Защита информации в локальных сетях

Информировать администраторов сервисов о попытках нарушения защиты.

Оказывать помощь в отражении угрозы, выявлении нарушителей и

предоставлении информации для их наказания.

•Использовать проверенные средства аудита и обнаружения подозрительных

ситуаций.

•Ежедневно анализировать регистрационную информацию, относящуюся к

сети в целом и к файловым серверам в особенности.

•Следить за новинками в области информационной безопасности, сообщать

о них пользователям и руководству.

•Не злоупотреблять данными им большими полномочиями. Пользователи

имеют право на тайну.

•Разработать процедуры и подготовить инструкции для защиты локальной

сети от зловредного программного обеспечения. Оказывать помощь в

обнаружении и ликвидации зловредного кода.

•Регулярно выполнять резервное копирование информации, хранящейся на

файловых серверах.

•Выполнять все изменения сетевой аппаратно-программной конфигурации.

•Гарантировать обязательность процедуры идентификации и аутентификации

для доступа к сетевым ресурсам.

•Выделять пользователям входные имена и начальные пароли только после

заполнения регистрационных форм.

•Периодически производить проверку надежности защиты локальной сети.

Не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисов обязаны:

•Управлять правами доступа пользователей к обслуживаемым объектам.

•Оперативно и эффективно реагировать на события, таящие угрозу.

Информировать администраторов локальной сети о попытках нарушения

защиты. Оказывать помощь в отражении угрозы, выявлении нарушителей и

предоставлении информации для их наказания.

•Регулярно выполнять резервное копирование информации, обрабатываемой

сервисом.

•Выделять пользователям входные имена и начальные пароли только после

заполнения регистрационных форм.

•Ежедневно анализировать регистрационную информацию, относящуюся к

сервису.

•Регулярно контролировать сервис на предмет зловредного программного

обеспечения.

•Периодически производить проверку надежности защиты сервиса. Не

допускать получения привилегий неавторизованными пользователями.

Пользователи обязаны:

•Знать и соблюдать законы, правила, принятые в организации, политику

безопасности, процедуры безопасности.

•Использовать доступные защитные механизмы для обеспечения

конфиденциальности и целостности своей информации.

•Использовать механизм защиты файлов и должным образом задавать права

доступа.

•Выбирать хорошие пароли, регулярно менять их. Не записывать пароли на

бумаге, не сообщать их другим лицам.

•Помогать другим пользователям соблюдать меры безопасности. Указывать

им на проявленные упущения.

•Информировать администраторов или руководство о нарушениях

безопасности и иных подозрительных ситуациях.

•Не использовать слабости в защите сервисов и локальной сети в целом.

•Не совершать неавторизованной работы с данными, не создавать помех

другим пользователям.

•Всегда сообщать корректную идентификационную и аутентификационную

информацию, не пытаться работать от имени других пользователей.

•Обеспечивать резервное копирование информации с жесткого диска своего

компьютера.

•Знать принципы работы зловредного программного обеспечения, пути его

проникновения и распространения, слабости, которые при этом могут

использоваться.

•Знать и соблюдать процедуры для предупреждения проникновения

зловредного кода, для его обнаружения и уничтожения.

•Знать слабости, которые используются для неавторизованного доступа.

•Знать способы выявления ненормального поведения конкретных систем,

последовательность дальнейших действий, точки контакта с

ответственными лицами.

•Знать и соблюдать правила поведения в экстренных ситуациях,

последовательность действий при ликвидации последствий аварий.

Реакция на нарушения режима безопасности

Программа безопасности, принятая учреждением, должна предусматривать

набор оперативных мероприятий, направленных на обнаружение и нейтрализацию

вторжений хакеров и зловредного кода. Важно, чтобы в подобных случаях

последовательность действий была спланирована заранее, поскольку меры нужно

принимать срочные и скоординированные. Реакция на нарушения режима

безопасности преследует две главные цели:

•блокирование нарушителя и уменьшение наносимого вреда;

•недопущение повторных нарушений.

В учреждении должен быть человек, доступный 24 часа в сутки (лично, по

телефону, пейджеру или электронной почте), отвечающий за реакцию на

нарушения. Все должны знать координаты этого человека и обращаться к нему

при первых признаках опасности.

Для недопущения повторных нарушений необходимо анализировать каждый

инцидент, выявлять причины, накапливать статистику. Каковы источники

зловредного кода? Какие пользователи имеют обыкновение выбирать слабые

пароли? На подобные вопросы и должны дать ответ результаты анализа.

Очень важными являются программно-технические меры, которые образуют

последний и самый важный рубеж информационной защиты. Основную часть ущерба

наносят действия легальных пользователей, по отношению к которым

операционные регуляторы не могут дать решающего эффекта. Главные враги -

некомпетентность и неаккуратность при выполнении служебных обязанностей, и

только программно-технические меры способны им противостоять.

