Разграничение прав доступа к сетевым ресурсам, программному обеспечению и системам хранения данных
Задание 1.
1.1.
В данной работе будет разработана политика информационной безопасности для компании ООО «Маторин».
1.2.
Компания «Маторин» работает в сфере проектирования (ООО ПИИ Гипрокоммунстрой), управления и технического обслуживания объектов недвижимости. Основываясь на узкой специализации предприятий группы и кооперации усилий с другими участниками рынка, мы предлагаем нашим клиентам комплексный сервис во всех сферах, связанных с эффективным функционированием объектов недвижимости.
Вот уже 20 лет мы совершенствуем свое искусство. За это время мы добились серьезных успехов и сформировали эффективную структуру для ведения бизнеса и предоставления достойного похвалы сервиса. Успех реализованных нами проектов подарил нам бесценный опыт и заложил основы для дальнейшего качественного развития.
Этапы развития компании:
1994 г. – ремонтно-эксплуатационное подразделение крупнейшего отечественного станкостроительного завода «Красный пролетарий» было выделено в самостоятельную компанию «КП-стройсервис».
1994-2004 гг. – КП-Стройсервис реализует проекты по строительству, реконструкции и техническому обслуживанию административных, торговых и складских помещений и ряд проектов по модернизации и управлению объектами коммерческой недвижимости.
2004-2005 гг. – компания проводит разделение по специализациям, сконцентрировав свои усилия на управлении и техническом обслуживании нежилой недвижимости, и обретает новое имя – Группа компаний «МАТОРИН».
2007 гг. – компания расширяет сферу своей деятельности и одной из первых среди профессиональных операторов, обслуживающих нежилую недвижимость, выходит в сегмент управления и обслуживания жилой недвижимости.
2007-2009 гг. – группа компаний МАТОРИН продолжает развиваться, расширяя портфель услуг, приобретает проектно-изыскательский институт «Гипрокоммунстрой» - старейшее советское предприятие с более чем 80-тилетней историей.
2009 г. - по наст. время – являясь достойным участником рынка профессионалов в своей отрасли, компания МАТОРИН идет по пути освоения региональных и международных рынков, уверенно держа курс на отраслевое лидерство.
В нашей компании работают 200 человек.
Задание 2.
| Вид дeятeльнocти | Нaимeнoвaниe aктивa | Фoрмa прeдcтaвлeния | Влaдeлeц aктивa | Критeрии oпрeдeлeния cтoимocти | Рaзмeрнocть oцeнки | ||
| Кoличecтвeннaя oцeнкa | Кaчecтвeннaя | ||||||
| Инфoрмaциoнныe aктивы | |||||||
| Маркетинговая информация | Базы данных клиентов | Бумажная, электронная | Компания | Очень высокая | Очень Высокая | ||
| Маркетинговая информация | Базы данных сотрудников | Бумажная, электронная | Компания | Очень высокая | Очень высокая | ||
| Aктивы прoгрaммнoгo oбecпeчeния | |||||||
| Бухгалтерия | 1С | Электронная | Компания | Очень высокая | Очень высокая | ||
| Инженерия | AutoCAD | Электронная | Компания | Высокая | Высокая | ||
| Персонал | Lotus | Электронная | Компания | Высокая | Высокая | ||
| Персонал | Linux | Электронная | Компания | Низкая | Высокая | ||
| Физичecкиe активы | |||||||
| Автопарк | ЗАЗ Chanse, Porter, Лада Калина | Материальная | Компания | Высокая | 6 000 000 руб. | ||
| Персональные компьютеры | Тонкий клиент, Неттоп, Стационарный компьютер | Материальная | Компания, Сотрнудник компанияя | Средняя | 4 000 000 руб. | ||
| Сервер | Сервер | Материальная | Компания | Очень высокая | 500 000 руб. | ||
| СКУД | Сервер | Материальная | Компания | Очень высокая | 250 000 руб. | ||
| Помещение | Помещение | Материальная | Компания | Очень высокая | Очень высокая | ||
Задание 3.
| Нaимeнoвaниe aктивa | Цeннocть aктивa (рaнг) |
| Базы данных клиентов | |
| Базы данных сотрудников | |
| 1С | |
| AutoCAD | |
| Lotus | |
| Linux | |
| Автопарк | |
| ПК | |
| Сервер | |
| Сервер СКУД | |
| Помещение |
Задание 4.
УТВЕРЖДЕНО
Президент ООО «Маторин»
__________________
"__" ________ 20 г.
Политика информационной безопасности
ООО «Маторин»
Общие положения
1.1 Настоящая Политика разработана в соответствии с действующим законодательством, нормативными актами и соотносимыми с ними положениями внутренних документов ООО «Маторин». Она регламентирует порядок организации с целью обеспечения сохранности информации и ее безопасности в «Маторин» как в осуществлении текущей деятельности, так и в обозримом будущем.
1.2 Предметом настоящего документа является:
· порядок доступа к конфиденциальной информации
· защита информационных систем от несанкционированного доступа;
· защита внутренних ресурсов сети от вмешательства извне
· доступ и регистрация в автоматизированной системе
· разграничение прав доступа на разделяемые сетевые ресурсы;
· использование ресурсов глобальных информационных систем, включая Интернет;
· защита серверов и рабочих станций пользователей локальной сети от внешних и внутренних атак, вирусов, атак типа “отказ в обслуживании” и других разновидностей информационных угроз;
· дублирование, резервирование и раздельное хранение конфиденциальной информации;
· информационная безопасность банковских платежных и информационных технологических процессов
· обеспечение бесперебойного функционирования информационных систем «Маторин»
· Порядок доступа к конфиденциальной информации
В целях обеспечения защиты информации в ООО «Маторин», устанавливается следующий порядок допуска к работе с конфиденциальными источниками:
· Решение о доступе работника к определенному разделу информации принимается руководством ООО «Маторин».
· Департамент информационных технологий обеспечивает управление доступом к файлам и сетевым ресурсам авторизованным лицам.
· Доступ ко всем сегментам компьютерной сети ООО «Маторин» осуществляется только с персональным паролем. Пользователь должен держать в тайне свой пароль. Сообщать свой пароль другим лицам, а также пользоваться чужими паролями запрещается. Имя пользователя и пароль на вход в АС должны быть отличны от имени пользователя и пароля в общую компьютерную сеть.
· Категорически запрещается снимать несанкционированные копии с носителей информации, знакомить с содержанием электронной информации лиц, не допущенных к этому.
· Защита от несанкционированного доступа
· Для защиты он несанкционированного доступа применяется разграничение физического доступа и многоуровневая аутентификация пользователей.
Физическая безопасность
· Все объекты, критичные с точки зрения информационной безопасности (каналообразующее оборудование, все файловые сервера и сервера баз данных, телефонная станция, маршрутизаторы, файервол) находятся в отдельном помещении, доступ в которое разрешен только сотрудникам, имеющими соответствующее разрешение от руководства ООО «Маторин».
· Разграничение физического доступа реализуется посредством использования доступа в помещения по карточке - пропуску. Права карточки на получение доступа в определенное помещение раздаются отдельным компьютером, находящимся в ведении «Кодос». Персонал «Маторин» не имеет к нему доступа.
· Помещение оборудовано принудительной вентиляцией и пожарной сигнализацией. Вход в помещение контролируется системой видео наблюдения с выходом на мониторы охраны.
· Доступ в помещение посторонним лицам запрещен. Технический персонал, осуществляющий уборку помещения, ремонт оборудования, обслуживание кондиционера и т.п. может находиться в помещении только в присутствии работников, имеющих право находиться в помещении в связи с выполнением своих должностных обязанностей
Разграничение прав доступа к сетевым ресурсам, программному обеспечению и системам хранения данных
· Для входа в компьютерную сеть «Маторин» сотрудник должен ввести имя и пароль. Не допускается режимы беcпарольного (гостевого) доступа к какой-либо информации
· Разграничение прав доступа к сетевым ресурсам, программному обеспечению и системам хранения данных решается с использованием сетевой операционной системы и механизма безопасности Active Directory:
· Пользователи разделены на группы.
