Лекція 28 на тему Політика інформаційної безпеки, Внутрішня політика безпеки організації ДПС з курсу Захист та безпека інформаційних ресурсів, НУДПСУ
« НазадЛекція №28. ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ. Внутрішня політика безпеки організації ДПС
План
9.4. Внутрішня політика безпеки організації ДПСЯк було раніше відзначено, політика інформаційної безпеки є складним и об’ємним документом, який розробляється індивідуально для будь-якої організації. Однак можна сформулювати деяку послідовність певних правил , які допоможуть її розробити. Зважаючи на наведені вище особливості інформаційної системи ДПС, а також особливості податкової інформації, можна зробити висновок, що для них зміст ПБ в основному полягає у врахуванні організаційних особливостей організації. Як було зазначено раніше, частину ПБ, яка регламентує правила доступу користувачів і процесів до ресурсів ІС, складають ПРД. Нижче подається основний зміст ПРД, а також коментарі до декілька найбільш важливих ПБ за схемою: мета-сфера застосування-зміст-відповідальність. 9.4.1. Правила розмежування доступуОскільки ПРД є конкретними практичними правилами, які безпосередньо використовуються практично всіма кінцевими користувачами, розглянемо їх більш детально. ПРД є певним абстрактним механізмом, який виступає посередником при будь-яких взаємодіях об’єктів ІС, і є найбільш суттєвим елементом ПБ. Відповідно до встановлених в ІС ієрархічних ролей – адміністраторів безпеки, адміністраторів ОС, користувачів) ПРД мають включати наступне: 1. Кожне робоче місце повинно мати свого адміністратора, який несе відповідальність за його працездатність та за дотримання всіх вимог і процедур, пов’язаних з обробкою інформації та її захистом. Таку роль може виконувати уповноважений користувач. Цей користувач повинен бути забезпечений відповідними керівництвами і навчений всім вимогам і процедурам. 2. Для попередження неавторизованого доступу до даних, ПЗ, іншим ресурсам ІС і централізоване керування всіма механізмами захисту повинно здійснюватися адміністратором СЗІ ІС. На АРМ керування механізмами захисту здійснюється адміністратором. 3. Для попередження поширення комп’ютерних вірусів відповідальність за дотримання правил використання ПЗ несуть: на АРМ – користувачі, адміністратор, в ІС – адміністратор СЗІ. Використовуватися повинно тільки ПЗ, яке дозволено ПБ (ліцензійне, яке має відповідні сертифікати, експертні висновки тощо). 4. За всі зміни ПЗ, створення резервних і архівних копій несе відповідальність адміністратор СЗІ. Такі роботи виконуються за його дозволом. 5. Кожний користувач повинен мати свій унікальний ідентифікатор і пароль. Право видачі цих атрибутів надається адміністратору. Атрибути для адміністраторів надає адміністратор СЗІ. Видача атрибутів дозволяється тільки після документальної реєстрації особи як користувача. Користувачам забороняється спільне використання персональних атрибутів. 6. Користувачі повинні пройти процедуру автентифікації для отримання доступу до ресурсів ІС. 7. Атрибути користувачів повинні періодично змінюватися, а невикористовувані і скомпрометовані – видалятися. 8. Використання активного мережевого обладнання, а також окремих видів ПЗ, яке може суттєво впливати на безпеку (аналізатори трафіку, аналізатори безпеки мереж, засоби адміністрування та ін.), має бути авторизовано і здійснюватися під контролем адміністратора СЗІ ІС. 9. Усі користувачі повинні знати «Інструкцію користувача» (пройти відповідний курс навчання, скласти іспит). 10. Адміністратор СЗІ ІС і адміністратори повсякденно здійснюють перевірку працездатності засобів захисту, ведуть облік критичних з точки зору безпеки подій і готують звіти щодо цього. Загальні ПРД мають бути конкретизовані на рівні вибору необхідних функціональних послуг захисту (профіль захищеності) та впровадження організаційних заходів захисту. Частиною ПРД є керування доступом (КД). Керування доступом включає:
В ІС повинно бути реалізоване адміністративне керування доступом. Тільки адміністратори СЗІ мають право включати і вилучати користувачів та об'єкти. Задача обмеження доступу – протидія загрозі випадкового чи навмисного доступу сторонніх осіб на територію розміщення ІС та безпосередньо до її ресурсів. Обмеження доступу в ІС полягає в існуванні фізично замкнутої перешкоди навколо об'єкта захисту та організації контрольованого доступу осіб, зв'язаних з об'єктом захисту по своїм функціональнихм обов'язкам. Доступ на територію та у приміщення, де розташовані об’єкти, контролюється за допомогою комплексу організаційно-технічних заходів, які визначені у керівному документі. Крім того, в ІС встановлюються наступні обмеження на роботу користувачів:
Розмежування доступу полягає в організація доступу до інформації користувачів відповідно до їхніх функціональних особливостей і повноважень, тобто:
Задача розмежування доступу: скорочення кількості користувачів, що не мають відношення до певної категорії інформації при виконанні своїх функцій, тобто захист інформації від порушника серед допущеного до неї персоналу. Усі користувачі можуть мати допуск до інформації з найвищим грифом. Але вони повинні мати обмеження по доступу до певних інформаційних ресурсів ІС в залежності від їх посадових обов’язків. Розподіл повноважень доступу користувачів до даних та ресурсів ІС виконується на основі принципу, згідно з яким користувач одержує лише ті повноваження, які у мінімальному обсязі потрібні йому для виконання своїх обов’язків. Доцільно виділити наступні категорії користувачів, що мають різні сукупності повноважень по доступу:
