Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Политика безопасности предприятия.



Политика безопасности — это организационно-правовой и технический документ. При ее составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла. Принцип разумной достаточности означает, что затраты на обеспечение безопасности информации должны быть никак не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Политика безопасности включает в себя:

- ответственные лица за безопасность функционирования фирмы;

- полномочия и ответственность отделов и служб в отношении безопасности;

- организация допуска новых сотрудников и их увольнения;

- правила разграничения доступа сотрудников к информационным ресурсам;

- организация пропускного режима, регистрации сотрудников и посетителей;

- использование программно-технических средств защиты;

 

2. Основные архитектуры построения систем управления информационной безопасностью.

при построении СУИБ мы используем три уровня:

 Процессы стратегического уровня — управление рисками, управление непрерывностью работы, разработка и развитие политики ИБ верхнего уровня.

 Тактические процессы — разработка и развитие процедур ИБ, технической архитектуры системы ИБ, классификация ИТ-ресурсов, мониторинг и управление инцидентами и другие.

 Процессы операционного уровня — управление доступом, управление сетевой безопасностью, проверка соответствия и др.

Определяются взаимосвязи процессов. В результате мы получаем трехуровневую процессно-сервисную модель системы управления ИБ, соответствующую требованиям стандарта ISO 27001, на которую накладывается ролевая модель.

Модель СУИБ формализуется в едином комплексе нормативных документов. В этот комплекс входят следующие основные документы.

 Концепция обеспечения ИБ.

 Политика информационной безопасности

 Положение об информационной безопасности компании.

 План обеспечения непрерывной работы и восстановления работоспособности информационной системы в кризисных ситуациях

 Правила работы с защищаемой информацией.

 Журнал учета нештатных ситуаций.

 План защиты информационных систем компании.

 Положение о правах доступа к информации.

 Инструкция по внесению изменений в списки пользователей и наделению пользователей полномочиями доступа к информационным ресурсам компании.

 Инструкция по внесению изменений в состав и конфигурацию технических и программных средств информационных систем.

 Инструкция по работе сотрудников в сети Интернет.

 Инструкция по организации парольной защиты.

 Инструкция по организации антивирусной защиты.

 Инструкция пользователю информационных систем по соблюдению режима информационной безопасности.

 Инструкция администратора безопасности сети

 Аналитический отчет о проведенной проверке системы информационной безопасности.

 Требования к процессу разработки программного продукта.

 Положение о распределении прав доступа пользователей информационных систем.

 Положение по учету, хранению и использованию носителей ключевой информации.

 План обеспечения непрерывности работы организации (непрерывности ведения бизнеса).

 Положение по резервному копированию информации.

 Методика проведения полного анализа и управления рисками, связанными с нарушениями информационной безопасности.

Инфраструктура открытых ключей. Цифровые сертификаты

Для подтверждения подлинности открытых ключей создается инфраструктура открытых ключей (англ. Public Key Infrastructure, сокр. PKI). PKI представляет собой набор средств, мер и правил, предназначенных для управления ключами, политикой безопасности и обменом защищенными сообщениями.

Для простоты последующего изложения, будем представлять сеть в виде совокупности удостоверяющих центров (другое название -центр сертификации, от англ. Certification Authority, сокр. - CA) и пользователей. Центр сертификации - абонент, которому доверено право удостоверять своей подписью сертификаты, связывающие открытые ключи абонентов с их идентификационной информацией. Сами центры сертификации тоже получают сертификаты своих ключей у центров более высокого уровня.

Таким образом, центры сертификации и пользователи формируют древовидную иерархическую структуру. В вершине этого дерева находится корневой центр сертификации. Его особенность заключается в том, что он использует самоподписанный сертификат, т.е. сам заверяет свой ключ.

Наибольшее распространение получили цифровые сертификаты, формат которых определен стандартом X.509.

Номер версии содержит числовое значение, соответствующее номеру версии (для сертификата версии 1 равен 0 и т.д.). В первой версии X.509 не было уникальных номеров (" ID Изготовителя", " ID Субъекта" ) и полей расширения. Во второй версии добавились указанные идентификаторы, в третьей - расширения.

Серийный номер - уникальный номер, присваиваемый каждому сертификату.

Алгоритм подписи - идентификатор алгоритма, используемого при подписании сертификата. Должен совпадать с полем Алгоритм ЭЦП.

Изготовитель - имя центра сертификации, выдавшего сертификат. Записывается в формате Relative Distinguished Name - RDN (варианты перевода названия - " относительное отдельное имя", " относительное характерное имя" ). Данный формат используется в службах каталога, в частности, в протоколе LDAP.

Период действия - описывает временной интервал, в течение которого центр сертификации гарантирует отслеживание статуса сертификата (сообщит абонентам сети о факте досрочного отзыва сертификата и т.д.). Период задается датами начала и окончания действия.

Открытый ключ - составное поле, содержащее идентификатор алгоритма, для которого предназначается данный открытый ключ, и собственно сам открытый ключ в виде набора битов.

ID Изготовителя и ID Субъекта содержат уникальные идентификаторы центра сертификации и пользователя (на случай совпадения имен различных CA или пользователей).

Расширения - дополнительный атрибут, связанный с субъектом, изготовителем или открытым ключом, и предназначенный для управления процессами сертификации. Более подробно он описан ниже.

Алгоритм электронной цифровой подписи (ЭЦП) - идентификатор алгоритма, используемый для подписи сертификата. Должен совпадать со значением поля Алгоритм подписи.

ЭЦП - само значение электронно-цифровой подписи для данного сертификата.

 

Билет 8

Органы защиты ГТ.

К органам защиты государственной тайны относятся:

- межведомственная комиссия по защите государственной тайны - является коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию законодательства Российской Федерации о государственной тайне

- ФОИВ, уполномоченный в области обеспечения безопасности, ФОИВ, уполномоченный в области обороны, ФОИВ, уполномоченный в области внешней разведки, ФОИВ, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы организуют и обеспечивают защиту государственной тайны в соответствии с функциями, возложенными на них законодательством Российской Федерации.

- ОГВ, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.

является коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию законодательства Российской Федерации о государственной тайне обеспечивают защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции.

2. Аудит состояния информационной безопасности на объектах информатизации.

Под аудитом безопасности понимается системный процесс получения и оценки объективных данных о текущем состоянии обеспечения безопасности на объектах информатизации, действиях и событиях, происходящих в информационной системе, определяющих уровень их соответствия определенному критерию.

прежде чем решить, как и от кого защищать информацию, необходимо уяснить реальное положение в области обеспечения безопасности информации на предприятии и оценить степень защищенности информационных активов. Для этого проводится комплексное обследование защищенности ИС (или аудит безопасности), основанные на выявленных угрозах безопасности информации и имеющихся методах их парирования, результаты которого позволяют:

§ оценить необходимость и достаточность принятых мер обеспечения безопасности информации;

§ сформировать политику безопасности;

§ правильно выбрать степень защищенности информационной системы;

§ выработать требования к средствам и методам защиты;

§ добиться максимальной отдачи от инвестиций в создание и обслуживание

Цель проведения аудита безопасности получение объективных данных о текущем состоянии обеспечения безопасности информации на объектах ИС, позволяющих провести минимизацию вероятности причинения ущерба собственнику информационных активов в результате нарушения конфиденциальности, целостности или доступности информации, подлежащей защите, за счет получения несанкционированного доступа к ней, а также выработка комплекса мер, направленных на повышение степени защищенности информации ограниченного доступа. Методологическое обследование процессов, методов и средств обеспечения безопасности информации при выполнении ИС своего главного предназначения – информационное обеспечение бизнеса. Причем предполагается, что ИС является оптимальной для решения бизнес-задач.

 

Межсетевые экраны

Межсетевые экраны (firewall, брандмауэр) делают возможной фильтрацию входящего и исходящего трафика, идущего через систему. Межсетевой экран использует один или более наборов < < правил> > для проверки сетевых пакетов при их входе или выходе через сетевое соединение, он или позволяет прохождение трафика или блокирует его. Правила межсетевого экрана могут проверять одну или более характеристик пакетов, включая, но не ограничиваясь типом протокола, адресом хоста источника или назначения и портом источника или назначения.

Используются для:

Для защиты и изоляции приложений, сервисов и машин во внутренней сети от нежелательного трафика, приходящего из внешней сети интернет.

Для ограничения или запрещения доступа хостов внутренней сети к сервисам внешней сети интернет.

Для поддержки преобразования сетевых адресов (network address translation, NAT), что дает возможность задействовать во внутренней сети приватные IP адреса и совместно использовать одно подключение к сети Интернет (либо через один выделенный IP адрес, либо через адрес из пула автоматически присваиваемых публичных адресов).

Существует два основных способа создания наборов правил межсетевого экрана: < < включающий> > и < < исключающий> >. Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил. Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам и блокирует все остальное.

 

Билет 9

1. Организация и порядок проведения специальных экспертиз предприятий.

Специальная экспертиза предприятия проводится путем проверки выполнения требований нормативно-методических документов по режиму секретности, противодействию иностранным техническим разведкам и защите информации от утечки по техническим каналам, а также соблюдения других условий, необходимых для получения лицензии.

Государственными органами, ответственными за организацию и проведение специальных экспертиз предприятий, являются Федеральная служба безопасности Российской Федерации, Федеральная служба по техническому и экспортному контролю, Служба внешней разведки Российской Федерации, Министерство обороны Российской Федерации, другие министерства и ведомства Российской Федерации и Государственная корпорация по атомной энергии " Росатом", руководители которых наделены полномочиями по отнесению к государственной тайне сведений в отношении подведомственных им предприятий.

Организация и порядок проведения специальных экспертиз предприятий определяются инструкциями, которые разрабатываются указанными государственными органами и согласовываются с Межведомственной комиссией.

Для проведения специальных экспертиз эти государственные органы могут создавать аттестационные центры, а также привлекать в установленном порядке предприятия, которые получают лицензии на проведение работ, связанных с использованием сведений, составляющих государственную тайну, а также на осуществление мероприятий и (или) оказание услуг по защите государственной тайны. Требования к данным предприятиям (аттестационным центрам) определяются органами, уполномоченными на ведение лицензионной деятельности.

Специальные экспертизы предприятий (аттестационных центров) проводят Федеральная служба безопасности Российской Федерации, Федеральная служба по техническому и экспортному контролю, Служба внешней разведки Российской Федерации, Министерство обороны Российской Федерации и их органы на местах (в пределах их компетенции).

Специальные экспертизы проводятся на основе договора между предприятием и органом, проводящим специальную экспертизу. Расходы по проведению специальных экспертиз относятся на счет предприятия.

2. Технические методы защиты информации от несанкционированного доступа

Несанкционированный доступ – чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий.

Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов устройств, использованием информации, оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи.

Основные типовые пути несанкционированного получения информации:

· хищение носителей информации и производственных отходов;

· перехват электронных излучений;

· перехват акустических излучений;

· дистанционное фотографирование;

· применение подслушивающих устройств;

· злоумышленный вывод из строя механизмов защиты и т.д..

Для защиты информации от несанкционированного доступа применяются:

1) организационные мероприятия;

2) технические средства;

3) программные средства;

4) щифрование.

Организационные мероприятия включают в себя:

· пропускной режим;

· хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т.д.);

· ограничение доступа лиц в компьютерные помещения и т.д..

Технические средства включают в себя:

· фильтры, экраны на аппаратуру;

· ключ для блокировки клавиатуры;

· устройства аутентификации – для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.д.;

· электронные ключи на микросхемах и т.д.

Программные средства включают в себя:

· парольный доступ – задание полномочий пользователя;

· блокировка экрана и клавиатуры с помощью комбинации клавиш в утилите Diskreet из пакета Norton Utilites;

· использование средств парольной защиты BIOS – на сам BIOS и на ПК в целом и т.д.

 

3.

Билет 10


Поделиться:



Популярное:

Последнее изменение этой страницы: 2016-08-24; Просмотров: 865; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.031 с.)
Главная | Случайная страница | Обратная связь