Физическую защиту, целесообразно необходимости, поручить

интегрированным компьютерным системам, что позволяет одновременно

отслеживать перемещения сотрудников и по пространству предприятия, и по

информационному пространству. Это вторая причина, объясняющая важность

программно-технических мер.

В случае умышленного нарушения информационной безопасности

выражающуюся в утере, хищении, уничтожении, модификации информации,

внесении программ-вирусов, осуществлении действий, в результате которых

наносится ущерб информационной целостности организации и раскрытие

конфиденциальной информации сотрудники данного учреждения согласно Закону

привлекаются к ответственности в зависимости от нанесенного ущерба от

административной ответственности до лишения свободы сроком до 10 лет.

3. МЕТОДИКА ЗАЩИТЫ ИНФОРМАЦИИ В ЛОКАЛЬНЫХ

ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ МВД РФ.

3.1.Политика безопасности КЮИ МВД РФ.

Под политикой безопасности понимается совокупность документированных

управленческих решений, направленных на защиту информации и ассоциированных

с ней ресурсов.

Политика (стратегия) безопасности Краснодарского юридического

института МВД РФ представляет собой официальную линию руководства института

на реализацию комплекса мероприятий по основным направлениям обеспечения

информационной безопасности института.

Главной целью стратегии безопасности института является четкое

описание технологии обеспечения информационной безопасности в институте и

реализация функций должностных лиц, ответственных за ее реализацию на всех

уровнях.

Политику безопасности разделяется на три уровня. К верхнему уровню

относятся решения, затрагивающие институт в целом. Они носят весьма общий

характер и, как правило, исходят от руководства института. Список подобных

решений включает в себя следующие элементы:

•формирование или пересмотр комплексной программы обеспечения

информационной безопасности, определение ответственных за продвижение

программы;

•формулировка целей, которые преследует институт в области

информационной безопасности, определение общих направлений в

достижении этих целей;

•обеспечение базы для соблюдения законов и правил;

•формулировка управленческих решений по тем вопросам реализации

программы безопасности, которые должны рассматриваться на уровне

организации в целом.

Для политики верхнего уровня цели института в области информационной

безопасности формулируются в терминах целостности, доступности и

конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и

координация использования этих ресурсов, выделение специального персонала

для защиты критически важных систем, поддержание контактов с другими

организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня обязана четко очерчивать сферу своего влияния.

В политике должны определены обязанности должностных лиц по выработке

программы безопасности и по проведению ее в жизнь. Политика верхнего уровня

имеет дело с тремя аспектами законопослушности и исполнительской

дисциплины. Во-первых, институт должен соблюдать существующие законы. Во-

вторых, следует контролировать действия лиц, ответственных за выработку

программы безопасности. Наконец, необходимо обеспечение определенной

степени послушания персонала, а для этого выработана система поощрений и

наказаний. На верхний уровень выносится минимум вопросов.

К среднему уровню относятся вопросы, касающиеся отдельных аспектов

информационной безопасности, но важные для различных систем,

эксплуатируемых организацией. Политика среднего уровня должна для каждого

аспекта освещать следующие темы:

•описание аспекта. Например, если рассмотреть применение

пользователями неофициального программного обеспечения, последнее

можно определить как обеспечение, которое не было одобрено и/или

закуплено на уровне института.

•область применения. Следует специфицировать, где, когда, как, по

отношению к кому и чему применяется данная политика безопасности.

Например, касается ли организаций-субподрядчиков политика отношения к

неофициальному программному обеспечению? Затрагивает ли она

работников, пользующихся портативными и домашними компьютерами и

вынужденных переносить информацию на производственные машины?

•позиция института по данному аспекту. Продолжая пример с

неофициальным программным обеспечением, можно представить себе позиции

полного запрета, выработки процедуры приемки подобного обеспечения и

т.п. Позиция может быть сформулирована и в гораздо более общем виде,

как набор целей, которые преследует институт в данном аспекте.

•роли и обязанности. В "политический" документ необходимо включить

информацию о должностных лицах, отвечающих за проведение политики

безопасности в жизнь. Например, если для использования работником

неофициального программного обеспечения нужно официальное разрешение,

то должно быть известно, у кого и как его следует получать. Если

должны проверяться дискеты, принесенные с других компьютеров,

необходимо описать процедуру проверки. Если неофициальное программное

обеспечение использовать нельзя, следует знать, кто следит за

выполнением данного правила.

•законопослушность. Политика должна содержать общее описание

запрещенных действий и наказаний за них.

•точки контакта. Должно быть известно, куда следует обращаться за

разъяснениями, помощью и дополнительной информацией. Обычно "точкой

контакта" служит должностное лицо, а не конкретный человек, занимающий

в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным сервисам.

Она включает в себя два аспекта - цели и правила их достижения, поэтому ее

порой трудно отделить от вопросов реализации. В отличие от двух верхних

уровней, рассматриваемая политика должна быть гораздо детальнее. Есть много

вещей, специфичных для отдельных сервисов, которые нельзя единым образом

регламентировать в рамках всей организации. В то же время эти вещи

настолько важны для обеспечения режима безопасности, что решения,

относящиеся к ним, должны приниматься на управленческом, а не техническом

уровне. Некоторые вопросы, на которые следует дать ответ при следовании

политике безопасности нижнего уровня:

•кто имеет право доступа к объектам, поддерживаемым сервисом?

•при каких условиях можно читать и модифицировать данные?

•как организован удаленный доступ к сервису?

При формулировке целей политика нижнего уровня может исходить из

соображений целостности, доступности и конфиденциальности, но она не должна

на них останавливаться. Ее цели должны быть конкретнее. Например, если речь

идет о системе расчета заработной платы, можно поставить цель, чтобы только

работникам отдела кадров и бухгалтерии позволялось вводить и модифицировать

информацию. В более общем случае цели должны связывать между собой объекты

сервиса и осмысленные действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при

каких условиях может делать. Чем детальнее правила, чем более формально они

изложены, тем проще поддержать их выполнение программно-техническими

мерами. С другой стороны, слишком жесткие правила могут мешать работе

пользователей.

После завершения формирования политики безопасности, можно приступать

к составлению программы ее реализации и собственно к реальному воплощению

этой программы. Проведение политики безопасности в жизнь требует

использования трех видов регуляторов - управленческих, операционных и

программно-технических. Рассматривая основы информационной безопасности

необходимо рассмотреть управленческий аспект реализации программы

безопасности. Для того, чтобы реализовать любую программу, ее целесообразно

структурировать по уровням, обычно в соответствии со структурой

организации. В простейшем и самом распространенном случае достаточно двух

уровней - верхнего, или центрального, который охватывает всю организацию, и

нижнего, или сервисного, который относится к отдельным сервисам или группам

однородных сервисов.

Уровни структуризации программы информационной безопасности.

Программу верхнего уровня возглавляет лицо, отвечающее за

информационную безопасность организации. У этой программы следующие главные

цели:

•управление рисками: оценка рисков, выбор эффективных средств защиты;

•координация деятельности в области информационной безопасности,

пополнение и распределение ресурсов;

•стратегическое планирование;

•контроль деятельности в области информационной безопасности.

Цель управленческого аспекта - "эффективность и экономия". Управление

должно быть организовано так, чтобы исключить дублирование в деятельности

сотрудников организации и в максимальной степени использовать знания

каждого из них.

В рамках программы верхнего уровня принимаются стратегические решения

по безопасности, оцениваются технологические новинки. Информационные

технологии развиваются очень быстро, и необходимо иметь четкую политику

отслеживания и внедрения новых средств.

Контроль деятельности в области безопасности имеет двоякую

направленность. Во-первых, необходимо гарантировать, что действия

организации не противоречат законам. Обязательны при этом контакты с

внешними контролирующими организациями. Во-вторых, нужно постоянно

отслеживать состояние безопасности внутри организации, реагировать на

случаи нарушений, дорабатывать защитные меры с учетом изменения обстановки.

Программа верхнего уровня должна занимать четко определенное место в

деятельности организации, она должна официально приниматься и

поддерживаться руководством, у нее должны быть определенные штаты и бюджет.

Без подобной поддержки распоряжения "офицеров безопасности" останутся

пустым звуком.

Цель программы нижнего уровня - обеспечить надежную и экономичную

защиту конкретного сервиса или группы однородных сервисов. На этом уровне

решается, какие механизмы защиты использовать, закупаются и устанавливаются

технические средства, выполняется повседневное администрирование,

отслеживается состояние слабых мест и т.п. Обычно за программу нижнего

уровня отвечают администраторы сервисов.

Управление рисками

Деятельность любой организации подвержена множеству рисков. Суть

работы по управлению рисками состоит в том, чтобы оценить их размер,

выработать меры по его уменьшению и затем убедиться, что риски заключены в

приемлемые рамки. Таким образом, управление рисками включает в себя два

вида деятельности:

•оценка рисков;

•выбор эффективных и экономичных защитных регуляторов.

Процесс управления рисками можно подразделить на следующие этапы:

0.выбор анализируемых объектов и степени детальности их рассмотрения;

a.выбор методологии оценки рисков;

b.идентификация активов;

c.анализ угроз и их последствий, определение слабостей в защите;

d.оценка рисков;

e.выбор защитных мер;

f.реализация и проверка выбранных мер;

g.оценка остаточного риска.

Этапы f и g относятся к выбору защитных регуляторов, остальные - к

оценке рисков.

Управление рисками - процесс циклический. По существу, последний этап

- это оператор конца цикла, предписывающий вернуться к началу. Риски нужно

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10