Организационные мероприятия для обеспечения защиты информации от утечки, модификации или уничтожения включают:
1. Контроль доступа к СВТ:
должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации, особенно в нерабочее время;
– должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку) и регистрацией их выдачи (приема).
2. Комплект нормативных документов, регламентирующих порядок работы и настройки вычислительной техникой:
– должна осуществляться регистрация подключения и работы пользователей в сетях передачи данных;
– должна быть утверждена типовая аппаратная конфигурация СВТ;
– должен быть утвержден регламент приобретения оборудования.
3. Комплект документов, устанавливающий настройки системного и общесистемного ПО:
– должен быть утвержден регламент запущенных сервисов на серверном оборудовании и рабочих местах;
– должна осуществляться регистрация следующих событий:
– использование идентификационного и аутентификационного механизма;
– создание и уничтожение объекта;
– действия по изменению правил разграничения доступа.
– должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала с помощью тест-программ, имитирующих попытки НСД;
– должен существовать регламент ведения и хранения контрольного журнала, регистрирующего все чрезвычайные ситуации и события, связанные с нарушением режима безопасности. Кроме отвергнутых попыток входа в системы, целесообразно также регистрировать случаи успешного доступа к ним. Контрольный журнал должен включать следующие данные:
– дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
– результат попытки входа: успешная или неуспешная - несанкционированная;
– идентификатор субъекта, предъявленный при попытке доступа;
– код или пароль, предъявленный при неуспешной попытке.
– для обеспечения точности контрольных журналов, которые могут потребоваться при расследовании или в качестве свидетельства при наложении дисциплинарных взысканий, необходимо правильно установить системные часы компьютеров. Неточные контрольные журналы могут помешать таким расследованиям и подорвать доверие к такому свидетельству;
– должен быть утвержден регламент антивирусной защиты: определены настройки мониторов для рабочих мест пользователей и администратора, периодичность обновления антивирусных баз.
4. Контроль доступа к объектам системы:
– должен быть утвержден регламент предоставления прав доступа к информационным ресурсам, определяющий все стадии жизненного цикла управления доступом пользователей – от начальной регистрации новых пользователей до удаления учетных записей пользователей, которые больше не нуждаются в доступе к информационным сервисам. Особое внимание следует уделить необходимости управления процессом предоставления привилегированных прав доступа, которые позволяют пользователям обойти средства системного контроля.
– должен существовать регламент удаления учетных записей пользователей, которые больше не нуждаются в доступе к информационным сервисам.
5. Комплект документов, регламентирующих механизмы восстановления системы после сбоя и поддержания работоспособности системы:
– должен быть утвержден перечень критически важного оборудования, находящегося в резерве;
– инструкция на инсталляцию СУБД;
– регламент импорта данных;
– очередность подключения рабочих мест;
– должен быть установлен регламент конфигурационного управления: подключения новых пользователей, изменения конфигурационных файлов активного оборудования, сетевого оборудования;
– должен быть утвержден регламент резервного копирования и архивирования, должны создаваться две резервные копии, которые хранятся отдельно от серверного оборудования;
– должен быть разработан план защиты от непредвиденных обстоятельств, определяющий последовательности действий, необходимых для выхода из различных ситуаций, не предусмотренных процедурами нормального функционирования системы (например, в случае пожара). План защиты от непредвиденных обстоятельств должен включать такие элементы, как:
– сведения о том, кто является главным ответственным лицом и как можно установить с ним контакт;
– информация о том, кто и на каком основании принимает решение о возникновении необычной ситуации;
– технические требования к передаче управления резервным службам, которые могут включать сведения о необходимом дополнительном оборудовании и линий связи;
– организационные требования в отношении персонала, который осуществляет передачу управления резервным службам;
– сведения о любых внешних источниках, в которых можно будет получить помощь.
6. Контроль за персоналом включает следующие мероприятия:
– организация службы безопасности информации, осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), а также контроль за ходом технологического процесса обработки конфиденциальной информации и т.д.;
– ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации;
– получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;
– очистка оперативной памяти клиентских ПК путем перезагрузки после завершения работы пользователя с защищаемыми данными, с удалением файлов с жесткого диска компьютера;
– должен быть определен регламент реагирования на нарушение безопасности, содержащий описание действий пользователя и администратора при выявлении НСД.
Заключение
В данном разделе рассмотрены вопросы обеспечения безопасности работы АИС "Учет ремонта и ТО автотранспорта". В понятие "безопасность" включаются следующие категории: аутентификация, авторизация, аудит, конфиденциальность, целостность, доступность и невозможность отказа от авторства. Для организации грамотной защиты приложения необходимо задействовать все возможные методы защиты.
Анализ потоков данных позволил установить наличие конфиденциальной информации в системе, требующей дополнительной защиты. На основе полученных результатов разрабатываемая система была классифицирована как многопользовательская система с разграничением прав доступа к конфиденциальной информации, таким образом, она относится к классу защиты – 1Г, к которому установлены требования, опираясь на которые, мы определили меры и средства борьбы с потенциальными угрозами информации.
Определение периметра безопасности позволило установить возможные опасности, угрожающе системе, на этапах горизонтального и вертикального проектирования предложены рекомендации по устранению этих угроз и сведению к минимуму последствий от них.
При анализе угроз и требований, выдвигаемых к установленному классу защищенности системы, были разработаны организационно-распорядительные документы, повышающие уровень безопасности системы и закрепляющие представленные ранее рекомендации по защите ИС.
Список используемой литературы
1. Основы компьютерных сетей.: Б.Д. Виснадул. – М.: Издательский дом "Форум", 2007. – 272с.
2. Информационная безопасность компьютерных систем и сетей: В.М. Шаньгин. – М.: Издательский дом "Форум", 2008. – 416с.
3. Конев И.Р., Беляев А.В. Информационная безопасность предприятия. – СПб.: БХВ-Петербург, 2003. – 752 с.:ил.