Контроль і облік доступу до ресурсів робочіх станцій та мережевих ресурсів ІС реалізується за допомогою комплексу організаційно-технічних заходів та програмних (програмно-апаратних) засобів СЗІ ІС. Доступ на територію, в приміщення та до елементів об'єкта контролюється за допомогою комплексу організаційно-технічних заходів, що визначаються відповідними керівними документами, в тому числі:
Ідентифікація/автентифікація використовуються для підтвердження дійсності суб'єкта, забезпечення його роботи в системі, і визначення законності прав суб'єкта на об'єкт або на певні дії з ним. В процесі ідентифікації елементи системи розпізнаються за допомогою заздалегідь визначеного ідентифікатора; кожен суб'єкт чи об'єкт системи однозначно ідентифікується. В процесі автентифікації, яка обов’язково здійснюється перед дозволом на доступ, перевіряється дійсність ідентифікації елементу системи, а також перевіряються цілісність та авторство даних при їхньому збереженні або передачі для запобігання несанкціонованої модифікації. Подальші взаємодії з системою можливі тільки після успішної ідентифікації/автентифікації. Інформація щодо ідентифікації/автентифікації зберігається таким чином, що тільки адміністратор СЗІ має до неї доступ. 9.4.2. Внутрішня політика безпеки організації ДПСНа всіх рівнях в кожній ІС ДПС має бути розроблена та впроваджена внутрішня ПБ. Мета. ПБ створює вимоги інформаційної безпеки організації, щоб гарантувати, що конфіденційна інформація і технології не компрометуються, і що виробничі послуги і інші інтереси організації захищені. Сфера застосування. Правила ПБ мають виконувати всі працівники організації. Зміст політики. Повинні бути сформульовані обов’язки власників інформації, визначені відповідальні за всі технологічні процеси в організації, за контроль доступу, за оцінку ризику, за зовнішній зв’язок, за антивірусний захист, за парольну систему. Має бути встановлено, що будь-який працівник, що порушує ці правилам, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи. Повинні бути встановлені правила перегляду ПБ. 9.4.3. Політика оцінки ризикуМета. Виконувати періодичні оцінки ризику інформаційної безпеки з метою визначення областей уразливості і ініціювати відповідні заходию. Сфера застосування. Правила ПБ мають виконувати всі працівники організації. Зміст політики. Повинні бути сформульовані правила виконання, розробки і виконання програм оцінювання ризику. Відповідальність. Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи. 9.4.4. Політика пароляМета. Створити в організації ДПС стандарт для створення паролів, їх захисту, а також частоти їхзміни. Сфера застосування. Ця політика включає весь персонал, форма доступу якого до інформації організації ДПС вимагає парольного захисту. Зміст політики. Загальна частина – встановлює загальні правила користування паролями, правила складання пароля – встановлюють способи та вимоги до складання паролів, список обмежень, правила зміни паролів Відповідальність. Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи. 9.4.5. Політика антивірусного захистуМета. Створення вимог, які повинні зустрічатися всіма комп'ютерами, сполученими з мережею комп’ютерів <Company Name>, щоб гарантувати ефективний захист від вірусів. Сфера застосування. Правила ПБ мають виконувати всі працівники організації. Зміст політики. Загальна частина – встановлює наступні загальні правила, які слід виконувати для вирішення проблемі вірусу:
Відповідальність. Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи. 9.4.6. Політика етикиМета політики етики взагалі – створити культуру відкритості, довірі і цілісності в ділових відносинах. Ефективна етика – це зусилля команди, яке включає участь і підтримку кожного працівника. Всі працівни мають ознайомитися з директивами етики. Жоден працівник не може порушувати правил етикету. Мета. Наша цель для authoring публикацию на этике должен делать ударение работник и потребительское ожидание лечиться к прекрасным деловым практикам. Эта политика будет обслуживать, чтобы привести деловое поведение, чтобы гарантировать нравственное поведение. Сфера застосування. Правила ПБ мають виконувати всі працівники організації. Эта политика обращается к работникам, подрядчикам, консультантам, временным работникам, и другим работникам в <Company Name>, включая весь персонал устанавливаются связи с третьими сторонами. Зміст політики. Повинні бути сформульовані правила, що містять наступне:
Відповідальність. Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи. 9.4.7. Політика адмініструванняМета. Ввести правила адміністрування і упровадити правила інформаційної безпеки. Правила адміністрування. Повинні бути сформульовані наступні основні правила, які містять і регламентують:
Звичайно, крім наведених розділів ПБ, в кожній конкретній організації можуть бути сформульовані додаткові разділи залежно від особливостей організації. Контрольні запитання
З повагою ІЦ “KURSOVIKS”! |