1. Главная
  2. Информатика
  3. Меры обеспечения информационной безопасности

Меры обеспечения информационной безопасности

Система мер обеспечения информационной безопасности объектов финансовой системы базируется на моделях их защиты.

Модель защиты должна описывать процессы, связанные с уязвимостями объекта информационной безопасности, формированием элементов обороны ОИБ (структуры, функций, алгоритмов действия), выбора необходимых средств защиты и механизмов обратной связи МОИБ.

Модель защиты не должна противоречить принципам, на которых в последствии будет строиться система защиты, включая принципы системности; непрерывности защиты; разумной достаточности; гибкости управления и применения; открытости алгоритмов и механизмов защиты; простоты применения защитных мер и средств.

С позиций больших систем процессы составления модели защиты должны включать описание структурного представления и функционирования защиты в виде системы защиты информации (СЗИ) в соответствии с установленными требованиями ИБ.

В состав СЗИ информационных комплексов финансовой системы должны входить следующие программно-технические компоненты:

- управления доступом;

- регистрации и учета;

- криптографической защиты;

- обеспечения целостности;

- антивирусной защиты;

- сохранности (резервного копирования и восстановления) данных;

- мониторинга событий информационной безопасности;

- анализа защищенности информационных систем и ресурсов;

- обнаружения несанкционированной активности;

- управления информационной безопасности.

К компонентам (модулям) СЗИ предъявляются следующие требования.

А). Требования по управлению доступом:

- должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов;

- должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;

- должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

- должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Набор атрибутов объектов и субъектов доступа, необходимый для предоставления доступа к каждому отдельному инфраструктурному или информационному ресурсу, определяется на стадии технического проектирования защиты информации и, как минимум, должен включать в себя идентификаторы вида: логическое имя, пароль, цифровой сертификат и атрибуты доступа (чтение, запись, исполнение и др.). Передача идентификационных параметров должна осуществляться по защищенному каналу связи.

Б). Требования по регистрации и учету:

- должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.

Примечание: В параметрах регистрации указываются:

- дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

- результат попытки входа: успешная или неуспешная - несанкционированная;

- идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

- код или пароль, предъявленный при неуспешной попытке;

- должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию.

Примечание: В параметрах регистрации указываются:

дата и время выдачи ( обращения к подсистеме вывода);

спецификация устройства выдачи [логическое имя (номер) внешнего устройства];

краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;

идентификатор субъекта доступа, запросившего документ;

- должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.

Примечание: В параметрах регистрации указываются:

дата и время запуска;

имя (идентификатор) программы (процесса, задания);

идентификатор субъекта доступа, запросившего программу (процесс, задание);

результат запуска (успешный, неуспешный - несанкционированный);

- должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам.

Примечание: В параметрах регистрации указываются:

дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная;

идентификатор субъекта доступа;

спецификация защищаемого файла;

- должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей.

Примечание: В параметрах регистрации указываются:

- дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная;

- идентификатор субъекта доступа;

- спецификация защищаемого объекта [логическое имя (номер)];

- должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);

- учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);

- должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

В).Требования по криптографической защите:

- Шифрование и расшифрование потоков взаимодействия объектов АС;

- Реализация заданной политики безопасности для защищенных соединений;

- Обеспечивать возможность загрузки ключевой информации со специальных носителей;

- Функционировать в прозрачном для пользователей и прикладных систем режиме.

Средства криптографической защиты должны удовлетворять требованиям нормативных документов системы уполномоченных удостоверяющих центров органов исполнительной власти города Москвы при их реализации в ИСиР типа систем, предусматривающих обмен электронным документами с ЭЦП уполномоченными лицами.

Г). Требования по обеспечению целостности:

- должна быть обеспечена целостность программных средств объекта защиты, а также неизменность программной среды. При этом:

- целостность объекта защиты проверяется при загрузке системы по контролируемым суммам компонент защиты;

- целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;

- должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;

- должно проводиться периодическое тестирование функций защиты объекта защиты при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД;

- должны быть в наличии средства восстановления объекта защиты, предусматривающие ведение двух копий программных средств защиты от НСД и их периодическое обновление и контроль работоспособности.

Д). Требования по антивирусной защите:

- должны применяться только официально приобретенные средства антивирусной защиты. Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах АС должны осуществляться администраторами АС;

- должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности технологических процессов обработки информации комплексов городского хозяйства и территориального управления. Особое внимание должно быть уделено антивирусной фильтрации трафика электронного почтового обмена.

Лучшей практикой является построение эшелонированной централизованной системы антивирусной защиты, предусматривающей использование средств антивирусной защиты различных производителей и их раздельную установку на рабочих станциях, почтовых серверах и межсетевых экранах;

- отключение или не обновление антивирусных средств не допускается. Установка и обновление антивирусных средств в организации должны контролироваться представителями подразделений (лицами) в организации, ответственными за обеспечение ИБ.

Е). Требования по сохранности данных:

- выполнять резервное копирование и оперативное восстановление информации баз данных ИСиР;

- создавать сценарии резервного копирования и восстановления баз данных ИСиР;

-·вести журнал транзакций, документирование и архивирование информации по работе средств сохранности;

- процедуры резервного копирования, восстановления должны основываться на ведении циклически перезаписываемых нескольких (не менее трёх типов) наборов копий, в т.ч. территориально разнесенных (при обосновании).

Временные характеристики резервного копирования, восстановления с обеспечением возможности создания как минимум ежедневно одного из видов набора копий, обоснование территориального разнесения и порядка использования резервных (страховочных) копий проводится на этапе проектирования ИСиР.

Ж) Требования по анализу защищенности информационных систем и ресурсов:

- выявлять уязвимости на основе имеющихся в базе данных сигнатур;

- реализовать регламент сканирования, включающего периодичность сканирования, использование правил и параметров сканирования, режимов;

- формировать подробные рекомендации по устранению найденных уязвимостей;

- формировать оценки степени критичности выявленных уязвимостей.

З). Требования по обнаружению несанкционированной активности:

- осуществлять обнаружение несанкционированной активности на сетевом, системном и прикладном уровнях;

- обнаружение атак на информационные ресурсы на основе сравнения текущего состояния систем (сетевой активности, системных и прикладных журналов аудита и др.) с сигнатурами атак;

- возможность прекращения несанкционированной активности;

- регистрировать зафиксированные несанкционированные действия, в том числе дата и время события, тип события, идентификатор субъекта, приоритет события;

- удаленное обновление базы данных сигнатур атак;

- обеспечение доступа к базе данных зафиксированных событий, включая возможность поиска, сортировки, упорядочения записей протоколов, основанный на заданных критериях;

- обеспечение уведомления администратора о фактах несанкционированной сетевой активности (локально и удаленно);

- разграничение прав доступа операторов и администраторов к различным компонентам системы.

И). Требования по управлению информационной безопасностью:

- определять порядок организации и выполнения работ по защите информации;

- определять должностные обязанности, права и степень ответственности сотрудников подразделения информационной безопасности;

- - формировать профили пользователей на основе нормативного и организационного обеспечения базового уровня ИБ;

- должна определять порядок физической защиты технических средств.

При планировании мероприятий следует учитывать характер мер защиты, которые можно разделить на превентивные и восстановительные. Превентивные меры противодействия угрозам безопасности на объектах финансовой системы должны осуществляться на основе эффективного применения комплекса организационных, технических и технологических мероприятий, а также методов и средств обеспечения функциональной устойчивости и безопасной работы информационных систем.

Требования по формированию восстановительных мер определяются системой документов, разрабатываемых с учетом специфики организации – владельца объекта информационной безопасности и ее возможности по заблаговременной подготовке к возможным нарушениям, угрожающим штатному функционирования системы, имеющиеся средства для восстановления работоспособности объекта безопасности.

В таблице 3 приведен состав мер противодействия значимым угрозам, характерным для многих объектов информационной безопасности финансовой системы.

Наши рекомендации

Административные меры информационной безопасности

Роль и место системы обеспечения информационной безопасности в системе национальной безопасности РФ

Меры защиты информационной безопасности

СТБ ISO/IEC 27000-2012 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Основные положения и словарь»

Система обеспечения информационной безопасности Российской Федерации является частью системы обеспечения национальной безопасности страны.

Новая Концепция информационной безопасности ФТС РФ. Объекты обеспечения информационной безопасности. Модель нарушителя информационной безопасности в таможенных системах.

Принципы обеспечения информационной безопасности. Общие методы обеспечения информационной безопасности. Сущность и определение понятия защиты информации.

Цели, задачи, организационные основы, силы и средства обеспечения информационной безопасности предприятия. Технологии обеспечения информационной безопасности предприятия и направления их реализации.

Международное право в области обеспечения информационной безопасности. Международные стандарты обеспечения информационной безопасности. Стандарт ISO 27001.

Место информационной безопасности в системе обеспечения безопасности личности, общества и государства. Классификация и суть угроз информационной безопасности (из моего диплома)