Роздрукувати сторінку
Главная \ Методичні вказівки \ Методичні вказівки \ 808 Лекція 28 на тему Політика інформаційної безпеки, Внутрішня політика безпеки організації ДПС з курсу Захист та безпека інформаційних ресурсів, НУДПСУ

Лекція 28 на тему Політика інформаційної безпеки, Внутрішня політика безпеки організації ДПС з курсу Захист та безпека інформаційних ресурсів, НУДПСУ

« Назад

Лекція №28. ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ. Внутрішня політика безпеки організації ДПС

План

  1. Приклади розділів політики безпеки.

  2. Мета політики пароля.

  3. Мета політики антивірусного захисту.

  4. Основні правила входять до списку правил адміністрування.

9.4. Внутрішня політика безпеки організації ДПС

Як було раніше відзначено, політика інформаційної безпеки є складним и об’ємним документом, який розробляється індивідуально для будь-якої організації. Однак можна сформулювати деяку послідовність певних правил , які допоможуть її розробити.

Зважаючи на наведені вище особливості інформаційної системи ДПС, а також особливості податкової інформації, можна зробити висновок, що для них зміст ПБ в основному полягає у врахуванні організаційних особливостей організації.

Як було зазначено раніше, частину ПБ, яка регламентує правила доступу користувачів і процесів до ресурсів ІС, складають ПРД. Нижче подається основний зміст ПРД, а також коментарі до декілька найбільш важливих ПБ за схемою: мета-сфера застосування-зміст-відповідальність.

9.4.1. Правила розмежування доступу

Оскільки ПРД є конкретними практичними правилами, які безпосередньо використовуються практично всіма кінцевими користувачами, розглянемо їх більш детально. ПРД є певним абстрактним механізмом, який виступає посередником при будь-яких взаємодіях об’єктів ІС, і є найбільш суттєвим елементом ПБ.

Відповідно до встановлених в ІС ієрархічних ролей – адміністраторів безпеки, адміністраторів ОС, користувачів) ПРД мають включати наступне:

1. Кожне робоче місце повинно мати свого адміністратора, який несе відповідальність за його працездатність та за дотримання всіх вимог і процедур, пов’язаних з обробкою інформації та її захистом. Таку роль може виконувати уповноважений користувач. Цей користувач повинен бути забезпечений відповідними керівництвами і навчений всім вимогам і процедурам.

2. Для попередження неавторизованого доступу до даних, ПЗ, іншим ресурсам ІС і централізоване керування всіма механізмами захисту повинно здійснюватися адміністратором СЗІ ІС. На АРМ керування механізмами захисту здійснюється адміністратором.

3. Для попередження поширення комп’ютерних вірусів відповідальність за дотримання правил використання ПЗ несуть: на АРМ – користувачі, адміністратор, в ІС – адміністратор СЗІ. Використовуватися повинно тільки ПЗ, яке дозволено ПБ (ліцензійне, яке має відповідні сертифікати, експертні висновки тощо).

4. За всі зміни ПЗ, створення резервних і архівних копій несе відповідальність адміністратор СЗІ. Такі роботи виконуються за його дозволом.

5. Кожний користувач повинен мати свій унікальний ідентифікатор і пароль. Право видачі цих атрибутів надається адміністратору. Атрибути для адміністраторів надає адміністратор СЗІ. Видача атрибутів дозволяється тільки після документальної реєстрації особи як користувача. Користувачам забороняється спільне використання персональних атрибутів.

6. Користувачі повинні пройти процедуру автентифікації для отримання доступу до ресурсів ІС.

7. Атрибути користувачів повинні періодично змінюватися, а невикористовувані і скомпрометовані – видалятися.

8. Використання активного мережевого обладнання, а також окремих видів ПЗ, яке може суттєво впливати на безпеку (аналізатори трафіку, аналізатори безпеки мереж, засоби адміністрування та ін.), має бути авторизовано і здійснюватися під контролем адміністратора СЗІ ІС.

9. Усі користувачі повинні знати «Інструкцію користувача» (пройти відповідний курс навчання, скласти іспит).

10. Адміністратор СЗІ ІС і адміністратори повсякденно здійснюють перевірку працездатності засобів захисту, ведуть облік критичних з точки зору безпеки подій і готують звіти щодо цього.

Загальні ПРД мають бути конкретизовані на рівні вибору необхідних функціональних послуг захисту (профіль захищеності) та впровадження організаційних заходів захисту. Частиною ПРД є керування доступом (КД).

Керування доступом включає:

  • обмеження доступу;

  • розмежування доступу;

  • розмежування повноважень;

  • контроль і облік доступу.

В ІС повинно бути реалізоване адміністративне керування доступом. Тільки адміністратори СЗІ мають право включати і вилучати користувачів та об'єкти.

Задача обмеження доступу – протидія загрозі випадкового чи навмисного доступу сторонніх осіб на територію розміщення ІС та безпосередньо до її ресурсів.

Обмеження доступу в ІС полягає в існуванні фізично замкнутої перешкоди навколо об'єкта захисту та організації контрольованого доступу осіб, зв'язаних  з об'єктом захисту по своїм функціональнихм обов'язкам.

Доступ на територію та у приміщення, де розташовані об’єкти, контролюється за допомогою комплексу організаційно-технічних заходів, які визначені у керівному документі.

Крім того, в ІС встановлюються наступні обмеження на роботу користувачів:

  • обмеження періоду часу, в ході якого користувач може входити в мережу;

  • визначення адрес робочих станцій, з якими дозволено входити в мережу;

  • обмеження кількості робочих станцій, з яких одночасно можна входити в мережу;

  • обмеження кількості спроб входу в мережу з неправильним паролем.

Розмежування доступу полягає в організація доступу до інформації користувачів відповідно до їхніх функціональних особливостей і повноважень, тобто:

  • визначення правил доступу (моделі ПБ) до захищаємих ресурсів;

  • визначення категорій користувачів згідно повноважень та обов’язків;

  • встановлення повноважень доступу.

Задача розмежування доступу: скорочення кількості користувачів, що не мають відношення до певної категорії інформації при виконанні своїх функцій, тобто захист інформації від порушника серед допущеного до неї персоналу.

Усі користувачі можуть мати допуск до інформації з найвищим грифом. Але вони повинні мати обмеження по доступу до певних інформаційних ресурсів ІС в залежності від їх посадових обов’язків.

Розподіл повноважень доступу користувачів до даних та ресурсів ІС виконується на основі принципу, згідно з яким користувач одержує лише ті повноваження, які у мінімальному обсязі потрібні йому для виконання своїх обов’язків.

Доцільно виділити наступні категорії користувачів, що мають різні сукупності повноважень по доступу:

  • користувачі, які мають доступ до інформації з грифом «таємно»;

  • користувачі, які мають доступ до інформації з грифом „конфіденційно”;

  • користувачі, які мають доступ до інформації з грифом «нетаємно».

Контроль і облік доступу до ресурсів робочіх станцій та мережевих ресурсів ІС реалізується за допомогою комплексу організаційно-технічних заходів та програмних (програмно-апаратних) засобів СЗІ ІС.

Доступ на територію, в приміщення та до елементів об'єкта контролюється за допомогою комплексу організаційно-технічних заходів, що визначаються відповідними керівними документами, в тому числі:

  • організація перепусткового режиму;

  • допуск осіб до секретних відомостей, доступ до оборобки секретної інформації;розташовування об'єктів обчислювальної техніки в приміщеннях, які виключають можливість їх безконтрольного використовування;

  • виконання вимог до розміщення технічних засобів та експлуатації приміщень об'єктів обчислювальної техніки;

  • зберігання, облік та поводження з магнітними та паперовими носіями таємної інформації;

  • фізичний захист засобів обчислювальної техніки;

  • заборона на залучення іноземних суб'єктів до господарської діяльності, яка пов'язана з монтажем, налагоджуванням, технічним та гарантійним обслуговуванням автоматизованої системи, а також встановленням програмного забезпечення.

Ідентифікація/автентифікація використовуються для підтвердження дійсності суб'єкта, забезпечення його роботи в системі, і визначення законності прав суб'єкта на об'єкт або на певні дії з ним.

В процесі ідентифікації елементи системи розпізнаються за допомогою заздалегідь визначеного ідентифікатора; кожен суб'єкт чи об'єкт системи однозначно ідентифікується.

В процесі автентифікації, яка обов’язково здійснюється перед дозволом на доступ, перевіряється дійсність ідентифікації елементу системи, а також перевіряються цілісність та авторство даних при їхньому збереженні або передачі для запобігання несанкціонованої модифікації. Подальші взаємодії з системою можливі тільки після успішної ідентифікації/автентифікації. Інформація щодо ідентифікації/автентифікації зберігається таким чином, що тільки адміністратор СЗІ має до неї доступ.

9.4.2. Внутрішня політика безпеки організації ДПС

На всіх рівнях в кожній ІС ДПС має бути розроблена та впроваджена внутрішня ПБ.

Мета. ПБ створює вимоги інформаційної безпеки організації, щоб гарантувати, що конфіденційна інформація і технології не компрометуються, і що виробничі послуги і інші інтереси організації захищені.

Сфера застосування. Правила ПБ мають виконувати всі працівники організації.

Зміст політики. Повинні бути сформульовані обов’язки власників інформації, визначені відповідальні за всі технологічні процеси в організації, за контроль доступу, за оцінку ризику, за зовнішній зв’язок, за антивірусний захист, за парольну систему. Має бути встановлено, що будь-який працівник, що порушує ці правилам, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи. Повинні бути встановлені правила перегляду ПБ.

9.4.3. Політика оцінки ризику

Мета. Виконувати періодичні оцінки ризику інформаційної безпеки з метою визначення областей уразливості і ініціювати відповідні заходию.

Сфера застосування. Правила ПБ мають виконувати всі працівники організації.

Зміст політики. Повинні бути сформульовані правила виконання, розробки і виконання програм оцінювання ризику.

Відповідальність. Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи.

9.4.4. Політика пароля

Мета. Створити в організації ДПС стандарт для створення паролів, їх захисту, а також частоти їхзміни.

Сфера застосування. Ця політика включає весь персонал, форма доступу якого до інформації організації ДПС вимагає парольного захисту.

Зміст політики. Загальна частина – встановлює загальні правила користування паролями, правила складання пароля – встановлюють способи та вимоги до складання паролів, список обмежень, правила зміни паролів

Відповідальність. Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи.

9.4.5. Політика антивірусного захисту

Мета. Створення вимог, які повинні зустрічатися всіма комп'ютерами, сполученими з мережею комп’ютерів <Company Name>, щоб гарантувати ефективний захист від вірусів.

Сфера застосування. Правила ПБ мають виконувати всі працівники організації.

Зміст політики. Загальна частина – встановлює наступні загальні правила, які слід виконувати для вирішення проблемі вірусу:

  • завжди підтримуйте корпоративні вимоги, підтримка антивірусного ПЗ є необхідною для корпоративного вузла. Завантажте і підтримуйте поточну версію; завантажте і встановіть модифікації антивірусного програмного забезпечення, як тільки вони стають доступними;

  • НІКОЛИ не відкривайте будь-які файли або макрокоманду, що торкається електронної пошти від невідомого, підозрілого або ненадійного джерела. Видаліть ці повідомлення негайно, потім видаліть їх за допомогою спорожнення вашого сміття;

  • видаліть Spam, ланцюг і іншу електронну пошту, які не мають атрибутів Вашої кампанії відповідно до політики безпеки;

  • ніколи не завантажуйте файли від невідомих або підозрілих джерел;

  • уникайте прямого дискового доступу (читання/запис), за винятком того, що відповідає необхідним діловим вимогам;

  • перед використанням завжди скануйте дискету від невідомого джерела на предмет вірусів;

  • регулярно дублюйте критичні дані і системні конфігурації зберігайте їх в безпечному місці;

  • якщо лабораторна перевірка встановлює конфлікт з антивірусним ПЗ, запустить антивірусну утиліту, що гарантує незабрудненість машини, блокуйте ПЗ, потім двинути лабораторну перевірку. Тільки після лабораторної перевірки дозволяйте використовувати антивірусне ПЗ. Під час блокування антивірусного ПЗ блоковано, ні в якому разі не завантажуйте будь-які додатки, які могли б перенести вірус.

  • нові віруси відкриваються майже щодня. Періодично перевіряйте Антивірусну політику відділу і ці рекомендації для внесення змін.

Відповідальність. Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи.

9.4.6. Політика етики

Мета політики етики взагалі – створити культуру відкритості, довірі і цілісності в ділових відносинах. Ефективна етика – це зусилля команди, яке включає участь і підтримку кожного працівника. Всі працівни мають ознайомитися з директивами етики. Жоден працівник не може порушувати правил етикету.

Мета. Наша цель для authoring публикацию на этике должен делать ударение работник и потребительское ожидание лечиться к прекрасным деловым практикам. Эта политика будет обслуживать, чтобы привести деловое поведение, чтобы гарантировать нравственное поведение.

Сфера застосування. Правила ПБ мають виконувати всі працівники організації.

Эта политика обращается к работникам, подрядчикам, консультантам, временным работникам, и другим работникам в <Company Name>, включая весь персонал устанавливаются связи с третьими сторонами.

Зміст політики. Повинні бути сформульовані правила, що містять наступне:

  • обов’язки адміністрації щодо правил етики;

  • обов’язки працівників щодо правил етики;

  • правила моральної та матеріальної підтримки всіх, хто виконує правила етики;

  • правила відношення до порушників правил етики.

Відповідальність. Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи.

9.4.7. Політика адміністрування

Мета. Ввести правила адміністрування і упровадити правила інформаційної безпеки.

Правила адміністрування. Повинні бути сформульовані наступні основні правила, які містять і регламентують:

  • інструктаж користувачів;

  • публікації і повідомлення;

  • обов'язки керівництва;

  • обов'язки адміністраторів;

  • правові санкції і звітність про інциденти;

  • правило звільнень;

  • дисциплінарні заходи.

Звичайно, крім наведених розділів ПБ, в кожній конкретній організації можуть бути сформульовані додаткові разділи залежно від особливостей організації.

Контрольні запитання

  1. Назвіть приклади розділів політики безпеки.

  2. Яка мета політики пароля?

  3. Яка мета політики антивірусного захисту?

  4. Які основні правила входять до списку правил адміністрування?

З повагою ІЦ “KURSOVIKS”!