Общие требования к информационной безопасности

04.11.2018 Выкл. Автор admin

Общие требования к информационной безопасности

Минимальные (базовые) требования безопасности формулируются в общем виде, без учета категории, присвоенной ИС. Они задают базовый уровень информационной безопасности, им должны удовлетворять все информационные системы. Результаты категорирования важны при выборе регуляторов безопасности, обеспечивающих выполнение требований, сформулированных на основе анализа рисков (Рис. 2).

Минимальные требования безопасности (Рис. 3) охватывают административный, процедурный и программно-технический уровни ИБ и формулируются следующим образом.

  • Организация должна разработать, документировать и обнародовать официальную политику безопасности и формальные процедуры, направленные на выполнение приведенных ниже требований, и обеспечить эффективную реализацию политики и процедур.
  • В компании необходимо периодически производить оценку рисков, включая оценку угроз миссии, функционированию, имиджу и репутации организации, ее активам и персоналу. Эти угрозы являются следствием эксплуатации ИС и осуществляемых при этом обработки, хранения и передачи данных.
  • Применительно к закупке систем и сервисов в компании необходимо:

  • выделить достаточный объем ресурсов для адекватной защиты ИС;
  • при разработке систем учитывать требования ИБ;
  • ограничивать использование и установку программного обеспечения;
  • обеспечить выделение внешними поставщиками услуг достаточных ресурсов для защиты информации, приложений и/или сервисов.
  • В области сертификации, аккредитации и оценки безопасности в организации следует проводить:

    • постоянный мониторинг регуляторов безопасности, чтобы иметь доверие к их эффективности;
    • периодическую оценку регуляторов безопасности, применяемых в ИС, чтобы контролировать их эффективность;
    • разработку и претворение в жизнь плана действий по устранению недостатков и уменьшению или устранению уязвимостей в ИС;
    • авторизацию введения в эксплуатацию ИС и установление соединений с другими информационными системами.
  • В области кадровой безопасности необходимо:

    • обеспечить надежность (доверенность) должностных лиц, занимающих ответственные посты, а также соответствие этих лиц предъявляемым к данным должностям требованиям безопасности;
    • обеспечить защиту информации и информационной системы при проведении дисциплинарных акций, таких как увольнение или перемещение сотрудников;
    • применять соответствующие официальные санкции к нарушителям политики и процедур безопасности.
  • Организация должна обеспечить информирование и обучение сотрудников:

    • чтобы руководители и пользователи ИС знали о рисках, связанных с их деятельностью, и о соответствующих законах, нормативных актах, руководящих документах, стандартах, инструкциях и т.п.;
    • чтобы персонал имел должную практическую подготовку для выполнения обязанностей, связанных с информационной безопасностью.
  • В области планирования необходимо разработать, документировать, периодически изменять и реализовать планы обеспечения безопасности ИС, описывающие регуляторы безопасности (имеющиеся и планируемые) и правила поведения персонала, имеющего доступ к ИС.
  • С целью планирования бесперебойной работы в компании следует установить, поддерживать и эффективно реализовать планы реагирования на аварийные ситуации, резервного копирования, восстановления после аварий, чтобы обеспечить доступность критичных информационных ресурсов и непрерывность функционирования в аварийных ситуациях.
  • В плане реагирования на нарушения информационной безопасности организация должна:

    • создать действующую структуру для реагирования на инциденты, имея в виду адекватные подготовительные мероприятия, выявление, анализ и локализацию нарушений, восстановление после инцидентов и обслуживание обращений пользователей;
    • обеспечить прослеживание, документирование и сообщение об инцидентах соответствующим должностным лицам организации и уполномоченным органам.
  • С целью физической защиты организация должна:

    • предоставлять физический доступ к ИС, оборудованию, в производственные помещения только авторизованному персоналу;
    • физически защищать оборудование и поддерживающую инфраструктуру ИС;
    • обеспечить должные технические условия для функционирования ИС;
    • защищать ИС от угроз со стороны окружающей среды;
    • обеспечить контроль условий, в которых функционирует ИС;
    • обеспечить управление доступом, предоставив доступ к активам ИС только авторизованным пользователям, процессам, действующим от имени этих пользователей, а также устройствам (включая другие ИС) для выполнения разрешенных пользователям транзакций и функций.
  • Для обеспечения протоколирования и аудита необходимо:

    • создавать, защищать и поддерживать регистрационные журналы, позволяющие отслеживать, анализировать, расследовать и готовить отчеты о незаконной, несанкционированной или ненадлежащей активности;
    • обеспечить прослеживаемость действий в ИС с точностью до пользователя (подотчетность пользователей).
  • В плане управления конфигурацией в компании следует:

    • установить и поддерживать базовые конфигурации;
    • иметь опись (карту) ИС, актуализируемую с учетом жизненного цикла, в которую входят аппаратура, программное обеспечение и документация;
    • установить и обеспечить практическое применение настроек для конфигурирования средств безопасности в продуктах, входящих в ИС.
  • В области идентификации и аутентификации необходимо обеспечить идентификацию и аутентификацию пользователей ИС, процессов, действующих от имени пользователей, а также устройств как необходимое условие предоставления доступа к ИС.
  • Кроме того, необходимо:

      Применительно к сопровождению:

    • осуществлять периодическое и своевременное обслуживание ИС;
    • обеспечить эффективные регуляторы для средств, методов, механизмов и персонала, осуществляющих сопровождение.
  • Для защиты носителей:

    • защищать носители данных как цифровые, так и бумажные;
    • предоставлять доступ к данным на носителях только авторизованным пользователям;
    • санировать или уничтожать носители перед выводом из эксплуатации или перед передачей для повторного использования.
  • С целью защиты систем и коммуникаций:

    • отслеживать, контролировать и защищать коммуникации (то есть передаваемые и принимаемые данные) на внешних и ключевых внутренних границах ИС;
    • применять архитектурные и аппаратно-программные подходы, повышающие действующий уровень информационной безопасности ИС.
  • Для обеспечения целостности систем и данных:

    • своевременно идентифицировать дефекты ИС и данных, докладывать о них и исправлять;
    • защищать ИС от вредоносного программного обеспечения;
    • отслеживать сигналы о нарушениях безопасности и сообщения о новых угрозах для информационной системы и должным образом реагировать на них.
  • Требования по информационной безопасности автоматизированных банковских систем

    Выбор автоматизированной информационной системы любого уровня — вспомогательной или основной для бизнес-деятельности — серьезный шаг для предприятия.

    Выбор автоматизированной информационной системы любого уровня — вспомогательной или основной для бизнес-деятельности — серьезный шаг для предприятия. Об основных требованиях по информационной безопасности, предъявляемых к автоматизированной системе, а также о вопросах информационной безопасности, которые следует учитывать при выборе той или иной автоматизированной системы, пойдет речь в данной статье

    Здесь будут перечислены только те параметры, которые не должны быть упущены при рассмотрении требований. Возможно, они покажутся иными по отношению к списку требований, выдвигаемых другими документами по стандартам информационной безопасности, но эти требования представляются наиболее существенными и, главное, они получены в результате долговременной эксплуатации автоматизированных систем и участия в их разработках.

    Спорным может показаться и подход к оценке путем выставления весовых коэффициентов. Форма оценки может быть изменена — от построения классов защищенности (по аналогии с известными государственными стандартами по безопасности) и отнесения конкретной системы к тому или иному классу до составления анкет с пометками о том, присутствует ли данный параметр в системе, и простым подсчетом пометок в конечном результате. Задача данного материала — натолкнуть специалистов и руководителей на размышления о различных составляющих информационной безопасности в автоматизированной системе.

    В статье рассмотрены пример автоматизированной банковской системы и некоторые разделы, специфичные именно для таких систем. Однако аналогии легко перенести на любую систему, занимающуюся учетом тех или иных объектов, работой с клиентами и т. п., ведь в большинстве автоматизированных систем присутствуют некие наборы учетных параметров (аналог банковских счетов), взаимодействия между внутренними объектами/субъектами (аналог банковских транзакций) и другие схожие черты.

    Предполагается, что система многофилиальна, то есть используется работниками, размещенными в различных, географически удаленных подразделениях организации.

    Аббревиатура АС расшифровывается как «автоматизированная система». В статье нет объяснений ряда технических терминов, таких как названия механизмов и средств информационной безопасности, предполагается, что читатель с ними знаком.

    Термины «конфиденциальность», «целостность», «доступность» и ряд других используются как понятия информационной безопасности. Это, например, означает, что в понятие «доступность» входит такой раздел, как катастрофоустойчивость.

    В статье автоматизированная система рассматривается в отрыве от остального информационного пространства предприятия, однако понятно, что ряд специфических механизмов и технологий, присутствующих в конкретной организации, могут и должны оказать влияние на перечень предъявляемых требований. Например, если в организации уже функционирует система идентификации и аутентификации, скажем Kerberos, то в требованиях должна быть указана необходимость поддержки протокола Kerberos.

    Общие требования

    Подсистема безопасности АС должна работать на уровне ядра АС таким образом, чтобы ни одно значимое действие в рамках системы — будь то действие пользователя или процесса — не происходило без участия подсистемы безопасности.

    Схема безопасности, реализованная в подсистеме, должна быть отделена от средств безопасности самой операционной системы, на которой будет реализована АС, в том смысле, что сбой или уязвимость подсистемы безопасности операционной системы не должны влиять на работу подсистемы безопасности АС. То есть если организация считает, например, средства криптографической защиты, предоставляемые MS Win2000, достаточно надежными, она может снять этот вопрос в требованиях к приложению. Если же Windows — корпоративный стандарт, но при этом для конфиденциальных данных периодические «дыры» в ОС считаются существенной угрозой, значит, приложение должно само заботиться о криптографии. Таким образом, вопрос оставляется на усмотрение лица, принимающего конкретное решение.

    Механизмы безопасности подсистемы должны быть реализованы в форме широко известных в мире, опробованных и одобренных стандартов и протоколов.

    Подсистема безопасности должна обеспечивать замкнутое сохранение данных, связанных с АС (собственно модулей системы, системных и прикладных данных) таким образом, чтобы:

    1) невозможно было получить логический доступ к указанным данным вне рамок работы приложения АС;

    2) любые перемещения данных из/в систему происходили под контролем подсистемы безопасности.

    Специальные требования

    Идентификация и аутентификация

    Работа любого субъекта (пользователя или процесса) в АС должна быть идентифицирована системой.

    Основным средством аутентификации пользователей в АС должна быть схема «имя пользователя/пароль», при этом система должна допускать возможность расширения процедур аутентификации на основе смарт-карты, touch memory, дискеты. При этом должна присутствовать возможность дифференцированного считывания информации с токена — пароля или ПИН-кода при аутентификации, ключа при шифровании или электронно-цифровой подписи.

    Парольная политика должна предусматривать возможность настройки по следующим параметрам:

    • минимальная длина пароля;
    • минимальный срок жизни пароля;
    • максимальное количество ошибок при вводе пароля;
    • время блокировки счета пользователя после достижения заданного количества ошибок;
    • поддержка истории паролей;
    • определение примитивных и слабых паролей;
    • требование ввода старого пароля при замене новым паролем;
    • возможность наличия нескольких (до трех) паролей у одного бюджета пользователя.

    К дополнительным требованиям к работе с бюджетами пользователя можно отнести следующие:

    • возможность изменить пароль пользователя, кроме него самого, должен иметь администратор безопасности, при этом он не должен иметь возможности получить информацию о старом, заменяемом пароле;
    • при входе пользователя в систему должно присутствовать предупреждение о запрете использования чужих паролей и несанкционированного доступа;
    • при входе пользователя в систему ему должна быть представлена информация о предыдущем успешном входе в систему (дата и время), а также количество ошибок при вводе пароля между двумя последними успешными входами в систему (если таковые были) с указанием даты и времени;
    • бюджет пользователя должен иметь возможность привязки к конкретному рабочему месту (сетевой адрес), к конкретному времени работы по дням недели и часам (отдельно для интерактивной работы и запуска процессов, а также для удаленной работы);
    • бюджет пользователя должен иметь уникальный системный идентификатор, который должен формироваться автоматически при регистрации нового пользователя и должен быть доступен уполномоченному администратору только на чтение;
    • бюджет пользователя должен иметь возможность ручной блокировки уполномоченным администратором без изменения пароля бюджета, а также возможность выставления признака требования немедленной смены пароля пользователем либо запрета смены пароля;
    • бюджет пользователя должен иметь поля для описательной текстовой информации и возможность расширения для привязки дополнительных полей, например, изображения.
    Читайте так же:  Договор дарения квартиры между близкими родственниками 2019 год пример
    Авторизация и доступ

    Для определения единообразного уровня доступа субъектов к информационным объектам, являющимся первичной информационной единицей, система должна предусматривать возможность следующего распределения доступа:

    • к группе или нескольким группам объектов;
    • к объекту;
    • к набору частей объекта.

    Например, если информационными объектами являются клиенты, то должна присутствовать возможность определения единообразного доступа к клиентам для конкретного пользователя по следующим критериям:

    • конкретный клиент;
    • все клиенты типа А и Б;
    • все клиенты, у которых пользователь является ответственным контролером или у которых ответственные контролеры принадлежат к той же группе, что и данный пользователь;
    • только ряд полей в карточке клиента.

    Доступ к информационным объектам должен включать следующие виды ограничений:

    • нет доступа к объекту;
    • доступ (к объекту/части объекта) только на чтение;
    • доступ (к объекту/части объекта) только на изменение — отдельно с чтением и без чтения;
    • удаление информационного объекта;
    • добавление информационного объекта;
    • нет доступа на чтение;
    • нет доступа на изменение;
    • нет доступа на добавление;
    • нет доступа на удаление.

    Кроме доступа к конкретным информационным объектам, должно быть предусмотрено разделение доступа к функциям, выполняющим процессы над объектами. Отдельно должны быть выделены функции, выполняющие массовые изменения данных в информационных объектах.

    Схема определения доступа должна предусматривать возможность группового или ролевого доступа, то есть создание абстрактного профиля прав пользователя. При включении нового пользователя в конкретную группу он автоматически должен наследовать все права, присущие пользователям данной группы. При этом суммарные права пользователя должны проверяться на непротиворечивость, должен применяться принцип поглощения более широкими разрешительными правами более узких (суммирование прав) и принцип преимущества запретительных прав над разрешительными. Также должна присутствовать возможность копирования (наследования) прав пользователя с возможностью последующей корректировки.

    Для каждого информационного объекта должен существовать владелец объекта (с возможностью в дальнейшем заменить одного владельца на другого) с полными правами доступа. Система должна контролировать обязательное наличие хотя бы одного пользователя (владельца или администратора) для каждого информационного объекта.

    Пользовательский интерфейс настройки прав доступа должен быть прост и интуитивно понятен.

    Доступ к бюджетам пользователя

    АС должна поддерживать возможность отдельного распределения доступа пользователя:

    • к карточке (реквизитам) счета (тип счета, балансовый код Главной книги, описание, процентные реквизиты, настройки типов комиссий, уровень неснижаемого остатка, лимит овердрафта и другие параметры);
    • к остатку счета (в частности, к операциям со счетом).

    Виды доступа к карточке счета: чтение, изменение, открытие счета, закрытие счета, блокировка, снятие блокировки и т. д. Возможно дополнительное разделение карточки счета на несколько непересекающихся групп реквизитов и свойств с независимой настройкой прав на них.

    Доступ к остатку должен включать следующие независимо настраиваемые уровни: чтение остатка, дебетовые операции, кредитовые операции, возможность просмотра истории оборотов по счету (с отдельной настройкой прав на просмотр дебетовых и кредитовых оборотов с полными реквизитами корреспондентов или без них, а также на авторизацию операций). Для каждого вида операций система должна предусматривать возможность ограничения максимально разрешенной суммы, установленной индивидуально по этой операции для данного счета, а также возможность скрыть от пользователя информацию о клиенте счета, в том числе и при сохранении права на операции со счетом.

    При распределении доступа пользователей к счетам (как к карточке, так и к остатку) должен использоваться удобный интерфейс, позволяющий быстро настраивать права на отдельный счет и на целые группы счетов. Группировать счета можно:

    • по типам счетов (перечень);
    • по кодам Главной книги (в частности, по маскам кодов);
    • по типам и группам клиентов;
    • по валютам;
    • по филиалам;
    • по подразделениям организации;
    • по уровню ответственности (свои счета, то есть счета, у которых данный пользователь является ответственным контролером, или счета группы, то есть счета, у которых ответственные контролеры состоят в одной группе с данным пользователем).

    Пользовательский интерфейс распределения доступа должен предусматривать и механизмы для указания исключений по аналогичным правилам (например, все счета группы А, кроме счетов, принадлежащих группе В).

    Дополнительные права

    Система должна предусматривать дополнительные возможности по установке разграничений доступа к информационным объектам или их частям. Примером такого разграничения является понятие овердрафта (принижение минимально допустимого остатка). Необходимо разграничивать права использования овердрафта следующим образом:

    • разрешен ли овердрафт вообще;
    • размер овердрафта для конкретного счета, для группы счетов;
    • размер овердрафта для данного пользователя;
    • размер овердрафта для данной операции;
    • размер овердрафта для вида валюты.
    Конфиденциальность данных безопасности и прочих данных

    Информация о критических атрибутах профиля пользователя (пароли, ключи) должна сохраняться в виде, исключающем возможность прямого доступа к ним пользователей, минуя средства системы, причем как для постоянной, так и для оперативной памяти. Это означает, что указанные данные при постоянном хранении должны быть защищены средствами криптографии с предоставлением доступа только либо самому пользователю, либо процессам подсистемы безопасности, либо администратору, уполномоченному подсистемой безопасности. При хранении данных в оперативной памяти должна исключаться возможность получения несанкционированного доступа к ним.

