Задачи, направления и основные мероприятия защиты в ГУ-УПФР

 

В качестве задач защиты информации в ГУ-УПФР определяется обеспечение или сохранение каждой из её характеристик безопасности, которые определены Концепцией безопасности информации автоматизированной информационной системы ПФР, а именно конфиденциальности, целостности, аутентичности (легитимности) и доступности данных.

Решение указанных задач по обеспечению характеристик безопасности организуется и реализуется по следующим направлениям:

Санкционирование доступа к ресурсам (конфиденциальность, целостность, доступность, аутентичность);

Криптографическая защита (конфиденциальность, аутентичность);

Защита от вредоносных программ (конфиденциальность, целостность, доступность);

Резервное копирование информационных ресурсов (целостность, доступность);

Мониторинг состояния ресурсов (анализ эффективности защиты и разработка направлений её совершенствования).

Каждое из этих направлений защиты обеспечивает в той или иной мере если не все, то несколько характеристик безопасности информации.

Санкционирование доступа:

- допуск к работе с ресурсами (перечень ресурсов; таблица допуска к ресурсам; списки лиц, допущенных к ПДн и сведениям о ПСВ);

Санкция на вход в систему (пароль, загрузка только с НМЖД, минимизация прав пользователя, опечатывание системного блока, доверенная загрузка);

Санкция на доступ к сетевым ресурсам (пароль, сертификат);

Безопасное хранение аутентифицирующих данных (электронные ключи);

Блокирование портов ввода-вывода (программное или механическое).

Санкционирование доступа к ресурсам, то есть исключение несанкционированного доступа организуется на всех этапах доступа к информации: от получения средства такого доступа (включения компьютера) до непосредственного предоставления информации.

Так уж повелось, что конфиденциальность в мире компьютеров в первую очередь держится на авторизированном доступе (через пару логин/пароль). А качество конфиденциальности и защиты информации непосредственно зависит от того, какие используются пароли, а также где и как они хранятся.

При выборе пароля важно решить три вопроса: размер пароля; устойчивость пароля к несанкционированному доступу; способ его применения.

Метод паролей характеризуется простотой реализации и использования и низкой стоимостью. Пароль - это строка символов, которую пользователь должен ввести на клавиатуре. Если пароль соответствует хранящемуся в памяти, то пользователь может пользоваться всей информацией, доступ к которой ему разрешен. Пароль можно также использовать для защиты файлов, записей, полей данных внутри записей и т.д.

Пароль вводится пользователем в начале работы, а иногда и в конце сеанса. Иногда предусматривается ввод пароля несколько раз (например, два раза как факт контрольной защиты информации), или периодически в течение всего рабочего времени.

Различают несколько типов паролей: простой пароль, пароль на основе определенного алгоритма, пароль однократного использования, пароль, основывающийся на методе «запрос-ответ», пароль на основе выбора символов.

При работе с паролями рекомендуются следующие правила и меры предосторожности:

Пароли не следует отображать на экран;

Чем больший период времени используется пароль, тем выше вероятность его раскрытия, следовательно, пароли нужно менять часто;

Пользователи сами хранят свои пароли, не позволяя посторонним узнать его;

Длину пароля следует выбрать правильно: чем больше длина пароля, тем лучше будет защищена система, так как потребуется много времени и сил, чтобы его подобрать;

Состав пароля должен включать большие и маленькие буквы, числа и специальные символы.

При выработке паролей в ГУ-УПФР используются вышеизложенные правила.

Чтобы исключить компрометацию паролей для хранения аутентифицирующей информации применяются электронные ключи.

eToken (от англ. < #" justify" > 1.Установить драйвер eToken PKI Client.

2.Настроить eToken PKI Client.

Установить eToken Network Logon.

4.Вставить электронный ключ eToken.

5.Переименовать eToken и сменить пароли пользователя и администратора.

Записать профиль пользователя на электронный ключ eToken.

Ключ готов к работе.

