Для обеспечения возможности восстановления ключевой информации исполнителя в случае выхода ключевой дискеты из строя, обычно создается ее рабочая копия. Для того, чтобы при копировании с эталонной на рабочую ключевую дискету ее содержимое не попадало на какой-либо промежуточный носитель, копирование должно осуществляться только на «АРМ генерации ключей», оснащенном двумя накопителями на гибких магнитных дисках (3,5").

Ключевые дискеты должны иметь соответствующие этикетки, на которых отражается: регистрационный номер дискеты (по «Ведомости выдачи...»), дата изготовления и подпись уполномоченного сотрудника подразделения обеспечения информационной безопасности, изготовившего дискету, вид ключевой информации - ключевая дискета (эталон) или ключевая дискета (рабочая копия), фамилия, имя, отчество и подпись владельца-исполнителя.

Персональные ключевые дискеты (эталон и рабочую копию) исполнитель должен хранить в специальном пенале, опечатанном личной печатью.

В подразделении учет и хранение персональных ключевых дискет исполнителей должен осуществляться ответственным за информационную безопасность (при его отсутствии - руководителем подразделения), который ведет «Журнал учета ключевых дискет исполнителей подразделения (технологического участка)». Ключевые дискеты должны храниться в сейфе ответственного за информационную безопасность подразделения в индивидуальных пеналах, опечатанных личными печатями исполнителей. Пеналы извлекаются из сейфа только на время приема (выдачи) рабочих копий ключевых дискет исполнителям. Эталонные копии ключевых дискет исполнителей должны постоянно находиться в опечатанном пенале и могут быть использованы только для восстановления установленным порядком рабочей копии ключевой дискеты при выходе последней из строя. Наличие эталонных ключевых дискет в пеналах проверяется исполнителями и ответственным за информационную безопасность в подразделении при каждом вскрытии и опечатывании пенала.

Контроль за обеспечением безопасности технологии обработки электронных документов в АС, в том числе за действиями исполнителей, выполняющих свою работу с применением персональных ключевых дискет, осуществляется ответственными за информационную безопасность подразделений в пределах своей компетенции и сотрудниками службы обеспечения информационной безопасности.

«Открытые» ключи ЭЦП исполнителей установленным порядком регистрируются специалистами ЦУКС в справочнике «открытых» ключей, используемом при проверке подлинности документов по установленным на них ЭЦП.

Обязанности исполнителя

Исполнитель, которому в соответствии с его должностными функциями предоставлено право постановки на ЭД цифровой подписи, несет персональную ответственность за сохранность и правильное использование вверенной ему ключевой информации и содержание документов, на которых стоит его ЭЦП.

Он обязан:

• лично присутствовать в ЦУКС при изготовлении своей ключевой информации (от момента включения до момента выключения «АРМ генерации ключей»), чтобы быть уверенным в том, что содержание его ключевых дискет (эталонной и рабочей копии) не компрометировано;

• под роспись в «Ведомости выдачи ключевых дискет» ЦУКС получить эталонную и рабочую ключевые дискеты, убедиться, что они правильно маркированы и на них установлена защита от записи. Зарегистрировать (учесть) их у ответственного за информационную безопасность своего подразделения, положить их в пенал, опечатать его своей личной печатью и передать пенал на хранение ответственному за информационную безопасность установленным порядком;

• использовать для работы только рабочую копию своей ключевой дискеты;

• в начале рабочего дня получать, а в конце рабочего дня сдавать ответственному за информационную безопасность рабочую копию своей ключевой дискеты. При каждом вскрытии пенала (для извлечения из него или помещения в него рабочей копии ключевой дискеты), они оба обязаны убедиться в целостности и подлинности печати на пенале, а также в наличии в нем эталонной ключевой дискеты и сделать запись о выдаче/приеме дискеты. Если печать на пенале нарушена (и/или эталонная дискета отсутствует), то дискета считается скомпрометированной;

• сдавать свою персональную ключевую дискету на временное хранение ответственному за информационную безопасность, например на время отсутствия исполнителя на рабочем месте. Процедуры сдачи на временное хранение и получения ключевой дискеты после временного хранения в точности должны совпадать с процедурами получения персональной ключевой дискеты в начале рабочего дня и сдачи в конце рабочего дня;

• в случае порчи рабочей копии ключевой дискеты (например при ошибке чтения дискеты) исполнитель обязан передать ее уполномоченному сотруднику подразделения ОИБ, который должен в присутствии исполнителя и ответственного за информационную безопасность подразделения на «АРМ генерации ключей»ЦУКС сделать новую рабочую копию ключевой дискеты с имеющегося у исполнителя эталона и выдать ее последнему взамен старой (испорченной) ключевой дискеты. • Испорченная рабочая копия ключевой дискеты должна быть уничтожена установленным порядком в присутствии исполнителя. Все эти действия должны быть зафиксированы в «Ведомости выдачи ключевых дискет ЦУКС».

Исполнителю ЗАПРЕЩАЕТСЯ:

• оставлять персональную ключевую дискету без личного присмотра где бы то ни было;

• передавать свою персональную ключевую дискету (эталонную или ее рабочую копию) другим лицам (кроме как для хранения ответственному за информационную безопасность в опечатанном пенале);

• делать неучтенные копии ключевой дискеты, распечатывать или переписывать с неё файлы на иной носитель информации (например, жесткий диск ПЭВМ), снимать с дискеты защиту от записи, вносить изменения в файлы, находящиеся на ключевой дискете;

• использовать персональную ключевую дискету на заведомо неисправном дисководе и/или ПЭВМ;

• подписывать своим персональным «секретным ключем ЭЦП» любые электронные сообщения и документы, кроме тех видов документов, которые регламентированы технологическим процессом;

• сообщать кому-либо вне работы, что он является владельцем «секретного ключа ЭЦП» для данного технологического процесса.

Действия при компрометации ключей

Если у исполнителя появилось подозрение, что его персональная ключевая дискета попала или могла попасть в чужие руки (была скомпрометирована), он обязан немедленно прекратить (не возобновлять) работу с ключевой дискетой, сообщить об этом ответственному за информационную безопасность своего подразделения, сдать ему скомпрометированную ключевую дискету, соблюдая обычную процедуру с пометкой в журнале о причине компрометации, написать объяснительную записку о факте компрометации персональной ключевой дискеты на имя начальника подразделения.

В случае утери персональной ключевой дискеты исполнитель обязан немедленно сообщить от этом ответственному за информационную безопасность своего подразделения, написать объяснительную записку об утере дискеты на имя начальника подразделения и принять участие в служебном расследовании факта утери персональной ключевой дискеты.

Ответственный за информационную безопасность подразделения обязан немедленно оповестить о факте утраты или компрометации ключевой дискеты уполномоченному сотруднику ЦУКС, для принятия последним действий по блокированию ключей для ЭЦП указанного исполнителя.

По решению руководителя подразделения установленным порядком исполнитель может получить в ЦУКС новый комплект персональных ключевых дискет взамен скомпрометированного.

В случае перевода исполнителя на другую работу, увольнения и т. п. он обязан сдать (сразу по окончании последнего сеанса работы) свою персональную ключевую дискету ответственному за информационную безопасность своего подразделения под роспись в журнале учёта ключевых дискет. Последний обязан сразу же оповестить об этом уполномоченного сотрудника ЦУКС, для принятия действий по блокированию использования ЭЦП увольняемого исполнителя.

Права исполнителя

Исполнитель должен иметь право обращаться к ответственному за информационную безопасность своего подразделения за консультациями по вопросам использования ключевой дискеты и по вопросам обеспечения информационной безопасности технологического процесса.

Исполнитель имеет право требовать от ответственного за информационную безопасность своего подразделения и от своего непосредственного руководителя создания необходимых условий для выполнения перечисленных выше требований.

Исполнитель имеет право представлять свои предложения по совершенствованию мер защиты на своем участке работы.

Ответственность за нарушения

Для создания необходимой юридической основы процедур привлечения сотрудников к ответственности за нарушения в области ОИБ необходимо, чтобы:

• в Уставе организации, во всех положениях о структурных подразделениях и в функциональных (технологических) обязанностях всех сотрудников, участвующих в процессах автоматизированной обработки информации, были отражены требования по обеспечению информационной безопасности при работе в АС;

• каждый сотрудник (при приеме на работу) подписывал Соглашение-обязательство о соблюдении установленных требований по сохранению государственной, служебной и коммерческой тайны, а также об ответственности за нарушение правил работы с защищаемой информацией в АС;

• все пользователи, руководящий и обслуживающий персонал АС были ознакомлены с перечнем сведений, подлежащих защите, в части их касающейся (в соответствии со своим уровнем полномочий);

• доведение требовании организационно-распорядительных документов по вопросам ОИБ до лиц, допущенных к обработке защищаемой информации, осуществлялось руководителями подразделений под роспись.

Сотрудники организации несут ответственность по действующему законодательству за разглашение сведений, составляющих (государственную, банковскую, коммерческую) тайну, и сведений ограниченного распространения, ставших им известными по роду работы.