    При этом пароли должны сохраняться в виде хеш-значений, а ключи — иметь возможность аварийного доверенного восстановления.

    Система должна обеспечивать возможность настраиваемой криптографической защиты данных (вплоть до полного сокрытия всех данных) как при архивном, так и при операционном хранении.

    Системы при передаче данных по каналам связи от места хранения до конечного пользователя в рамках локальной сети должны использовать только защищенные соединения, при этом защита должна быть осуществлена минимум на транспортном, предпочтительнее — на сетевом уровне.

    Для распределенного варианта работы организации, когда основная база данных находится в центре, а конечный пользователь — в удаленном филиале, требуется наличие у организации защищенных каналов связи. АС при этом должна обеспечивать защиту соединения минимум на прикладном, предпочтительно — на транспортном уровне.

    Целостность данных

    АС должна поддерживать логическую целостность бизнес-данных, то есть изменения должны носить характер транзакционно-ориентированных, выполняющихся в целом от начала до конца либо, в случае сбоя, не выполняющихся совсем. При этом каждая транзакция должна проверяться на непротиворечивость в соответствии с настраиваемыми в АС правилами. Прохождение транзакции в АС должно быть разбито на этапы, сопровождаемые настраиваемым количеством подтверждений (ввод, авторизация и пр.)

    Способы же авторизации транзакций должны настраиваться по выбору организации:

    • несколько авторизаторов для одного пользователя;
    • один авторизатор для группы пользователей;
    • один авторизатор для данного типа операций.

    АС должна иметь настройку на обеспечение апеллируемости на ряд критически важных транзакций путем использования электронно-цифровых подписей. Должна присутствовать возможность варьировать количество подписей на одну транзакцию в вариантах:

    • без подписи;
    • одна подпись;
    • две подписи;
    • три подписи.

    Также должна присутствовать возможность включения/исключения полей записей транзакции в/из группы параметров для цифрового подписывания.

    Система должна предусматривать формирование шаблона транзакции, когда ряд значимых полей заполняется автоматически, без возможности корректировки пользователем.

    Система должна иметь собственную встроенную или внешнюю подсистему проверки целостности файлов, модулей и системных данных самой АС на предмет их несанкционированной модификации.

    Никакие системные или прикладные данные не должны удаляться в рамках АС без следов. Должна присутствовать настройка на запрет удаления отдельных категорий данных. Система также должна фиксировать информацию, необходимую для идентификации факта, объекта и субъекта процесса удаления. Система должна предусматривать возможность восстановления удаленных данных в течение определенного промежутка времени.

    Доступность данных

    АС должна предусматривать возможность устойчивой работы при появлении сбоев, то есть возможность конфигурации для работы кластера из двух и более географически распределенных узлов. При этом выход из строя некритического количества узлов не должен сказываться на общей функциональности системы.

    Процессы, требующие от системы монопольного использования ресурсов и препятствующие интерактивной работе пользователей, должны быть перенесены на время наименьшей активности (ночь) и в сумме занимать не более 10-15% суточного рабочего времени системы.

    Система должна быть реализована в трехуровневой архитектуре клиент-сервер с тем, чтобы вывод из строя рабочего места пользователя или получение злоумышленником несанкционированного доступа к нему не сказывался на работе серверной части системы, а сбой сервера приложений не влиял на состояние данных системы.

    Система должна обладать возможностью балансирования нагрузки между отдельными узлами, модулями и функциями, а также иметь подсистему предупреждения о работе в режиме, приближенном к максимальной загрузке.

    АС должна иметь возможность резервного копирования и восстановления средствами самой системы. Резервное копирование должно осуществляться на различные носители по выбору организации, в том числе в дискретном (разорванном) виде, то есть общий объем резервной копии может быть распределен между двумя или более носителями меньшего объема.

    Резервное копирование должно предусматривать как сохранение прикладных, так и системных данных, и осуществляться в режиме с криптографической защитой по заранее установленному графику от одного до нескольких раз в день либо вручную по команде оператора. При этом процедура не должна забирать ресурсы системы в монопольное использование.

    В системе следует предусмотреть механизм облегченного восстановления потерянных в результате сбоя операционных данных со времени последнего резервного копирования.

    Удаленная работа

    Система должна предусматривать возможность работы пользователей в удаленном режиме по выделенным, коммутируемым каналам либо средствами Интернета. Для этого она должна иметь либо собственную встроенную систему создания виртуальной частной сети, либо возможность тесной интеграции с межсетевым экраном.

    В случае реализации защиты соединения на уровне выше сетевого система должна обладать защитой системы маршрутизации сетевых пакетов.

    Системы настройки аутентификационных механизмов, авторизации, прав доступа и прочих элементов схемы безопасности должны четко различать варианты локальной и удаленной работы и, соответственно, иметь возможность применения различных правил в зависимости от режима доступа.

    Аудит и мониторинг

    Прежде чем сказать об аудите и мониторинге, необходимо подчеркнуть ряд важных моментов. Например, список событий, подлежащих аудиту, может зависеть от того, какова форма представления электронных материалов, которые будут служить доказательствами при возможных будущих расследованиях или судебных разбирательствах. Необходимо также учесть, с одной стороны, возможность пополнения списка таких событий, а с другой — исключение возможности несанкционированного редактирования списка событий.

    Другой заслуживающий внимания пункт — возможное увеличение загрузки ресурсов системы при расширенном, всеохватывающем аудите. Хотя конкретные количественные показатели такой загрузки зависят от того, как был написан программистом модуль аудита, тем не менее этот параметр должен быть измерен. Вопрос только в том, измерять его отдельно или в совокупности с работой остальных подсистем. Рекомендуемый подход — проанализировать работу АС в целом при полной загрузке с включением всех подсистем и проверить соответствие производительности текущему аппаратному и системно-прикладному обеспечению. Если полученное соответствие устраивает — принимать параметр производительности в целом.

    Читайте так же:  Оформление осаго в гибдд

    Система аудита АС должна различать бизнес-значимые и системно-значимые события. Для бизнес-значимых событий должны фиксироваться параметры, которые не отражаются напрямую в прикладных данных системы, например такие, как время запуска процедуры массовой работы со счетами, имя пользователя и сетевой адрес его рабочей станции. Для системно-значимых событий должна происходить фиксация любых изменений, которые так или иначе могут отразиться на работе системы. Такой список должен включать следующие события (но не ограничиваться ими):

    • добавление, удаление пользователя или изменение атрибутов пользователя;
    • изменение настроек криптографической защиты данных;
    • изменение настроек контроля целостности;
    • изменение настроек удаленного доступа;
    • изменение настроек резервного копирования;
    • изменение настроек, влияющих на работоспособность и производительность системы;
    • запуск, остановка процедур системного характера и обмен данными с процедурами системного характера;
    • сообщения администратору, имеющие отношение к безопасности системы.

    При этом информация, фиксируемая в регистрационных журналах, должна обеспечивать однозначную идентификацию субъекта, причины, времени, местоположения и результата произведенного действия.

    Все бизнес-значимые действия пользователей в АС, как успешные, так и неудачные, начиная от попытки установления связи и до завершения сессии, должны быть зафиксированы. Журнал будет использован для исследования корректности работы АС, мониторинга действий пользователей, расследования сложных или подозрительных событий и т. д.

    Все события должны быть разбиты на типы (открытие счета, регистрация клиента, корректировка карточки счета и пр.) и категории (клиенты, счета, пользователи, системные события, безопасность и т. д.).

    Каждый тип событий характеризуется уровнем доступа или тем, интересы каких пользователей могут затронуть события данного типа и для кого они будут доступны при просмотре журнала. Возможны следующие уровни:

    • система в целом — уровень центрального администратора системы (доступны все события в системе);
    • филиал — уровень администратора филиала организации (доступны все события, относящиеся к данному филиалу);
    • сотрудник — уровень сотрудника филиала (доступны только те события, которые относятся к нему или затрагивают его интересы);

    Каждое событие должно обладать как минимум следующими реквизитами:

    1. автор (пользователь, который породил это событие);
    2. время (календарная дата и время, когда событие произошло);
    3. категория события;
    4. события;
    5. объект события;
    6. описание события (конкретные подробности события и объекта);
    7. филиал организации, затронутый событием.

    При работе с журналом событий должна быть обязательно предусмотрена возможность фильтрации событий, то есть возможность показывать не все события, соответствующие данному периоду, а только те, которые в настоящий момент нужны. Список параметров фильтрации должен включать все указанные выше реквизиты событий.

    Регистрационные журналы системы должны обладать возможностью защиты от изменений со стороны любого субъекта, кроме процесса его формирования (доступ только на чтение уполномоченным администраторам). Доступ на чтение регистрационного журнала должен зависеть от установленного для данного администратора фильтра прав.

    Регистрационный журнал должен обладать механизмами обеспечения его юридической доказательности (например, системная или административная цифровая подпись).

    Аудит событий должен включать возможность формирования шаблонов событий, подозрительных на злоумышленные. При наступлении событий, соответствующих такому шаблону, система должна выдавать оповещение уполномоченному лицу.

    Система должна предусматривать мониторинг и управление работой пользователей, включая следующие возможности:

    • отображение текущих сессий пользователей в системе;
    • отправка системного или административного сообщения пользователю или группе пользователей;
    • автоматическое завершение сессии пользователя при достижении определенного времени бездействия в системе;
    • ручное принудительное завершение сессии пользователя (группы пользователей) администратором.

    Система формирования бизнес-отчетов должна укладываться в схему прав пользователя, то есть пользователь не должен получать в рамках отчета информации больше, чем доступно ему в рамках разрешения на чтение.

    Разрешение на получение консолидированных (сводных) отчетов может определяться отдельно.

    Для обмена данными с другими системами АС должна обеспечивать наличие соответствующих интерфейсов таким образом, чтобы подсистема безопасности АС могла:

    • продолжать контроль экспортируемых данных в рамках правил, определенных в АС, до тех пор пока контроль над данными не возьмет на себя система, в которую производится экспорт;
    • принимать на себя контроль импортируемых данных от другой системы после получения от этой системы сигнала о готовности импортируемых данных;
    • устанавливать на импортируемые данные правила доступа, авторизации, контроля целостности и пр. в соответствии с предопределенным шаблоном для импортируемых данных.
    Поддержка системы производителем

    Система должна обладать полной и исчерпывающей документацией по безопасности, а именно должны быть описаны:

    • процедуры и обязанности по безопасности для пользователя;
    • процедуры и обязанности по безопасности для бизнес-администратора (прикладного администратора);
    • процедуры и обязанности по безопасности для системного администратора;
    • руководство для администратора безопасности системы.
    • представить соответствующие сертификаты на механизмы безопасности, реализованные в системе (предпочтительно широко известных сертифицирующих компаний или государственные сертификаты);
    • регулярно информировать уполномоченных сотрудников организации об обнаруженных ошибках и слабых местах системы, а также своевременно предоставлять изменения и обновления к системе;
    • организовать службу оперативной поддержки, в том числе по вопросам безопасности для консультирования уполномоченных работников организации и оказания им практической помощи, например, в вопросах устранения последствий нарушений информационной безопасности.

    Расширение функциональности безопасности

    АС должна предоставлять механизм для самостоятельной разработки специалистами организации автоматизированных процедур и модулей по информационной безопасности, например, через систему API и GSSAPI.

    Примером возможного расширения функциональности может служить переход на биометрические средства аутентификации пользователей в системе.

    Для успешной оценки системы по перечисленным критериям необходимо расставить некую балльную оценку параметров. Возможно, придется составить документ в виде анкеты с ответами типа: да/нет/нет, информации/примечания и оценивать полученные ответы соответственно.

    Для ряда параметров можно предусмотреть альтернативные варианты ответов, например, требование, предъявляемое к созданию виртуальных туннелей, можно адресовать не к АС, а к операционной системе. Необходимо лишь, чтобы оценку реальной системы по составленным критериям производили подготовленные, квалифицированные специалисты, в количестве, необходимом для того, чтобы исключить субъективность оценок.

    Поделитесь материалом с коллегами и друзьями

    Основные требования к соблюдению информационной безопасности

    Поэтому вопросы информационной безопасности являются на сегодняшний день актуальными. Данное понятие следует определять как защиту информационных ресурсов от внешних воздействий, которые приводят к нарушениям законных прав владельца в информационной сфере.
    На сегодняшний день ученые в области информационной безопасности выделяют ряд требований, соответствие которым позволяет говорить о состоянии сохранности источника информации:

    1. Данные должны быть целостными. При передаче и хранении информации должны сохраняться ее содержание и структура, так как создавать, изменять, уничтожать имеет право только ее владелец.
    2. Конфиденциальность информации. Это состояние источника данных, при котором соблюдается гарантия, что информация будет известна только указанным пользователям.
    3. Доступность исходных данных. Данный принцип обеспечивает пользователю доступ к необходимым сведениям своевременно и беспрепятственно.
    4. Достоверность материала. Это свойство выражается в строгом соответствии информации предусмотренному результату или субъекту, от которого она поступила.

    Почему UTM решения?

    Решения для унифицированного управления угрозами (UTM) – наиболее перспективные на рынке ИТ. Аналитики из IDC утверждают, что прибыль, полученная от продаж UTM устройств будет превышать комбинированный рынок Firewall и VPN устройств, размер которого 3,45 миллиарда долларов, что делает сегмент UTM устройств самым большим на рынке сетевой безопасности.

    Политика обеспечения информационной безопасности

    1. Термины и определения

    2. Общие положения

    С целью минимизации рисков Департамент ИТ обеспечивает выполнение требований целостности, конфиденциальности и доступности информации.

    Разработкой требований и контролем их выполнения занимается Департамент ИТ.

    Данные требования обязательны к исполнению всеми работниками структурных подразделений, отделов и служб.

    Все требования по обеспечению информационной безопасности применимы к каждому работнику, а также к любому третьему лицу, включая лиц, работающих по договорам гражданско-правового характера и прикомандированных работников, имеющих доступ к информации и ее информационным ресурсам.

    Каждый работник, а также любое третье лицо, включая лиц, работающих по договорам гражданско-правового характера и прикомандированных работников, имеющих доступ к информации и ее информационным ресурсам признает право на осуществление контроля их деятельности при работе с информационными средствами и информацией.

    Вся деловая информация в любой форме, приобретенная или полученная, используемая для поддержки его законной производственно-хозяйственной деятельности, либо разработанная его работниками в ходе производственно-хозяйственной деятельности, принадлежит Организации. Это право собственности распространяется на голосовую и факсимильную связь с использованием аппаратуры, на лицензионное и разработанное программное обеспечение и отдельные программы, на электронные почтовые ящики, а также на бумажные и электронные файлы всех бизнес-направлений, бизнес-функций, и на всех работников.

    Запрещается использование информации и информационных средств в личных целях.

    3. Цели и задачи системы обеспечения информационной безопасности

    3.1. Цель системы обеспечения информационной безопасности — создание и постоянное соблюдение условий, при которых риски, связанные с нарушением безопасности информационных активов, постоянно контролируются и исключаются, либо находятся на допустимом (приемлемом) уровне остаточного риска.

    Процессы обеспечения информационной безопасности являются составной и неотъемлемой частью процессов управления информационными технологиями и сопутствующими операционными рисками и осуществляются на основе циклической модели: «планирование — реализация — проверка совершенствование — планирование -…».

    3.2. Безопасность информационных активов оценивается и обеспечивается по каждому из следующих аспектов:

    При этом критерием оценки является вероятность, размер и последствия нанесения Организации любого вида ущерба (невыполнение имеющихся перед партнерами обязательств, финансовые потери, потеря репутации и пр.).

    Состояние информационной безопасности оказывает непосредственное влияние на операционные риски деятельности в связи с чем любой факт (инцидент) нарушения информационной безопасности рассматривается как существенное событие.

    3.3. Задачами системы обеспечения информационной безопасности являются:

    4. Основные принципы обеспечения информационной безопасности

    4.1. Осведомленность о риске информационной безопасности

    Процессы обеспечения информационной безопасности затрагивают каждого работника, использующего его информационные активы, и накладывают на него соответствующие обязанности и ограничения.

    4.2. Персональная ответственность

    Ответственность за нарушения требований информационной безопасности возлагается непосредственно на работников, допустивших нарушения, и руководителя структурного подразделения, отдела, службы, в котором нарушения допущены.

    4.3. Ограничение полномочий

    Любому сотруднику доступ к информационным активам предоставляется только в том объеме, который необходим ему для выполнения служебных обязанностей. Все операции по предоставлению доступа или назначению полномочий осуществляются строго в соответствии с установленными процедурами (Процедура получения индивидуального доступа).

    4.4. Комплексность защиты

    Меры по обеспечению безопасности информационных активов принимаются по всем идентифицированным видам угроз с учетом результатов оценки рисков информационной безопасности.

    4.5. Адекватность защиты

    Принимаемые меры обеспечения информационной безопасности эффективны и соразмерны имеющим место рискам информационной безопасности.

    4.6. Непрерывность процессов контроля и совершенствования системы обеспечения информационной безопасности

    Постоянный мониторинг и аудит системы обеспечения информационной безопасности, по результатам которых осуществляется анализ эффективности принятых мер обеспечения информационной безопасности с учетом изменений IT-среды, появления новых угроз, инцидентов и проблем, планируются и внедряются дополнительные меры защиты.

    4.7. Контроль со стороны руководства

    Руководство на регулярной основе рассматривает отчеты о состоянии информационной безопасности в структурных подразделениях, отделах, службах и фактах нарушений установленных требований, а также общие и частные вопросы информационной безопасности, связанные с использованием технологий повышенного риска или существенно влияющие на бизнес-процессы.

    Читайте так же:  Документ подтверждающий полномочия руководителя решение или протокол

    4.8. Целевое финансирование мероприятий по обеспечению информационной безопасности

    Бюджет предусматривает расходы на обеспечение информационной безопасности.

    5. Общие требования по обеспечению информационной безопасности

    В основе процессов управления информационной безопасностью лежат следующие общие требования:

    5.1. Назначение и распределение ролей, и обеспечение доверия к персоналу

    «Ролевое» управление является основным механизмом управления полномочиями пользователей и администраторов в автоматизированных системах.

    Роли формируются с учетом принципа минимальности полномочий.

    Критичные технологические процессы должны быть защищены от ошибочных и несанкционированных действий администраторов. Штатные процедуры администрирования, диагностики и восстановления должны выполняться через специальные роли в автоматизированных системах без непосредственного доступа к данным.

    Должностные обязанности сотрудников и трудовые договоры предусматривают обязанности персонала по выполнению требований по обеспечению информационной безопасности, включая обязательства по неразглашению информации, составляющей коммерческую тайну.

    Приказы и распоряжения, актуальная информация по вопросам обеспечения информационной безопасности, в том числе по выявленным нарушениям, доводятся до всех сотрудников под роспись.

    Периодически проверяется и оценивается уровень компетентности и информированности работников в вопросах информационной безопасности.

    При допуске к работе с критичными АС работники проходят проверку методами, разрешенными законодательством Российской Федерации.

    5.2. Управление жизненным циклом автоматизированных систем

    Процедуры по обеспечению информационной безопасности предусматриваются на всех стадиях жизненного цикла автоматизированных систем: при разработке (приобретении), эксплуатации, модернизации, снятии с эксплуатации.

    В контрактах со сторонними разработчиками на поставку систем предусматривается их ответственность за наличие в системах скрытых недокументированных возможностей, а также соблюдение условий конфиденциальности,

    Системы сторонней разработки проверяются на соответствие требованиям информационной безопасности. При несоответствии текущей версии ПО требованиям информационной безопасности, указанное ПО обновляется или закупается новое.

    При выводе АС из эксплуатации или замене входящего в ее состав оборудования осуществляется обязательное гарантированное удаление информации с соответствующих машинных носителей и из памяти компьютеров.

    5.3 Антивирусная защита

    Каждый сотрудник обязан выполнять правила эксплуатации антивирусного ПО и требования антивирусной безопасности в отношении внешних источников и носителей информации, а также сети Интернет, немедленно прекращать работу и информировать службы автоматизации и безопасности при подозрениях на вирусное заражение.

    Антивирусные средства должны быть установлены на все рабочие места работников и сервера в режиме постоянной защиты.

    Запрещается отключать антивирусное ПО, без согласования со службами автоматизации (Департамента ИТ).

    Пользователи на рабочих местах не должны иметь административных прав. Наличие административных прав на рабочих местах разрешается только пользователям, выполняющим специальные функции по управлению автоматизированной системой по согласованию ИТ Департаментом.

    Все ПО устанавливается на рабочие станции сотрудниками службы автоматизации. Устанавливаемое ПО должно быть лицензионным. Запрещается самостоятельная установка ПО пользователями.

    Техническая возможность подключения пользователями к рабочим станциям ЛВС внешних накопителей информации, модемов, мобильных телефонов, беспроводных интерфейсов, использование USB, CD-DVD-дисководов максимально ограничивается. Запрещается подключать любое оборудование без согласования с сотрудниками ИТ Департамента.

    Антивирусная защита обеспечивается использованием специализированного лицензионного антивирусного программного обеспечения.

    Для снижения влияния человеческого фактора, исключения возможности отключения или не обновления антивирусных средств, контроль и управление антивирусным программным обеспечением, а также устранение выявленных уязвимостей в системном программном обеспечении производится в автоматизированном режиме. При этом обеспечивается минимально возможный период обновления.

    5.4. Использование ресурсов Интернет

    Использование ресурсов Интернет разрешается исключительно в производственных целях.

    Запрещается использование сети Интернет для информационного взаимодействия между подразделениями Организации без использования средств шифрования.

    Использование канальных ресурсов Интернет для построения корпоративных сетей Организации допускается только при использовании средств шифрования (VPN-канал).

    Взаимодействие с партнерами по сети Интернет осуществляется с использованием специализированных систем и средств защиты, аттестованных на соответствие требованиям информационной безопасности.

    Использование сети Интернет для обработки и хранения информации (в том числе не конфиденциальной) запрещается. Запрещается использование ящиков электронной почты, заведенных не на ресурсах Организации (в частности использование публичных почтовых серверов).

    Подключение к рабочим станциям ЛВС мобильных телефонов, беспроводных (радио) интерфейсов, модемов и прочего оборудования, позволяющего выходить в Интернет, запрещается.

    Подключение к сети Интернет осуществляется с использованием телефонной сети Организации.

    Обсуждение сотрудниками на форумах и в конференциях сети Интернет вопросов, касающихся их служебной деятельности, допускается только при наличии соответствующих указаний руководства.

    Доступ сотрудников к ресурсам сети Интернет санкционируется руководством и согласовывается с Департаментом ИТ, которые осуществляют контроль соблюдения сотрудниками требований информационной безопасности, включая контентный анализ сообщений.

    Работа сотрудников с web ресурсами Интернет разрешается только в режиме просмотра данных, исключая возможность передачи информации Организации в сеть Интернет.