· Каждой группе присвоен свой уровень доступа к ресурсам.
· Подключения пользователей к локальной сети ООО «Маторин» заносятся в журнал событий операционной системы, причем при входе в сеть записывается IP-адрес рабочей станции, с которой произведен этот вход
· Если пользователь отлучается с рабочего места, его экран блокируется.
· Для доступа в АС требуется дополнительно имя пользователя и пароль, которые устанавливаются администратором АС.
· При работе с АС имя пользователя и пароль должны быть отличны от имени пользователя и пароля при входе в общую компьютерную сеть «Маторин». Пароль должен быть не менее шести символов а так же обязательно должен содержать заглавную и не заглавную латинские буквы, а так же цифру. Категорически запрещается сообщать свой пароль другим лицам, а также пользоваться чужими паролями. Все действия пользователя, работающего с АС протоколируются. Журнал операций хранится не менее трех месяцев
· Для доступа к Lotus и другим прикладным системам производится дополнительная аутентификация по имени пользователя и паролю.
· Сотрудник имеющий доступ к 1С должен иметь флеш ключ.
· Создание флеш ключа производиться программой Predator. Доступ к данной программе имеет только администратор после согласования с Ген. Директором ООО «Маторин».
· Защищенность внутренних ресурсов сети от вмешательства извне
· Внутренняя сеть ООО «Маторин» представляет собой физически изолированный сегмент. Подключение USB-устройств контролируется на уровне драйвера путем привязки к конкретному устройству через его серийный номер.
· Защищенность Интернет-сегмента сети ООО «Маторин» базируется на системе межсетевого экрана (CheckPoint Firewall) и прокси-сервера:
· Правила и политики, которые разрешают или запрещают прохождение запросов извне в Интернет-сегмент ООО «Маторин» и наоборот.
· Маршрутизация, позволяющая направлять и перенаправлять необходимые запросы на требуемые узлы в сети или Интернете.
· Средства мониторинга, анализирующие весь входящий трафик и имеющие в себе информацию об известных уже вредоносных атаках, прерывающие такие попытки.
· Вся информация о входящих и исходящих запросах, работе правил, политик и маршрутизации заносятся в журнал, где подвергаются еженедельному контролю ответственным лицом
· Управление доступом и регистрацией в АС
· Система управления доступом в АС построена на распределении пользователей по группам. Используются следующие группы (в порядке уменьшения прав учетной записи на объекты системы):
· Администратор
· Заместитель генерального директора
· Главный бухгалтер
· Начальник отдела
· Пользователь
· Каждому пользователю на основании внутренних документов, утвержденных и подписанных руководством ООО «Маторин», присваивается учетная запись и выдаются реквизиты доступа к АС - имя пользователя и пароль. Эти реквизиты сотрудник обязан сохранять в тайне.
· Все действия пользователей в АС журналируются. На основе записей в журнале при необходимости восстанавливается информация о действиях пользователя в системе.
· Действия по созданию учетной записи пользователя АС выполняются независимо специалистами двух отделов – специалиста департамента информационных технологий и специалиста отдела сопровождения продукции. Не существует сотрудника, который мог бы единолично все действия по регистрации новой учетной записи.
· Управление доступом к телекоммуникационному оборудованию и УПАТС
· Физический доступ к специальным помещениям, в которых установлено телекоммуникационное оборудование, защищен с помощью системы контроля доступа на основе пропусков, находящейся в ведении «Кодос»
· Разграничение прав доступа на разделяемые сетевые ресурсы
· Права доступа на разделяемые сетевые ресурсы устанавливает системный администратор (сотрудник департамента информационных технологий) в соответствии с заявкой или служебной запиской, подписанной Ген. Директором ООО «Маторин».
· При необходимости на определенные разделяемые сетевые ресурсы устанавливается дополнительный аудит.
· В системе прав доступа Windows 2012 AD владельцем ресурсов является пользователь Администратор так, что сотрудник не может создать файл, к которому будут иметь доступ только он
· Если возникает необходимость иметь файлы, к которым не должен иметь доступ администратор, применяются внешние носители с разрешения руководства «Маторин».
· Использование ресурсов Интернет
· Ресурсы сети Интернет в ООО «Маторин» используются в следующих целях:
· для ведения дистанционного банковского обслуживания
· для получения и распространения информации
· для информационно-аналитической работы в интересах организации
· для обмена почтовыми сообщениями исключительно с внешними организациями
· ведения собственной хозяйственной деятельности
Иное использование ресурсов сети Интернет, решение о котором не принято руководством организации в установленном порядке, рассматривается как нарушение информационной безопасности.
При работе с сетью ИНТЕРНЕТ сотрудникам запрещено:
· Скачивать и устанавливать на компьютер программное обеспечение.
· Посещать ресурсы, не имеющие непосредственного отношения к работе и служебным обязанностям.
· Осуществлять подписку на рассылку информации непроизводственного характера.
· Сообщать адрес электронной почты в непроизводственных целях.
· Пользоваться различными Интернет-пейджерами.
· Использовать Интернет для получения материальной выгоды или непроизводственных целях, в том числе осуществляя торговлю через Интернет
В связи с повышенными рисками информационной безопасности при взаимодействии с сетью Интернет применяются соответствующие средства защиты информации (межсетевые экраны, антивирусные средства), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии. Локальная сеть организации, где функционирует АС и находятся основные документы, выделена физически и не подключена к сети Интернет.
· Полномочия пользователей на рабочих станциях, подключенных к сети Интернет, ограничены групповыми политиками безопасности домена
· Подробности технической реализации межсетевых экранов, антивирусных средств и групповых политик на рабочих станциях пользователей, описаны в отдельных документах
· Почтовый обмен через сеть Интернет должен осуществляться с использованием защитных мер.
· Электронная почта архивируется. Архив доступен только подразделению, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива ограничен..
· При взаимодействии с сетью Интернет обеспечивается противодействие атакам хакеров и распространению спама.
· Порядок подключения и использования ресурсов сети Интернет в ООО «Маторин» контролируется руководителем департамента информационных технологий. Для любого подключения и использования сети Интернет необходима санкция руководства функционального подразделения ООО «Маторин»
· Использование средств криптографической защиты информации
· Используемые в ООО «Маторин» средства криптографической защиты информации поставляются при установке внешних торговых и расчетных систем (депозитарии, SWIFT, МЦИ) с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней
· Правила хранения ключевых носителей и работы с ними установлены приказом Президента ООО «Маторин». Эти Правила устанавливают строгий регламент использования ключей, предполагающий контроль со стороны администратора информационной безопасности за действиями пользователя на всех этапах работы с ключевой информацией (получение ключевого носителя, ввод ключей, использование ключей и сдача ключевого носителя);
· Средства криптографической защиты информации, используемые в ООО «Маторин» реализованы на основе алгоритмов, соответствующих национальным стандартам РФ или условиям договора с контрагентом.
· Средства криптографической защиты информации, используемые в ООО «Маторин», не содержат требований к ЭВМ по специальной проверке на отсутствие закладных устройств и не требуют дополнительной защиты от утечки по побочным каналам электромагнитного излучения, за исключением отдельных оговоренных в технической документации и Договорах случаев.
· Информационная безопасность процесса изготовления ключевых носителей СКЗИ гарантируется владельцем систем, в которых используются эти СКЗИ
· Внутренний порядок применения СКЗИ в ООО «Маторин» определяется владельцем систем, в которых используются эти СКЗИ, и руководством организации и включает:
· порядок ввода в действие
· порядок эксплуатации
· порядок восстановления работоспособности в аварийных случаях
· порядок внесения изменений
· порядок снятия с эксплуатации
· порядок управления ключевой системой (осуществляется владельцем системы)
· порядок обращения с носителями ключевой информации
· Защита серверов и рабочих станций пользователей локальной сети от доступа извне и заражения вирусами
· Антивирусная защита строится на основе комплексного многоуровневого подхода. Комплексная антивирусная защита обеспечивается применением нескольких антивирусных пакетов на разных уровнях.
· Время обновления в зависимости от конфигурации составляет от 1 часа до 1-х суток.
· Самостоятельное удаление и отключение антивирусов пользователями технически невозможно.
· Антивирусная защита рабочих станций строится на основе комплексного подхода. Комплексная антивирусная защита рабочих станций обеспечивается
· применением антивирусного пакета на рабочих станциях конечных пользователей
· базы данных о вирусах обновляются ежедневно, причем пользователь не может отказаться от обновления антивирусных баз
· все файлы, к которым обращается операционная система при работе, проверяются антивирусным программным обеспечением «на лету»
· все файлы электронной почты перед попаданием на рабочую станцию предварительно проверяются потоковым антивирусом Касперского.
· Антивирусная защита серверов строится на основе комплексного многоуровневого подхода. Комплексная антивирусная защита серверов обеспечивается применением антивирусного пакета
· Антивирусная защита межсетевых экранов, прокси-серверов и электронной почты строится на основе комплексного многоуровневого подхода. Комплексная антивирусная защита обеспечивается применением антивирусных пакетов Касперского
· Защита серверов от доступа извне осуществляется:
· Средствами ограничения доступа на маршрутизаторах
· Средствами защиты межсетевого экрана ФСТЭК. Конфигурация межсетевого экрана выполнена в соответствии с международным стандартом безопасности информационных систем ISO 17799 и подробно документирована
· Средствами максимально подробного мониторинга трафика собственной разработки, позволяющими записать и проанализировать весь трафик взаимодействия между серверами и внешним Интернет-адресами
· Выделением наиболее важных серверов, включая АБС, в физически отдельную, не соединенную с Интернет локальную сеть
· Защита пользовательских станций от доступа извне осуществляется:
· Средствами ограничения доступа на маршрутизаторах
· Аппаратным включением DEP на рабочих станциях, поддерживающими такую функциональность
· Настройкой персонального межсетевого экрана
· Средствами доменных групповых политик, ограничивающих возможности пользователей по запуску приложений и построенных по принципу запрета запуска приложений из тех каталогов, куда пользователю разрешена запись
· Дублирование, резервирование и раздельное хранение конфиденциальной информации
· Резервное копирование производиться программой Acronis True Image 2015
· По расписанию ежедневно автоматически выполняются процедуры резервного копирования информации с дисков серверов, включая резервное копирование
· Резервные копии хранятся на отдельных устройствах не в помещении серверной, но в здании «Маторин».
· Доступ к резервным копиям имеет ограниченный список авторизованных лиц
· Изменения в резервных копиях не допускаются
· Обеспечение бесперебойного функционирования информационных систем«Маторин»
· Бесперебойность функционирования информационных систем «Маторин» обеспечивается дублированием ключевых систем, разработкой комплекса мероприятий по устранению аварийных ситуаций и тренингом ИТ-персонала по выполнению этих мер
· Резервированием ключевой информации и хранением ее в отдельных помещениях
· Резервированием каналов связи в ключевых системах
· Сопровождением фирм-разработчиков автоматизированных систем и приложений
· Наличием документации разработчика, содержащей описание защитных мер, предпринятых разработчиком АС, и их компонентов относительно безопасности разработки, безопасности поставки и эксплуатации, поддержки жизненного цикла, включая описание модели жизненного цикла, оценки уязвимости.
Заключение
Политика информационной безопасности описывает цели, задачи и определяет совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется «Маторин» в своей деятельности
Требования ИБ должны определять содержание и цели деятельности «Маторин» в рамках процессов управления ИБ
Детали реализации отдельных пунктов Политики содержатся во внутренних документах «Маторин»
Лица, ответственные за реализацию политики ИБ и поддержание ее в актуальном состоянии, назначаются приказом Генерального директора «Маторин».