Любое грубое нарушение порядка и правил работы в АС сотрудниками структурных подразделении должно расследоваться. К виновным должны применяться адекватные меры воздействия.

Нарушения установленных правил и требований по ОИБ являются основанием для применения к сотруднику (исполнителю) административных мер наказания, вплоть до увольнения и привлечения к уголовной ответственности.

Мера ответственности сотрудников за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться с учетом нанесенного ущерба, наличия злого умысла и других факторов по усмотрению руководства.

Для реализации принципа персональной ответственности сотрудников за свои действия необходимы:

• индивидуальная идентификация сотрудников и инициированных ими процессов при работе в АС, т. е. установление за ними уникальных идентификаторов пользователей, на основе которых будет осуществлять разграничение доступа и регистрация событий;

• проверка подлинности соответствия пользователей и сотрудников (аутентификация) на основе паролей, ключей, специальных устройств, биометрических характеристик личности сотрудников и т. п.;

• регистрация (протоколирование) работы механизмов контроля доступа пользователей к ресурсам информационных систем с указанием даты и времени, идентификаторов пользователя и запрашиваемых им ресурсов, вида взаимодействия и его результата;

• оперативная реакция на попытки несанкционированного доступа (сигнализация, блокировка и т. д.).

Тема 10: Инструкции по организации парольной и антивирусной защиты

Инструкция по организации парольной защиты

Данная инструкция призвана регламентировать организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на сотрудников подразделения обеспечения безопасности информации (ПОБИ) - администраторов средств защиты, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.

Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:

·  длина пароля должна быть не менее установленной (обычно 6-8 символов);

·  в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т. п.);

·  пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов и т. д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т. п.);

·  при смене пароля новое значение должно отличаться от предыдущего не менее чем в заданном числе (например в 6-ти) позициях;

·  личный пароль пользователь не имеет права сообщать никому.

Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

В случае, если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченных сотрудников ПОБИ. Для генерации «стойких» значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления самих уполномоченных сотрудников ПОБИ, а также ответственных за информационную безопасность в подразделениях с паролями других сотрудников подразделений организации (исполнителей).

При наличии технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие (например, в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т. п.), такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами своих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения). Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для опечатывания конвертов (пеналов) должны применяться личные печати владельцев паролей (при их наличии у исполнителей), либо печать уполномоченного представителя службы обеспечения безопасности информации (ПОБИ).

Полная плановая смена паролей пользователей должна проводиться регулярно, например, не реже одного раза в месяц.

Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу внутри организации и т. п.) должна производиться администраторами соответствующих средств защиты в соответствии с «Инструкцией по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы» немедленно после окончания последнего сеанса работы данного пользователя с системой.

Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и т. п.) администраторов средств защиты и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой подсистем АС.

В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры по внеплановой смене паролей (в зависимости от полномочий владельца скомпрометированного пароля).

Хранение сотрудником (исполнителем) значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за информационную безопасность или руководителя подразделения в опечатанном личной печатью пенале (возможно вместе с персональными ключевыми дискетами и идентификатором Touch Memory ).

Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственных за информационную безопасность в подразделениях (руководителей подразделений), периодический контроль - возлагается на сотрудников ПОБИ - администраторов средств парольной защиты.

Инструкция по организации антивирусной защиты

Настоящая Инструкция определяет требования к организации защиты АС организации от разрушающего воздействия компьютерных вирусов и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих АС, за их выполнение.

К использованию в организации допускаются только лицензионные антивирусные средства, централизованно закупленные у разработчиков (поставщиков) указанных средств, рекомендованные к применению отделами автоматизации и безопасности информации.

В случае необходимости использования антивирусных средств, не вошедших в перечень рекомендованных, их применение необходимо согласовать с отделами автоматизации и безопасности информации.

Установка средств антивирусного контроля на компьютерах на серверах и рабочих станциях АС осуществляется уполномоченными сотрудниками отдела автоматизации в соответствии с «Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АС».

Настройка параметров средств антивирусного контроля осуществляется сотрудниками ОА в соответствии руководствами по применению конкретных антивирусных средств.

Применение средств антивирусного контроля

Антивирусный контроль всех дисков и файлов рабочих станций должен проводиться ежедневно в начале работы при загрузке компьютера (для серверов - при перезапуске) в автоматическом режиме.

Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных дисках, лентах, CD - ROM и т. п.). Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема на выделенном автономном компьютере или, при условии начальной загрузки операционной системы в оперативную память компьютера с заведомо "чистой" (не зараженной вирусами) и защищенной от записи системной дискеты, - на любом другом компьютере. Возможно применение другого способа антивирусного контроля входящей информации, обеспечивающего аналогичный уровень эффективности контроля. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).

Файлы помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.

Установка (изменение) системного и прикладного программного обеспечения осуществляется на основании «Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств автоматизированной системы организации».

Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера должна быть выполнена антивирусная проверка:

• на защищаемых серверах и PC - ответственным за обеспечение информационной безопасности подразделения;

• на других серверах и PC AC не требующих защиты, - лицом, установившим (изменившим) программное обеспечение, - в присутствии и под контролем руководителя данного подразделения или сотрудника, им уполномоченного.

Факт выполнения антивирусной проверки после установки (изменения) программного обеспечения должен регистрироваться в специальном журнале подразделения за подписью лица, установившего (изменившего) программное обеспечение, и лица, его контролировавшего.

Действия при обнаружении вирусов

При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т. п.) сотрудник подразделения самостоятельно или вместе с ответственным за обеспечение безопасности информации подразделения (технологического участка) должен провести внеочередной антивирусный контроль своей рабочей станции. При необходимости привлечь специалистов ОА для определения ими факта наличия или отсутствия компьютерного вируса.

В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов сотрудники подразделений обязаны:

• приостановить работу;

• немедленно поставить в известность о факте обнаружения зараженных вирусом файлов руководителя и ответственного за обеспечение информационной безопасности своего подразделения, владельца зараженных файлов, а также смежные подразделения, использующие эти файлы в работе;

• совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;

• провести лечение или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта привлечь специалистов ОА);

• в случае обнаружения нового вируса, не поддающегося лечению ' применяемыми антивирусными средствами, передать зараженный вирусом файл на гибком магнитном диске в ОА для дальнейшей отправки его в организацию, с которой заключен договор на антивирусную поддержку;

• по факту обнаружения зараженных вирусом файлов составить служебную записку в отдел обеспечения безопасности информации, в которой необходимо указать предположительный источник (отправителя, владельца и т. д.) зараженного файла, тип зараженного файла, характер содержащейся в файле информации, тип вируса и выполненные антивирусные мероприятия.

Ответственность

Ответственность за организацию антивирусного контроля в подразделении, эксплуатирующем подсистему АС, в соответствии с требованиями настоящей Инструкции возлагается на руководителя подразделения.

Ответственность за проведение мероприятий антивирусного контроля в подразделении и соблюдение требований настоящей Инструкции возлагается на ответственного за обеспечение безопасности информации и всех сотрудников подразделения, являющихся пользователями АС.

Периодический контроль за состоянием антивирусной защиты, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции сотрудниками подразделений организации осуществляется отделом службой обеспечения безопасности информации.

Тема 11: Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей АС

Допуск сотрудников подразделений к работе с автоматизированной системой и доступ к ее ресурсам должен быть строго регламентирован.

В рамках разрешительной системы (системы авторизации) допуска устанавливается:

• кто, кому, при каких условиях; к каким ресурсам АС и на какие виды доступа может давать разрешения;

·  система санкционирования и разграничения доступа, которая
предполагает определение для всех пользователей информационных и
программных ресурсов, доступных им для чтения, модификации,
удаления, выполнения и т. п.;

·  как реализуется процедура допуска.

Систему санкционирования доступа целесообразно строить на основе структурно-функционального (задачного) подхода к разделению всего множества защищаемых ресурсов АС Отдельная задача должна описывать все используемые при ее решении ресурсы (файлы, каталоги, таблицы БД и т. п.), все категории пользователей (роли в задаче) и права доступа для каждой такой категории к ресурсам задачи. Описания задач в виде формуляров должны формироваться с участием специалистов по сопровождению данных задач и системных администраторов (администраторов баз данных) и могут храниться в архиве эталонных дистрибутивов программ.

Полномочия руководителей соответствующих степеней давать разрешения на допуск к решению тех или иных задач должны быть закреплены решениями (приказами) высшего руководства организации. Как правило, задачи закрепляются за конкретными подразделениями, а права допуска сотрудников этих подразделений к ресурсам этих задач предоставляются руководителям подразделений.

Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно "Инструкции по внесениюизменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы", которой должны быть отражены следующие основные вопросы.

Правила именования пользователей

С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе с конкретной подсистемой АС, должно быть сопоставлено персональное уникальное имя (бюджет или учетная запись пользователя), под которым он будет регистрироваться и работать в системе. В случае производственной необходимости сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей).

Использование несколькими сотрудниками при работе в АС одного и того же имени пользователя ("группового имени") должно быть ЗАПРЕЩЕНО.

Все операции по ведению баз данных и допуск сотрудников подразделений к работе с этими базами данных должны производиться в соответствии с технологическими инструкциями. Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на специальных пользователей -администраторов баз данных.

Учетные записи всех пользователей должны быть "привязаны" к конкретным рабочим станциям (к номерам сетевых карт) или к сегменту сети (группе рабочих станций), закрепленных за конкретным подразделением организации. При этом могут использоваться как только штатные средства защиты СУБД и операционных систем, так и дополнительные средства зашиты.

Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в месяц.

Процедура авторизации сотрудников

Процедура регистрации (создания учетной записи) пользователя для сотрудника и предоставления ему (или изменения его) прав доступа к ресурсам АС инициируется заявкой начальника подразделения (отдела, сектора), в котором работает данный сотрудник. В заявке указывается:

• содержание запрашиваемых изменений (регистрация нового пользователя АС, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам АС ранее зарегистрированного пользователя);

• наименование подразделения, должность, фамилия, имя и отчество сотрудника;

• имя пользователя (учетной записи) данного сотрудника (при изменении полномочий и прав доступа);

• полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач на конкретных рабочих станциях АС). Наименования задач должны указываться в соответствии с формулярами задач, наименования рабочих станций (компьютеров) - в соответствии с формулярами этих рабочих станций.

Если полномочий непосредственного начальника недостаточно, заявку может визировать вышестоящий руководитель, утверждая тем самым производственную необходимость допуска (изменения прав доступа) конкретного сотрудника к необходимым для решения им указанных задач ресурсам АС.

Затем начальник отдела автоматизации и руководитель службы (начальник отдела) обеспечения безопасности информации рассматривают представленную заявку и подписывают задание соответствующим системным администраторам (серверов, баз данных) и администратору специальных средств защиты информации от несанкционированного доступа (СЗИ НСД) на внесение необходимых изменений в списки пользователей соответствующих подсистем.

На основании заявки (задания) системный администратор сети в соответствии с формулярами указанных задач (хранящихся в архиве эталонных дистрибутивов программ - АЭД), и документацией на средства защиты сетевых операционных систем производит необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам АС, включению его в соответствующие ролям задач группы пользователей и другие необходимые действия.

Аналогичные операции для систем управления базами данных (СУБД) выполняет администратор баз данных.

Администратор СЗИ НСД в соответствии с формулярами указанных задач и Руководством администратора системы защиты от НСД производит необходимые операции по регистрации нового пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора, например Touch Memory ) и прав доступа к ресурсам указанных в заявке рабочих станций, включению его в соответствующие задачам системные группы пользователей и другие необходимые операции.

После внесения изменений в списки пользователей администратор СЗИ НСД должен обеспечить соответствующие категориям защиты указанных рабочих станций настройки средств защиты. Проверка правильности настроек средств защиты должна осуществляться с участием сотрудника, ответственного за эксплуатацию конкретной рабочей станции, согласно "Порядка проверки работоспособности системы защиты после установки (обновления) программных средств АС и внесения изменений в спискипользователей".

По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписями исполнителей - системного администратора, администратора баз данных и администратора СЗИ НСД.

Сотруднику, зарегистрированному в качестве нового пользователя системы, под роспись сообщается имя соответствующего ему пользователя, выдается персональный идентификатор и личные ключевые дискеты (для работы в режиме усиленной аутентификации и работы со средствами криптографической защиты) и начальное(-ые) значение(-ия) пароля(-ей), которое(-ые) он обязан сменить при первом же входе в систему (при первом подключении к АС).

Исполненная заявка передается в подразделение и хранится в архиве у ответственного за информационную безопасность подразделения (при его отсутствии - у руководителя подразделения). Копии исполненных заявок могут находиться также в отделе автоматизации (у системных администраторов) и в службе обеспечения безопасности информации. Они могут впоследствии использоваться:

• для восстановления бюджетов и полномочий пользователей после аварий в АС;

• для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам системы при разборе конфликтных ситуаций;

• для проверки правильности настройки средств разграничения доступа к. ресурсам системы.

Тема 12: Документы, регламентирующие порядок изменения конфигурации аппаратно-программных средств АС

Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация (с которых возможен доступ к защищаемым ресурсам), должна соответствовать кругу возложенных на сотрудников - пользователей данного АРМ функциональных обязанностей. В соответствии с принципом «минимизации полномочий» все неиспользуемые в работе (лишние) устройства ввода - вывода информации на таких АРМ должны быть отключены (удалены), ненужные для работы программные средства и данные с дисков АРМ также должны быть удалены.

Все аппаратные и программные ресурсы защищенных компьютеров должны быть установленным порядком категорированы (для каждого ресурса должен быть определен требуемый уровень защищенности). Подлежащие защите ресурсы системы (информационные файлы, задачи, программы, АРМ) подлежат учету (на основе использования соответствующих формуляров или специализированных баз данных).

Все программное обеспечение (разработанное специалистами организации, полученное централизованно или приобретенной у фирм-производителей) должно установленным порядком проходить испытания и передаваться в фонд алгоритмов и программ (архив эталонных дистрибутивов - АЭД). В подсистемах АС должны устанавливаться и использоваться только полученные установленным порядком из АЭД программные средства Использование в АС ПО, неучтенного в АЭД, должно быть запрещено.

На всех АРМ, подлежащих защите, должны быть установлены необходимые технические средства защиты (соответствующие категории данных АРМ).

Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами).

Обеспечение и контроль физической целостности и неизменности конфигурацииаппаратных ресурсов АС

Физическая охрана объектов информатизации (компонентов компьютерных систем) включает:

·  организацию системы охранно-пропускного режима и системы контроля
допуска на объект;

·  введение дополнительных ограничений по доступу в помещения,
предназначенные для хранения закрытой информации (кодовые и
электронные замки, карточки допуска и т. д.);

·  визуальный и технический контроль контролируемой зоны объекта
защиты;

·  применение систем охранной и пожарной сигнализации.

Узлы и блоки оборудования СВТ, к которым доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к их монтажным схемам должны закрываться и опечатываться (пломбироваться) сотрудниками службы обеспечения безопасности информации. О вскрытии (опечатывании) блоков ПЭВМ делается запись в «Журнале учета нештатных ситуаций, фактов вскрытия и опечатывания блоков ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств АРМ подразделения».

Повседневный контроль за целостностью и соответствием печатей (пломб) на системных блоках ПЭВМ должен осуществляться пользователями АРМ и ответственными за безопасность информации подразделений. Периодический контроль - сотрудниками службы обеспечения безопасности информации.

Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС

Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств существующих АРМ в АС должны осуществляться только установленным порядком согласно "Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АРМ АС'.

Эта инструкция призвана регламентировать функции и взаимодействия подразделений организации по обеспечению безопасности при проведении модификаций и обслуживании программного обеспечения и технических средств АС, и должна содержать следующие положения.

Все изменения конфигурации технических и программных средств защищенных рабочих станций ( PC ) и серверов (различных уровней защищенности в соответствии с "Положением о категорировании ресурсов АС ") должны производиться только на основании заявок начальников структурных подразделений организации либо заявок начальника отдела автоматизации (ОА), согласованных с руководителем службы (начальником отдела) обеспечения безопасности информации (ОБИ).

Право* внесения изменений в конфигурацию аппаратно-программных средств защищенных рабочих станций и серверов АС должно быть предоставлено уполномоченным сотрудникам (могут быть отданы соответствующими приказами) определенных подразделений:

• в отношении системных и прикладных программных средств, а также в отношении аппаратных средств - уполномоченным сотрудникам отдела автоматизации;

• в отношении программно-аппаратных средств защиты - уполномоченным сотрудникам службы ОБИ;

• в отношении программно-аппаратных средств телекоммуникации - уполномоченным сотрудникам службы (отдела) связи (телекоммуникации).

Изменение конфигурации аппаратно-программных средств защищенных рабочих станций и серверов кем-либо, кроме уполномоченных сотрудников перечисленных подразделений, должно быть ЗАПРЕЩЕНО.

Право внесения изменений в конфигурацию аппаратно-программных средств PC AC организации, не требующих защиты, может быть предоставлено как сотрудникам отдела автоматизации (на основании заявок), так и сотрудникам подразделений, в которых они установлены, на основании распоряжений начальников данных подразделений.

Процедура внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций

Процедура внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и PC системы может инициироваться либо заявкой начальника данного подразделения, либо заявкой начальника ОА.

Заявка руководителя подразделения, в котором требуется произвести изменения конфигурации PC, оформляется на имя начальника ОА. Производственная необходимость проведения указанных в заявке изменений может подтверждаться подписью вышестоящего руководителя.

Заявка руководителя подразделения автоматизации, которое отвечает за плановое развитие АС и проведение изменений (обновлений версий) ПО, оформляется на имя руководителя структурного подразделения (подразделений), использующего (использующих) подсистему АС, требующую модификации. Производственная необходимость проведения указанных в заявке изменений может подтверждаться подписью вышестоящего руководителя.

В заявках могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств рабочих станций и серверов подразделения:

• установка в подразделении новой ПЭВМ (развертывание новой PC или сервера);

• замена ПЭВМ ( PC или сервера подразделения);

• изъятие ПЭВМ ( PC или сервера подразделения);

• добавление устройства (узла, блока) в состав конкретной PC или сервера подразделения;

• замена устройства (узла, блока) в составе конкретной PC или сервера подразделения;

• изъятие устройства (узла, блока) из состава конкретной PC или сервера;

• установка (развертывание) на конкретной PC или сервера программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи на данной PC или сервере);

• обновление (замена) на конкретной PC или сервере программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ);

• удаление с конкретной PC или сервера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данной PC ).

В заявке должны указываться условные наименования развернутых PC и серверов в соответствии с их формулярами. В случае развертывания новой PC ее наименование в заявке указывать не требуется (оно должно устанавливается позднее при заполнении формуляра новой PC ). Наименования задач указываются в соответствии с формулярами задач или перечнем задач архива эталонных дистрибутивов (АЭД) ОА, которые можно решать с использованием АС.

Заключение о технической возможности осуществления затребованных изменений выдается специалистами ОА (на основании формуляров задач и формуляров соответствующих PC или серверов).

Заключение о возможности совмещения решения новых задач (обработки информации) на указанных в заявке PC или серверах в соответствии с требованиями по безопасности выдается специалистами службы ОБИ, которым заявка передается на согласование (одновременно с этим производится определение новых категорий защищенности указанных PC или серверов).

После чего заявка передается в ОА для непосредственного исполнения работ по внесению изменений в конфигурацию PC или серверов АС организации.

Ответственный за информационную безопасность в подразделении (при его отсутствии - руководитель подразделения) допускает уполномоченных исполнителей к внесению изменений в состав аппаратных средств и программного обеспечения только по предъявлении последними утвержденной заявки на осуществление данных изменений.

Установка, изменение (обновление) и удаление системных и прикладных программных средств производится уполномоченными сотрудниками ОА. Если PC или сервер относится к защищаемым рабочим станциям, то установка, снятие, и внесение необходимых изменений в настройки средств защиты от НСД и средств контроля целостности файлов на PC осуществляется уполномоченными сотрудниками службы ОБИ (администраторами специальных средств защиты). Работы производятся в присутствии ответственного за информационную безопасность подразделения и пользователя данной PC.

Установка или обновление подсистем АС должны проводиться в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.

Модификация ПО на подлежащих защите серверах осуществляется уполномоченными сотрудниками ОА обязательно в присутствии уполномоченного сотрудника службы ОБИ. После установки модифицированных модулей на сервер сотрудник службы ОБИ в присутствии сотрудников ОА должен настроить средства контроля целостности модулей на сервере (произвести пересчет контрольных сумм эталонов модулей).

Все добавляемые программные и аппаратные компоненты должны быть предварительно установленным порядком проверены на работоспособность, а также отсутствие опасных функций. До и после проведения модификации ПО на рабочих станциях и серверах сотрудник ОА может проводить антивирусный контроль, если это оговорено в соответствующей «Инструкции по антивирусной защите».

Установка и обновление общего ПО (системного, тестового и т. п.) на рабочие станции и сервера должны производится с оригинальных лицензионных дистрибутивных носителей (дискет, компакт дисков и т. п.), полученных установленным порядком, либо с эталонных копий программных средств, полученных из АЭД (при реализации сетевого архива эталонных дистрибутивов программ - из него).

При необходимости (в случае установки части компонент на дисках сетевых серверов) к работам привлекаются администраторы сети (серверов) и администраторы баз данных.

Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера также должна быть выполнена антивирусная проверка.

После установки (обновления) ПО администратор СЗИ НСД (возможно также администраторы серверов и баз данных) должен произвести настройку средств управления доступом к компонентам данной задачи (программного средства) в соответствии с ее (его) формуляром и совместно с сотрудником ОА и пользователем PC должен проверить работоспособность ПО и правильность настройки средств защиты.

После завершения работ по внесению изменений в состав аппаратных средств защищенной PC ее системный блок должен закрываться сотрудником ОА на ключ (при наличии штатных механических замков) и опечатываться (пломбироваться, защищаться специальной наклейкой) сотрудником службы ОБИ.

Уполномоченные исполнители работ от ОА и службы ОБИ должны произвести соответствующую запись в «Журнале учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств PC подразделения», а также сделать отметку о выполнении задания на модификацию (на обратной стороне заявки).

Формат записей Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств PC подразделения следующий:

При изъятии PC из состава рабочих станций подразделения, ее передача на склад, в ремонт или в другое подразделение для решения иных задач осуществляется только после того, как специалист службы ОБИ снимет с данной ПЭВМ средства защиты и предпримет необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера оформляется актом за подписью ответственного за информационную безопасность в подразделении.

Допуск новых пользователей к решению задач с использованием, вновь развернутого ПО (либо изменение их полномочий доступа) осуществляется согласно «Инструкции по внесению изменений в списки пользователей системы и наделению пользователей полномочиями доступа к ресурсам АС».

Оригиналы заявок (документов), на основании которых производились изменения в составе технических или программных средств PC с отметками о внесении изменений в состав аппаратно-программных средств должны храниться вместе с оригиналами формуляров PC и «Журналом учета...» в подразделении (у ответственного за информационную безопасность или руководителя подразделения).

Копии исполненных заявок и актов могут храниться в службе ОБИ и в ОА. Они могут использоваться:

• для восстановления конфигурации PC после аварий;

• для контроля правомерности установки на конкретной PC средств для решения соответствующих задач при разборе конфликтных ситуаций;

• для проверки правильности установки и настройки средств защиты PC.

Экстренная модификация (обстоятельства форс-мажор)

В исключительных случаях (перечень которых должен определяться руководством организации), требующих безотлагательного изменения ПО и модификации ТС, сотрудник ОА ставит в известность руководство ОА и службы ОБИ (в случае их отсутствия - дежурного сотрудника службы ОБИ и пользователя PC ) о необходимости такого изменения для получения соответствующего разрешения (перечень лиц, которым предоставлено право разрешать выполнение форс-мажорных работ также должен определяться руководством организации).

Факт внесения изменений в ПО и ТС защищенных рабочих станций и серверов фиксируется актом за подписями ответственного за информационную безопасность в подразделении и пользователя данной PC, сотрудников ОА и службы ОБИ. В акте указывается причина модификации, перечисляются файлы, подвергшиеся изменению, и указывается лица, принявшие решение на проведение работ и лиц, проводивших эти работы. Факт модификации ПО и корректировки настроек системы защиты фиксируется в «Журнале учета нештатных ситуаций...» того подразделения, в котором установлены PC (сервера).

В течение следующего дня после составления акта руководством ОА и службы ОБИ при участии сотрудников подразделений выясняются причины и состав проведенных экстренных изменений и принимается решение о необходимости подготовки исправительной модификации ПО или восстановления ПО PC (сервера) с эталонной копии (из АЭД). Результат разбирательства оформляется в виде согласованного решения и хранится в ОА, копии передаются в службу ОБИ и в подразделение.

Тема 13: Основные задачи подразделения обеспечения информационной безопасности

Организационная структура, основные функции службы компьютерной безопасности

Для непосредственной организации (построения) и эффективного функционирования комплексной системы защиты информации в АС может быть (а на государственных предприятиях и при больших объемах защищаемой информации - должна быть) создана специальная служба обеспечения безопасности информации (служба компьютерной безопасности).

Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее нормального функционирования.

На это подразделение целесообразно возложить решение следующих основных задач:

·  определение требований к системе защиты информации, ее носителей и
процессов обработки, разработка политики безопасности;

·  организация мероприятий по реализации принятой политики
безопасности, оказание методической помощи и координация работ по
созданию и развитию комплексной системы защиты;

·  контроль за соблюдением установленных правил безопасной работы в
АС, оценка эффективности и достаточности принятых мер и
применяемых средств защиты.

Основные функции службы заключаются в следующем:

·  формирование требований к системе защиты при создании и развитии АС;

·  участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

·  планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;

·  обучение пользователей и персонала АС правилам безопасной обработки информации и обслуживания компонентов АС;

·  распределение между пользователями необходимых реквизитов доступа к ресурсам АС;

·  контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

·  взаимодействие с ответственными за безопасность информации в подразделениях;

·  регламентация действий и контроль за администраторами баз данных,
серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т. п. средств разграничения доступа и других средств защиты информации);

• принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты;

• наблюдение за работой системы защиты и ее элементов и организация проверок надежности их функционирования.

Организационно-правовой статус службы обеспечения безопасности информации определяется следующим образом:

• служба должна подчиняться тому лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;

• сотрудники службы должны иметь право доступа во все помещения, где установлены технические средства АС, и право требовать от руководства подразделений прекращения автоматизированной обработки информации при наличии непосредственной угрозы для защищаемой информации;

Из за большого объема эта статья размещена на нескольких страницах: 1 2 3 4 5 6 7 8 9