    5.5. Защита информационных и технологических процессов

    Технологические процессы должны быть максимально автоматизированы и обеспечивать возможность выполнения массовых и потенциально опасных операций без участия персонала за счет реализации эффективных процедур контентного контроля и защиты.

    Для защиты технологических процессов по результатам анализа рисков информационной безопасности применяются как штатные средства безопасности сетевых операционных систем, СУБД, так и дополнительные программные и программно-аппаратные комплексы и средства криптографической защиты, в совокупности, обеспечивающие достаточный уровень безопасности на всех участках и этапах технологического процесса.

    5.6. Доступ к активам (информационным ресурсам)

    Все информационные активы идентифицируются, категорируются и имеют своих владельцев. Доступ к информационным активам всем сотрудникам предоставляется только на основании документально оформленных заявок, согласованных с их владельцами и службой автоматизации (Департамента ИТ). По умолчанию определяется отсутствие доступа.

    Доступ к информационным активам не предоставляется (прекращается) в случае отсутствия производственной необходимости, изменения функциональных и должностных обязанностей, увольнения сотрудника.

    Департаментом ИТ проводится периодический контроль (не менее одного раза в полугодие) соответствия согласованных и реальных прав доступа к информационным активам, текущему статусу пользователя.

    Доступ ко всем информационным активам осуществляется только после авторизации пользователя. В качестве процедуры авторизации используется предъявление уникального имени и пароля. Запрещается передавать свой пароль кому-либо. Запрещается сохранять свой пароль на любых носителях информации.

    Журналы аудита действий пользователей и администраторов автоматизированных систем должны быть информативны, защищены от модификации и храниться в течение срока, потенциально необходимого для использования при расследовании возможных инцидентов, связанных с нарушением информационной безопасности.

    Наиболее критичные активы могут выделяться в отдельные сегменты сети для ограничения доступа.

    5.7. Обеспечение физической безопасности

    Помещения категорируются в зависимости от критичности размещаемых в них информационных активов. В соответствии с категорией обеспечивается техническая укрепленность помещений, оснащение средствами видеоконтроля, контроля доступа, пожаротушения и сигнализации.

    Каждый сотрудник, получивший в пользование портативный компьютер (Notebook), обязан принять надлежащие меры по обеспечению его сохранности, как в офисе, так и в иных местах (например, гостинице, конференц-зале, автомобиле или аэропорту). В случае утери (кражи) портативного компьютера ответственность возлагается на данного сотрудника

    Портативные компьютеры (Notebooks), должны храниться в физически защищенном месте. Для их сохранности рекомендуется использовать механические замки (например, систему Kensington Lock).

    6. Организация системы обеспечения информационной безопасности

    6.1. Общее руководство системой обеспечения информационной безопасности осуществляет директор.

    6.2. Все руководители структурных подразделений, отделов и служб отвечают за реализацию политики информационной безопасности и управление процессами ее обеспечения в рамках своей компетенции:

    6.2.1. Служба автоматизации:

    7. Ответственность

    Сотрудники несут ответственность за не выполнение требований по обеспечению информационной безопасности на своих рабочих местах.

    Руководители структурных подразделений, отделов и служб несут ответственность за не выполнение требований по обеспечению информационной безопасности их работниками.

    Служба автоматизации несет ответственность за не выполнение требований по обеспечению информационной безопасности серверов, рабочих станций, оборудования.

    В случае выявления нарушения требований информационной безопасности к сотруднику принимаются меры, предусмотренные внутренними документами Организации, а также действующим законодательством РФ.

    Приложение 1 — Правила использования информационных ресурсов ЛВС (локальная вычислительная сеть)

    1. Пользователь информационных ресурсов ЛВС обязан:

    1.1. Использовать ресурсы ЛВС для служебных целей.

    1.2. Знать и помнить имя компьютера, персональный логин и пароль (выдается памятка).

    1.3. По требованию системного администратора производить выход из баз данных вплоть до полного отключения от сети.

    1.4. При смене должности, рабочего места или уровня доступа к информации немедленно сообщать администратору ЛВС.

    1.5. Иметь уникальный пароль соответствующий требованиям информационной безопасности.

    Пароль должен иметь длину не менее 5-ми символов и удовлетворять любым 3-м из 4-х условий:

    Пароль не должен повторять пароли других пользователей и предыдущие пароли пользователя (в случае плановой смены пароля).

    1.6. Сообщать о любых случаях использования другими пользователями ресурсов ЛВС в личных, не связанных с производственной деятельностью, целях.

    1.7. Сохранять рабочую документацию (письма и т.д.) на сетевом диске.

    2. Пользователю информационных ресурсов ЛВС запрещается:

    2.1. Без согласования с системным администратором подключать к ЛВС любые устройства (компьютеры, принтеры, концентраторы и т.д.).

    2.2. Использовать предоставляемые ресурсы ЛВС для хранения развлекательной информации, такой как: игры, картинки, музыку и др., не связанное с производственной необходимостью.

    2.3. Самостоятельно изменять настройки компьютера подключенного к ЛВС (имя компьютера, IP- адрес, сетевые службы и протоколы и др.).

    2.4. Открывать для общего доступа любые ресурсы закрепленного за пользователем компьютера.

    2.5. Применять к информации, хранящейся в ЛВС, любые методы шифрования данных.

    2.6. Хранить персональный пароль на любых материальных носителях и в электронном виде (бумага, диски компьютера и т.д.), сообщать кому либо свой пароль.

    2.7. Хранить личную информации (фотографии, видео и т.д.) на ЛВС.

    3. Особые условия

    3.1. В случае не соблюдения правил использования информационных ресурсов ЛВС пользователь может быть отключен от ЛВС без предварительного уведомления.

    3.2. Повторное подключение пользователя к информационным ресурсам ЛВС производится после предварительного предоставления пользователем объяснительной на имя директора компании.

    Приложение 2 — Процедура получения индивидуального доступа к ресурсам

    1. Оформляется письмо (e-mail) либо служебная записка на имя начальника отдела.

    2. После согласования начальником отдела документ передается начальнику Департамента ИТ.