Теперь при входе пользователя в систему необходимо использовать сочетание Ctrl+L, а не Ctrl+Alt+Del, при этом на экране появится окно Log On to Windows.

Если в памяти eToken имеется более одного профиля, нужно выбрать один из списка в поле User name.

В поле Token Password надо ввести пароль пользователя eToken и нажать кнопку «OK».

Все установленные ключи обязательно регистрируются в аппаратном журнале учета ключей (Приложение Е).

Для исключения возможности несанкционированного вывода информации на съёмные носители порты ввода-вывода контролируются: либо блокируются программными средствами или создаются физические препятствия, такие как отключение, пломбирование (голографические наклейки).

Криптографическая защита при обеспечении конфиденциальности применяется в основном при обмене информаций. Чтобы скрыть содержание представляемой информации производится шифрование данных. Зашифрованные данные будут доступны только тому, кто знает соответствующий ключ, с помощью которого можно расшифровать сообщение. А, значит, похищение зашифрованных данных без знания ключа становится бесперспективным. Зашифрованные данные, которые передаются по каналам связи, критичны к искажениям. В ГУ-УПФР применяются две технологии криптозащиты: ViPNet и «Верба». Так вот, при передаче информации из ЛВС в канал корпоративной сети любые данные на входе в канал шифруются средствами ViPNet, а принимаемые данные ими же расшифровываются и передаются в ЛВС.

Кроме канального шифрования применяется и абонентское шифрование по технологии ViPNet. Технология ViPNet применяется в ГУ-УПФР для связи строго очерченного круга лиц. Администратор ViPNet - сети должен определять - кто из её абонентов и с кем может иметь связь.

Технология «Верба» применяется для обеспечения абонентского шифрования, при котором адресанты сами могут выбрать адресата из числа пользователей, чей открытый ключ шифрования они имеют. Методы шифрования, которые используются в СКЗИ «Верба - OW» гарантируют высокую секретность и эффективное обнаружение искажений или ошибок в передаваемой информации. Электронная цифровая подпись - это средство, которое позволяет, основываясь на криптографических методах надежно устанавливать авторство и подлинность электронного документа. При безбумажном документообороте электронная цифровая подпись позволяет заменить печать и подпись, которые применяются традиционно. При построении цифровой подписи выступает сложная математическая зависимость между электронным документом, секретным и общедоступным ключами. Практически невозможно подделать электронную цифровую подпись. Этот вывод опирается на очень большой объем определенных математических вычислений. Подпись, проставленная под документом, не меняет сам документ, она только дает возможность проверить подлинность и авторство полученной информации.

Программа может работать со следующими ключевыми носителями: дискета; Smart Card; Touch Memory. В ГУ-УПФР по Кировскому району в качестве ключевого носителя используется дискета.

Перед началом работы происходит считывание данных с ключевого носителя. После загрузки данных с ключевой дискеты открывается основное окно с главной панелью управления программой.

В программе можно использовать следующие функции: шифрование файлов; проставление электронной цифровой подписи (ЭЦП); проставление ЭЦП и шифрование файлов; расшифровывание файлов; снятие подписей под файлами; расшифровывание и снятие ЭЦП; проверка ЭЦП; проверка шифрованных файлов; работа со справочником открытых ключей подписи.

Создавать и изменять справочники открытых ключей подписи и шифрования можно в окне «Настройки». В этом же окне можно конфигурировать параметры программы.

Обе указанные технологии криптозащиты обеспечивают в ГУ-УПФР применение электронной цифровой подписи.

Следующее направление защиты информации - противодействие вредоносным программам или, иначе говоря, антивирусная защита.

Для антивирусной защиты в ГУ-УПФР по Кировскому району используются специализированные продукты «Лаборатории Касперского». В дистрибутив Kaspersky Administration Kit включены агент администрирования, Антивирус Касперского для рабочих станций, Антивирус Касперского для серверов.

Установку антивирусного ПО на рабочих станциях можно осуществить несколькими способами: с использованием сценариев запуска (LoginScript), рассылка через групповые политики Active Directory, с использованием агента администрирования.

