Организационные мероприятия

Как правило, проведение организационно-распорядительных мероприятий (ОРМ) является самым дешёвым и достаточно эффективным средством защиты информации. Поэтому необходимо разработать ряд документов, инструкций, требований – регламентов, предъявляемых сотрудникам организации, которые будут работать с разрабатываемой информационной системой.

Для защиты ИС рекомендуется утвердить следующие организационные мероприятия:

1) Регламент об осуществлении охраны помещения, в котором находятся СВТ и работы с ними.

1.1) Учёт ключей и их выдача лицам, утверждённым в специальном списке, имеющим доступ к серверным помещениям, активному оборудованию и конфиденциальной информации; все действия, выполняемые в этих помещениях, должны документироваться и регистрироваться. Сотрудники организации несут ответственность за работоспособное состояние СВТ, а также за результаты своей работы в информационной сети.

1.2) Обеспечение физической недоступности к системному блоку (опечатывание/опломбирование). Использование «хранителей экрана».

1.3) Необходимо назначение ответственного лица за каждую единицу информационного обеспечения и за все периферийные устройства, соединенные с ним.

1.4) В случаях, когда сторонние субъекты (специалисты, консультанты и т.п.) в соответствии с документальным соглашением с организацией получают доступ в информационную сеть, к конкретному сетевому ресурсу или СВТ, субъекты должны быть ознакомлены с правилами информационной безопасности, в частности по системе.

1.5) Для обеспечения нормального функционирования СВТ и всей сети сотрудник должен строго следовать правилам, порядкам и другим нормативным документам, регламентирующим части и разделы работы сотрудников.

2) Регламент на использование и защиту паролей.

2.1) Минимальная длина пароля;

2.2) Минимальный срок жизни пароля;

2.3) Максимальное количество ошибок при вводе пароля;

2.4) Поддержка истории паролей;

2.5) При входе пользователя в систему необходимо предупреждение о запрете использования чужих паролей и НСД.

Рекомендации:

­ пароль не должен содержать данных, которые как-то связаны с пользователем (дата рождения, адрес и др.),

­ пароль должен сочетать в себе как символы, так и числа,

­ пароль должен содержать не менее 10 символов,

­ для усложнения доступа к компьютеру и его ресурсам, необходимо предусмотреть пароли BIOS,

­ необходимо предусмотреть периодическую смену паролей.

3) Регламент о разграничении прав доступа к данным на сервере баз данных. Права доступа назначаются администратором и утверждаются руководителем.

3.1) Регламент об организации матрицы доступа: матрица доступа пользователей к различным объектам системы.

3.2) Регламента по изменению прав доступа при приеме на работу, перемещениях и увольнениях работников.

4) Регламент выхода во внешние сети (Интернет) / получения электронной почты.

5) Регламент по очистке оперативной памяти после работы с конфиденциальной информацией (перезагрузка компьютера).

6) Регламент о резервном копировании и архивировании. Выполнение функций резервного копирования и архивирования должны быть закреплены за ответственным лицом.

7) Регламент на проведение инвентаризации (не реже 1 раза в год).

8) Регламент о конфигурации рабочего места пользователя. Запрет на установку постороннего оборудования.

9) Регламент о запрете установки постороннего ПО на рабочую станцию.

10) Регламент на использование антивирусных программных средств на рабочих станциях пользователей и на сервере.

11) Регламент о работе администратора. К функциям администратора создаваемой ИС относятся:

11.1) Обновление, настройка, изменение конфигураций функционирующего ПО.

11.2) Настройка и изменение конфигураций функционирующего АО.

11.3) Порядок подключения и работы пользователей в сети.

11.4) Расчет отказоустойчивости и надежности системы.

11.5) Учет всех заявок пользователей о возникающих проблемах.

11.6) Тестирование, отладка, документирование вводимых ИС.

12) Регламент по работе с конфиденциальной информацией.

12.1) Должен быть утвержден регламент запущенных сервисов на компьютере пользователя.

12.2) Должна осуществляться регистрация следующих событий: использование идентификационного и аутентификационного механизма; запрос на доступ к ресурсу (открытие файла, запуск программы и т.д.); создание и уничтожение объекта; действия по изменению правил разграничения доступа.

12.3) Должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала с помощью тестирующих программ, имитирующих попытки НСД;

12.4) Регламент ведения и хранения контрольного журнала учета, регистрирующего все чрезвычайные ситуации и события, связанные с нарушением режима безопасности. Кроме отвергнутых попыток входа в систему (или БД), целесообразно также регистрировать случаи успешного доступа к ним. Контрольный журнал должен включать следующие данные: дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; результат попытки входа; идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа; код или пароль, предъявленный при неуспешной попытке.

13) Регламент о службе контроля работы администратора (или лица, контролирующего его работу).

14) Регламент поведения администратора при атаках, как внешних, так и внутренних.

15) Регламент восстановления работоспособности системы при экстренных ситуациях/авариях.

16) Регламент о наличии эталонной копии на неизменяемые объекты (к примеру, схемы БД) и на проведение сравнения с целью выявления фальсификаций.

17) Регламент на профилактику: установка patch-ей.

18) Регламент по ремонту /замене СВТ.

19) Регламент о доведении до сведения пользователя положений о мерах наказания, предусмотренных за нарушения любых из вышеперечисленных требований.

20) Регламент о периодическом проведении семинаров. Семинары проводятся для сотрудников организации с целью повышения их уровня знаний в области информационных технологий, а также защиты информации и информационных систем, поскольку зачастую сами же сотрудники организации допускают ошибки по незнанию или своей некомпетентности.

Выводы

В данном разделе были рассмотрены вопросы обеспечения безопасности подсистемы «Учебно-методическая работа» ИС «УГТУ».

При анализе подсистемы была выявлена информация, нуждающаяся в защите для его благополучного функционирования. В соответствии с этим для подсистемы был установлен класс защищенности 1Г (соответствующий многопользовательским системам, работающим с конфиденциальными данными) и выявлены требования, выдвигаемые к данному классу защищенности, которые служат отправной точкой для определения мер и средств защиты от потенциальных опасностей, грозящих системе.

Определение периметра безопасности позволило выявить возможные опасности, угрожающие подсистеме (и системе «УГТУ» в целом). На этапе горизонтального и вертикального проектирования предложены рекомендации по устранению этих угроз (также описано то, что уже предпринято в вопросах безопасности системы в целом), а затем разработаны организационно-распорядительные мероприятия (регламенты), повышающие уровень безопасности системы и закрепляющие представленные ранее рекомендации по защите ИС.

Главным итогом данной работы является то, что разработанная политика информационной безопасности полностью удовлетворяет требованиям класса 1Г, и, следовательно, при соблюдении выполнения всех описанных нами мер ИС будет надёжно защищена.

В связи с этим содержание данной части дипломного проекта было построено следующим образом: предъявляемые требования класса защищенности соотнесены с решениями о мерах предотвращения угроз, нарушающих эти требования.

Не нашли, что искали? Воспользуйтесь поиском: