Меры обеспечения информационной безопасности
Система мер обеспечения информационной безопасности объектов финансовой системы базируется на моделях их защиты. Модель защиты должна описывать процессы, связанные с уязвимостями объекта информационной безопасности, формированием элементов обороны ОИБ (структуры, функций, алгоритмов действия), выбора необходимых средств защиты и механизмов обратной связи МОИБ. Модель защиты не должна противоречить принципам, на которых в последствии будет строиться система защиты, включая принципы системности; непрерывности защиты; разумной достаточности; гибкости управления и применения; открытости алгоритмов и механизмов защиты; простоты применения защитных мер и средств. С позиций больших систем процессы составления модели защиты должны включать описание структурного представления и функционирования защиты в виде системы защиты информации (СЗИ) в соответствии с установленными требованиями ИБ. В состав СЗИ информационных комплексов финансовой системы должны входить следующие программно-технические компоненты: - управления доступом; - регистрации и учета; - криптографической защиты; - обеспечения целостности; - антивирусной защиты; - сохранности (резервного копирования и восстановления) данных; - мониторинга событий информационной безопасности; - анализа защищенности информационных систем и ресурсов; - обнаружения несанкционированной активности; - управления информационной безопасности. К компонентам (модулям) СЗИ предъявляются следующие требования. А). Требования по управлению доступом: - должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов; - должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам; - должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам; - должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа. Набор атрибутов объектов и субъектов доступа, необходимый для предоставления доступа к каждому отдельному инфраструктурному или информационному ресурсу, определяется на стадии технического проектирования защиты информации и, как минимум, должен включать в себя идентификаторы вида: логическое имя, пароль, цифровой сертификат и атрибуты доступа (чтение, запись, исполнение и др.). Передача идентификационных параметров должна осуществляться по защищенному каналу связи. Б). Требования по регистрации и учету: - должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. Примечание: В параметрах регистрации указываются: - дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; - результат попытки входа: успешная или неуспешная - несанкционированная; - идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа; - код или пароль, предъявленный при неуспешной попытке; - должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. Примечание: В параметрах регистрации указываются: дата и время выдачи ( обращения к подсистеме вывода); спецификация устройства выдачи [логическое имя (номер) внешнего устройства]; краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа; идентификатор субъекта доступа, запросившего документ; - должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. Примечание: В параметрах регистрации указываются: дата и время запуска; имя (идентификатор) программы (процесса, задания); идентификатор субъекта доступа, запросившего программу (процесс, задание); результат запуска (успешный, неуспешный - несанкционированный); - должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. Примечание: В параметрах регистрации указываются: дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная; идентификатор субъекта доступа; спецификация защищаемого файла; - должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. Примечание: В параметрах регистрации указываются: - дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная; - идентификатор субъекта доступа; - спецификация защищаемого объекта [логическое имя (номер)]; - должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку); - учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема); - должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов). В).Требования по криптографической защите: - Шифрование и расшифрование потоков взаимодействия объектов АС; - Реализация заданной политики безопасности для защищенных соединений; - Обеспечивать возможность загрузки ключевой информации со специальных носителей; - Функционировать в прозрачном для пользователей и прикладных систем режиме. Средства криптографической защиты должны удовлетворять требованиям нормативных документов системы уполномоченных удостоверяющих центров органов исполнительной власти города Москвы при их реализации в ИСиР типа систем, предусматривающих обмен электронным документами с ЭЦП уполномоченными лицами. Г). Требования по обеспечению целостности: - должна быть обеспечена целостность программных средств объекта защиты, а также неизменность программной среды. При этом: - целостность объекта защиты проверяется при загрузке системы по контролируемым суммам компонент защиты; - целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации; - должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время; - должно проводиться периодическое тестирование функций защиты объекта защиты при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД; - должны быть в наличии средства восстановления объекта защиты, предусматривающие ведение двух копий программных средств защиты от НСД и их периодическое обновление и контроль работоспособности. Д). Требования по антивирусной защите: - должны применяться только официально приобретенные средства антивирусной защиты. Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах АС должны осуществляться администраторами АС; - должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности технологических процессов обработки информации комплексов городского хозяйства и территориального управления. Особое внимание должно быть уделено антивирусной фильтрации трафика электронного почтового обмена. Лучшей практикой является построение эшелонированной централизованной системы антивирусной защиты, предусматривающей использование средств антивирусной защиты различных производителей и их раздельную установку на рабочих станциях, почтовых серверах и межсетевых экранах; - отключение или не обновление антивирусных средств не допускается. Установка и обновление антивирусных средств в организации должны контролироваться представителями подразделений (лицами) в организации, ответственными за обеспечение ИБ. Е). Требования по сохранности данных: - выполнять резервное копирование и оперативное восстановление информации баз данных ИСиР; - создавать сценарии резервного копирования и восстановления баз данных ИСиР; -·вести журнал транзакций, документирование и архивирование информации по работе средств сохранности; - процедуры резервного копирования, восстановления должны основываться на ведении циклически перезаписываемых нескольких (не менее трёх типов) наборов копий, в т.ч. территориально разнесенных (при обосновании). Временные характеристики резервного копирования, восстановления с обеспечением возможности создания как минимум ежедневно одного из видов набора копий, обоснование территориального разнесения и порядка использования резервных (страховочных) копий проводится на этапе проектирования ИСиР. Ж) Требования по анализу защищенности информационных систем и ресурсов: - выявлять уязвимости на основе имеющихся в базе данных сигнатур; - реализовать регламент сканирования, включающего периодичность сканирования, использование правил и параметров сканирования, режимов; - формировать подробные рекомендации по устранению найденных уязвимостей; - формировать оценки степени критичности выявленных уязвимостей. З). Требования по обнаружению несанкционированной активности: - осуществлять обнаружение несанкционированной активности на сетевом, системном и прикладном уровнях; - обнаружение атак на информационные ресурсы на основе сравнения текущего состояния систем (сетевой активности, системных и прикладных журналов аудита и др.) с сигнатурами атак; - возможность прекращения несанкционированной активности; - регистрировать зафиксированные несанкционированные действия, в том числе дата и время события, тип события, идентификатор субъекта, приоритет события; - удаленное обновление базы данных сигнатур атак; - обеспечение доступа к базе данных зафиксированных событий, включая возможность поиска, сортировки, упорядочения записей протоколов, основанный на заданных критериях; - обеспечение уведомления администратора о фактах несанкционированной сетевой активности (локально и удаленно); - разграничение прав доступа операторов и администраторов к различным компонентам системы. И). Требования по управлению информационной безопасностью: - определять порядок организации и выполнения работ по защите информации; - определять должностные обязанности, права и степень ответственности сотрудников подразделения информационной безопасности; - - формировать профили пользователей на основе нормативного и организационного обеспечения базового уровня ИБ; - должна определять порядок физической защиты технических средств. При планировании мероприятий следует учитывать характер мер защиты, которые можно разделить на превентивные и восстановительные. Превентивные меры противодействия угрозам безопасности на объектах финансовой системы должны осуществляться на основе эффективного применения комплекса организационных, технических и технологических мероприятий, а также методов и средств обеспечения функциональной устойчивости и безопасной работы информационных систем. Требования по формированию восстановительных мер определяются системой документов, разрабатываемых с учетом специфики организации – владельца объекта информационной безопасности и ее возможности по заблаговременной подготовке к возможным нарушениям, угрожающим штатному функционирования системы, имеющиеся средства для восстановления работоспособности объекта безопасности. В таблице 3 приведен состав мер противодействия значимым угрозам, характерным для многих объектов информационной безопасности финансовой системы.
Популярное: Генезис конфликтологии как науки в древней Греции: Для уяснения предыстории конфликтологии существенное значение имеет обращение к античной... Модели организации как закрытой, открытой, частично открытой системы: Закрытая система имеет жесткие фиксированные границы, ее действия относительно независимы... Почему стероиды повышают давление?: Основных причин три... Организация как механизм и форма жизни коллектива: Организация не сможет достичь поставленных целей без соответствующей внутренней... ©2015-2020 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (2404)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |