусів;

- розподіл відповідальності за організацію та здійснення антивірусного контролю

«Інструкція з роботи з ключовими дискетами (ключами шифрування)» містить:

- порядок виготовлення, роботи, зберігання ключових дискет та знищення ключової інформації;

- обов’язки і відповідальність співробітників з застосування та зберігання ключової інформації;

- форми журналів обліку ключових дискет;

- порядок дії персоналу в разі втрати, псування ключової дискети, компрометації ключової інформації.

 

Висновки

 

Здійснення політики інформаційної безпеки потребує набору законів, правил та практичних рекомендацій і практичного досвіду, які визначають управлінські і проектні рішення в галузі ЗІ. На їх основі здійснюються управління, захист і розподіл критичної інформації в системі. ПІБ має охоплювати всі особливості процесу обробки інформації, визначати поведінку ІС за різних умов. Наведемо кілька простих дій, які можуть значно підвищити ступінь захисту корпоративної мережі без великих фінансових витрат:

1) більш старанний контроль за персоналом, особливо за найбільш низькооплачуваними працівниками, наприклад за прибиральниками і охоронцями;

2) акуратна й непомітна перевірка послужного списку найманого працівника, яка допоможе уникнути виникнення проблем у майбутньому;

3) ознайомлення найманого працівника з документами, які описують політику компанії в галузі інформаційної безпеки, і отримання від нього відповідної розписки;

4) зміна вмісту всіх екранів для входження до системи таким чином, щоб вони відображали політику компанії в галузі захисту даних (Такий захід настійно рекомендується Міністерством юстиції США);

5) підвищення рівня фізичного захисту;

6) блокування всіх дисководів гнучких дисків в організаціях, в яких встановлено мережу, що дасть змогу мінімізувати ризик комп’ютерних крадіжок і зараження вірусами;

7) визнання за співробітниками певних прав у роботі з комп’ютерами, (наприклад організації дошок об’яв, дотримання конфіденційності електронної пошти, дозвіл використовувати певні комп’ютерні ігри).

 

Метою політики безпеки для Internet є прийняття рішень про те, як організація має захищатися. ПІБ, як правило, складається з двох частин: загальних принципів і конкретних правил роботи. Загальні принципи визначають підхід до безпеки в Internet, а правила роботи – те, що є дозволеним, а що – забороненим. Правила можуть доповнюватися конкретними процедурами і різними настановами.

Якщо під час проектування Internet не було враховано необхідність захисту мережі, то його проблемами в поточній версії TCP/IP є:

- легкість перехоплення даних і фальсифікація адрес машин у мережі, основна частина трафіку Internet – це нешифровані дані; E-mail, паролі і файли можна перехопити, застосувовуючи легко доступні програми;

- вразливість засобів TCP/IP (ряд засобів TCP/IP не було спроектовано як такі, що можуть бути захищені і вони можуть бути скомпрометованими кваліфікованими зловмисниками; засоби, застосовані для тестування, є особливо вразливими).

- відсутність політики;

- складність конфігурації (засоби управління доступом хосту складні; часто важко правильно сконфігурувати і перевірити ефективність параметрів. Засоби, які помилково неправильно сконфігуровані, можуть призвести до неавторизованого доступу).

 

Порушення політики безпеки може поставити локальну мережу та наявну в ній інформацію під неприпустимий ризик. Випадки порушення з боку персоналу повинне розглядати керівництво, щоб ужиття відповідних заходів, включно до звільнення.

ПІБ в Internet потребує більш менш докладного опису, порушень, які є неприйнятному, і наслідків такої поведінки. Можна описати покарання і те яким чином воно бути пов’язане з загальними обов’язками співробітників організації. Покарання які застосовуються до співробітників треба координувати з відповідними посадовими особами та відділами. Корисно поставити завдання конкретному відділу щодо організації стеження за дотриманням політики інформаційної безпеки.

 

3.8. Контрольні питання

1. Що таке політика інформаційної безпеки ?

2. Які існують напрями захисту ІС ?

3. Що є основою вибіркової політики безпеки ?

4. Які існують вимоги щодо роботи з важливими документами ?

5. Якою є мета політики безпеки для Internet ?

6. Де проблема керованості ІС є найбільш гострою ?

7. Яких правил слід дотримуватись в рамках ПІБ ?

8. У чому полягає сутність «Інструкції з організації антивірусного захисту» ?

9. Що містить у собі «Положення про відділ технічного захисту інформації» ?

10. Які завдання містить «План забезпечення безперервної роботи та поновлення» ?

 


ЛІТЕРАТУРА

1. Alex JeDaev, Я люблю компьютерную самооборону. 25 способов и программ для защиты своего компьютера, своей информации от хакеров, конкурентов, спецслужб, начальников, сослуживцев и других любопытных чудаков. Уч. пос. – М.: Только для взрослых, 2004. – 432с.

2. Alex WebKnacKer. Быстро и легко. Хакинг и антихакинг: защита и нападение. Уч. пос. – М.: Лучшие книги, 2004. – 400с.

3. Алферов А.П. и др. Основы криптографии. Уч. пос. / А.П. Алферов, А.Ю.Зубов, А.С.Кузьмин, А.В.Черемушкин – 2-е изд., испр. и доп. – М.: Гелиос АРВ, 2002. – 480с.

4. Баричев С.Г., Гончаров В.В., Серов Р.Е. Основы современной криптографии.– 2-е изд., испр. и доп.- М.: Горячая линия-Телеком, 2002. – 175с.

5. Безруков Н.Н. Компьютерная вирусология: Справ. руководство. – К.: УРЕ, 1991. – 416с.

6. Безруков Н.Н. Компьютерная вирусология: Справ. Руководство.- К.: УРЕ, 1991.- 416с.

7. Вебер К., Бадур Г. Безопасность в Windows® XP. Готовые решения сложных задач защиты компьютеров: Пер. с англ. /Вебер К., Бадур Г. – СПб: ДиаСофтЮП, 2003. – 464с.

8. Гордон Я. Компьютерные вирусы без секретов.- М.: Новый издательский дом, 2004.- 320с.

9. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. – К.: ТИД «ДС», 2001. – 688с.

10. Дымов В. Хакинг и фрикинг: Хитрости и секреты. – М.: Познавательная книга плюс, 2000 .– 176с. – (Кратко, доступно, просто).

11. Информатика. Уч. - 3-е перераб. изд. /Под ред. Н.В. Макаровой.- М.: Финансы и статистика, 2002. – 768с.

12. Исагулиев К.П. Справочник по криптологии. – Минск: Новое знание, 2004. – 237с.

13. Клименко О.Ф., Головко Н.Р., Шарапов О.Д. Інформатика та комп’ютерна техніка: Навч.-метод. пос./За заг. ред.. О.Д. Шарапова. – К.: КНЕУ, 2002. – 534с.

14. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. – СПб.: БХВ-Петербург, 2003. – 752с.

15. Коул Э. Руководство по защите от хакеров.: Пер. с англ. – М.: Издательский дом «Вильямс», 2002. – 640с.

16. Михаэль А., Бэнкс. Информационная защита ПК: Пер. с англ.- К.: ВЕК+; М.: Энтроп; СПб.: Корона-Принт, 2001.- 272с.

17. Михаэль А. Информационная защита ПК: Пер. с англ.- К.: ВЕК+, М.: Энтроп, СПб.: Корона-Принт, 2001.- 272с.

18. Самоучитель хакера. Уч. пос. /Alex Atsctoy.- М.: Лучшие книги, 2005. – 192с.

19. Скляров Д.В. Искусство защиты и взлома информации. – СПб.: БХВ-Петербург, 2004. – 288с.

20. Стандарты информационной безопасности /В.А. Галатенко. Под редакцией В.Б. Бетелина – М.: ИНТУИТ. РУ «Интернет-университет Информационных технологий», 2004. – 328с.

21. Хорошко В.А., Чекатков В.А. Методы и средства защиты информации – К.: Юниор, 2003. – 504с.

22. Чмора А.Л. Современная прикладная криптография. – 2-е изд., стер. – М.: Гелиос АРВ, 2002. – 256с.

 


ЗМІСТ

ВСТУП.. 2

ГЛАВА 1. ЗАКОНОДАВЧА, НОРМАТИВНО-МЕТОДИЧНА І НАУКОВА БАЗИ ФУНКЦІОНУВАННЯ СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ 4

1.1. Державна політика забезпечення інформаційної безпеки. 4

1.2. Документування інформації, державні інформаційні ресурси. 5

1.3. Інформаційна система як об’єкт захисту. 7

1.4. Розробка і виробництво інформаційних систем. 10

1.5. Структура, типові компоненти та проблеми захисту ІС.. 11

1.6. Проблеми захисту відкритих систем клієнт/сервер та інтеграції систем захисту 15

1.7. Законодавча, нормативно-методична і наукова база функціонування систем захисту інформації 18

1.8. Інформаційне право. 22

1.9. Інформація як об’єкт інформаційного права. 23

1.10. Основні принципи інформаційного права. 24

1.11. Законодавство і промислове шпигунство. 26

1.12. Захист програмного забезпечення авторським правом, недоліки наявних стандартів та рекомендацій. 27

1.13.Нормативно-методична основа захисту інформації 30

1.14. Стратегічна спрямованість та інструментальна база захисту інформації 33

1.15. Інструментальний базис захисту інформації 36

1.16. Висновки. 38

1.17. Контрольні питання. 38

ГЛАВА 2. СТРУКТУРА І ЗАВДАННЯ ОРГАНІВ ЗАХИСТУ ІНФОРМАЦІЇ 40

2.1. Структура і завдання органів, які здійснюють захист інформації 40

2.2. Завдання, розв’язувані службою інформаційної безпеки. 40

2.3. Визначення інформаційних та технічних ресурсів, які підлягають захисту 43

2.4. Виявлення повного обсягу потенційно-можливих загроз і каналів витоку інформації 44

2.5. Оцінювання вразливості та ризику для інформації і ресурсів ІС, вибір засобів захисту. 44

2.6. Визначення вимог до системи захисту інформації 45

2.7. Впровадження та організація застосування обраних заходів, способів і засобів захисту, контроль цілісності та управління системою захисту. 46

2.8. Створення служби інформаційної безпеки, типовий перелік завдань служби інформаційної безпеки. 47

2.9. Висновки. 48

2.10. Контрольні питання. 49

ГЛАВА 3. ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ (ОРГАНІЗАЦІЙНО-ТЕХНІЧНІ ТА РЕЖИМНІ ЗАХОДИ) 50

3.1. Означення політики інформаційної безпеки та принципи політики безпеки 50

3.2. Типи політики безпеки, організаційно-технічні та адміністративні методи захисту інформації 52

3.3. Організація секретного діловодства та заходів із захисту інформації 57

3.4. Політика безпеки для INTERNET. 62

3.5. Керованість системи та безпека програмного середовища. 67

3.6. Деякі зауваження щодо політики інформаційної безпеки (ПІБ), ПІБ для WEB-сервера. 71

3.7. Висновки. 76

3.8. Контрольні питання. 77

ЛІТЕРАТУРА.. 79

⇐ Предыдущая14151617181920212223






©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.