В консоли управления есть возможность создания любого количества групп. Что позволяет легко перемещать компьютеры из одной группы в другую. Для каждой группы можно задать свои политики.

В режиме реального времени можно с помощью консоли управления наблюдать за состоянием защищаемой сети. Статистические данные реализованы через всевозможные графики, диаграммы, таблицы и т.д. Самые необходимые для отслеживания параметры уже предустановлены, также имеется возможность самостоятельно создавать нужные выборки.

Отчеты можно сохранять в форматах XML, XTML, PDF. Экспортируемые отчеты сохраняются на локальном компьютере, где установлена консоль управления.

Один из предустановленных отчетов - это отчет о состоянии защиты. Он позволяет быстро определить, какие проблемы и где имеются. Он также содержит информацию о состоянии системы антивирусной защиты на клиентских компьютерах. Можно детально настроить выводимые данные, к которым может быть применен данный отчет. Имеется возможность добавления практически любой информации.

Все предустановленные отчеты по умолчанию дублируются в графическом виде. Что дает возможность наглядно посмотреть состояние и результат.

Данный набор продуктов современен, прост и надежен в использовании, также он обеспечивает высокий уровень защиты, гибкое администрирование и качественный контроль состояния защиты.

Все мероприятия по установке, настройке, удалению АПО и проведению инструктажа по работе с ним, обязательно оформляются в журнале (Приложение Ж). Также обязательно осуществляется контроль проведения еженедельной антивирусной проверки рабочих станций.

Такая система антивирусной защиты позволяет обеспечить управление антивирусными средствами на всю глубину их построения. Она позволяет оценить ситуацию в реальном времени, обеспечивает массу статистического материала.

Теперь перейдём к обеспечению сохранности данных путём резервного копирования.

Резервное копирование информационных ресурсов:

Копирование на съёмные носители (различная периодичность, учёт процедур копирования, комплект носителей; раздельное хранение копий, назначение ответственных, их дублёров);

Дублирование ресурсов на уровне вычислительных средств (рассредоточение мест положения средств);

Дублирование на уровне функциональных систем (СПУ на базе серверов iSeries дублируется на уровне отделений системой на базе Intel-серверов);

Процедура восстановления ресурса из резервной копии (коллегиальность, документальное оформление).

Основной метод обеспечения возможности восстановления разрушенного информационного ресурса - периодическое резервное копирование соответствующего ресурса.

Самый распространённый способ копирования - копирование данных на съёмный носитель. В качестве таких носителей применяются оптические диски, магнитные ленты, накопители на жёстких магнитных дисках.

Периодичность копирования, метод копирования, тип носителя и число резервных копий определяется аппаратной платформой ресурса, его объёмом, изменчивостью данных, необходимым временем восстановления и пр.

Для обеспечения целостности баз данных программно-технического комплекса системы персонифицированного учёта (ПТК СПУ) используется программный комплекс «Курсив», который обеспечивает протоколирование на магнитную ленту всех изменений, вносимых в базу. На каждый день недели имеется своя лента. В последний день рабочей недели производится копирование всей базы сервера. Таким образом, «Курсив» используя копию базы в совокупности с ежедневными протоколами, позволяет восстановить данные на момент последнего запротоколированного изменения.

В процессе сохранения используются тома магнитных лент (МЛ) со следующими именами:

WEEK1, WEEK2, WEEK3 - при ручном (недельном) сохранении информационных объектов;

DAY1, DAY2, DAY3, DAY4, DAY5 -при автоматическом сохранении изменений информационных объектов.

Цикл сохранения начинается с ручного (недельного) сохранения в пятницу на том WEEK1.

После выполнения ручного сохранения том WEEK1 извлекается из накопителя на магнитной ленте (НМЛ), и на его место устанавливается том DAY5. Если сохранение выполнялось не в пятницу, то на экране будет предложено установить том DAYx, соответствующий текущему дню недели. На том DAY5 будет выполняться автоматическое сохранение до понедельника.

В понедельник при входе в процедуру сохранения нужно заменить том DAY5 на том DAY1. На том DAY1 будет выполняться автоматическое сохранение до вторника. Во вторник, среду и четверг выполняются аналогичные действия по замене тома МЛ.

В пятницу выполняется ручное (недельное) сохранение на том WEEK2 и цикл сохранения повторяется.

При попадании праздничного или выходного дня на пятницу еженедельное сохранение базы данных проводится в последний рабочий день недели.

Проводимые сохранения информационных объектов фиксируются в журнале учёта, а после извлечения из НМЛ том МЛ с сохранённой информацией помещается в несгораемый сейф.

Приказом начальника ГУ-УПФР назначается лицо, ответственное за выполнение резервного копирования ресурса, его дублёр на случай отсутствия, состав комиссии по восстановлению разрушенного ресурса из копии.

Для каждого ресурса разрабатывается соответствующая технологическая инструкция резервного копирования (что в каком порядке копировать и восстанавливать). Определяются места рассредоточенного хранения экземпляров копии.

Мониторинг состояния информационных ресурсов проводится на региональном и федеральном уровнях. Он обеспечивает оперативность информации о состоянии информационных ресурсов, позволяет анализировать эффективность мер защиты и своевременно принимать меры по её совершенствованию.

Для мониторинга баз данных, реализуемых на платформе серверов AS/400, разработана и успешно эксплуатируется специальная программа «Астра». Она с заданной периодичностью собирает на региональном сервере AS/400 информацию о состоянии баз данных подчинённых районных серверов и регионального сервера.

Консоли этой программы имеются в каждом подразделении по защите информации, т.е. в каждом регионе. Региональному администратору безопасности доступны отчёты со всех серверов AS/400 своего отделения. Администратору федеральному доступны отчёты всех серверов AS/400. Таким образом, обеспечивается двойной контроль над состоянием баз на всех региональных и районных серверах. Задачи мониторинга выполняют также и центральные антивирусные серверы.

В силу того, что в ГУ-УПФР в основном обрабатываются персональные данные, обеспечение конфиденциальности которых стало столь актуальным в последние годы, трудно выделить особенности их защиты по сравнению с другими данными. Поэтому защита всей информации организована одинаково. И все, что касается защиты информации, в общем, в не меньшей мере относится и к защите персональных данных, за исключением некоторых организационных моментов.

Основные мероприятия по защите информации, проводимые в ГУ-УПФР, разделяют на правовые, организационные и технические.

Правовые:

- определение порядка информационного взаимодействия. Этот пункт весьма важен в условиях функционирования ГУ-УПФР, который взаимодействует на различных уровнях с множеством организаций. Обмен информацией с ними регулируется двухсторонними соглашениями. Непременным условием предоставления ГУ-УПФР информации другим организациям, закрепляемым в соглашениях, является обеспечение конфиденциальности персональных данных.

Таким образом, реализуется юридическая защита персональных данных: разработка инструкций по вопросам обработки персональных данных, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации;

Устранение последствий таких нарушений.

Организационные: Документальное оформление требований к безопасности обрабатываемых данных; Назначение лиц, ответственных за организацию обработки персональных данных; Издание системы нормативных (руководящих) документов по организации защиты данных; Распределение ответственности по вопросам защиты данных между должностными лицами и работниками органов системы ПФР; Установление персональной ответственности работников органов системы ПФР за обеспечение безопасности обрабатываемых данных; Контроль выполнения подразделениями, должностными лицами и работниками органов ПФР требований нормативных документов по защите данных; Своевременное выявление угроз безопасности данных и принятие соответствующих мер защиты; Регламентирование порядка применения средств ввода-вывода данных и контроль его выполнения; Содержание штата специалистов по защите информации, организация системы их профессиональной подготовки и повседневной деятельности; Придание мероприятиям защиты информации характера обязательных элементов производственного процесса ПФР, а требованиям по их исполнению - элементов производственной дисциплины; Доведение до работников ПФР требований по защите данных и обучение их правилам работы в АИС.

Технические: Резервное копирование информационных ресурсов. Применение прикладных программных продуктов, отвечающих требованиям защиты данных. Организация контроля доступа в помещения и здания ПФР, их охрана в нерабочее время. Систематический анализ безопасности данных и совершенствование системы их защиты. Применение технических средств защиты, сертифицированных компетентными государственными органами (организациями) на соответствие требованиям безопасности; Своевременное применение критических обновлений общесистемного и прикладного программного обеспечения. Оптимальная настройка операционной системы и прикладного программного обеспечения вычислительных средств, применяемых для обработки данных. Использование корпоративной информационно-телекоммуникационной сети для обеспечения информационного взаимодействия органов ПФР. Шифрование данных при передаче и хранении (криптографическая защита). Использование электронной подписи; Применение межсетевых защитных (фильтрующих) экранов. Антивирусный мониторинг и детектирование; Мониторинг процессов и действий пользователей наиболее важных аппаратных и информационных ресурсов; Оборудование зданий и помещений системами безопасности (пожарной и охранной сигнализации, пожаротушения, телевизионного наблюдения и т.п.). Хранение парольной и ключевой информации на индивидуальных электронных ключах; Применение в архитектуре вычислительных систем технологий и средств повышения надёжности их функционирования и обеспечения безопасности информации; Применение средств технической укрупнённости зданий и помещений. Противопожарная защита зданий и помещений.

 

Заключение

 

Актуальность проблемы защиты информации в современном мире определяется следующими факторами: быстрый рост парка средств вычислительной техники, расширение областей применения ПЭВМ. Вовлечение в процесс информационного взаимодействия все большего числа людей и организаций. Отношение к информации, как к товару, переход к рыночным отношениям, с присущей им конкуренцией и промышленным шпионажем, в области создания и сбыта (предоставления) информационных услуг. Концентрация больших объемов информации различного назначения и принадлежности на электронных носителях. Количественное и качественное совершенствование способов доступа пользователей к информационным ресурсам; Многообразие видов угроз и возможных каналов несанкционированного доступа к информации; Рост числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими программно-математических воздействий на систему.

Закономерно, что при таких условиях возникает потребность в защите вычислительных систем и информации от несанкционированного доступа, кражи, уничтожения и других преступных и нежелательных действий.

Реализация угроз информационной безопасности заключается в нарушении конфиденциальности, целостности и доступности информации.

В первой главе были рассмотрены проблемы и особенности защиты компьютерных сетей, проанализированы угрозы, рассмотрены методы и средства ЗИ. Специфика распределенных АС, с точки зрения их уязвимости, связана в основном с наличием интенсивного информационного взаимодействия между территориально разнесенными и разнородными (разнотипными) элементами. Уязвимыми являются буквально все основные структурно-функциональные элементы АС: рабочие станции, серверы (Host-машины), межсетевые мосты (шлюзы, центры коммутации), каналы связи.

Защита информации на сегодняшний день стала по-настоящему острой и актуальной проблемой, в связи с быстрым и бурным развитием информационных технологий. Главная тенденция, которая характеризует развитие современных информационных технологий - это все больший рост компьютерных преступлений и связанных с ними хищений конфиденциальной информации, а вследствие этого и больших материальных потерь. Игнорируя проблемы защиты информации, компьютерные сети просто не смогут нормально функционировать и развиваться.

В работе дана краткая характеристика ПФР, список нормативно-правовых документов, на которые организация опирается в работе по защите информации. Описана архитектура корпоративной сети и общая схема ее защиты. Также были рассмотрены основные задачи и их решение по направлениям: санкционирование доступа к ресурсам, криптографическая защита, защита от вредоносных программ, резервное копирование, мониторинг состояния ресурсов. Определены организационные и технические мероприятия по защите компьютерной сети.

Также рассмотрены некоторые способы защиты, которые применяются в ГУ-УПФР по Кировскому району. Очень важной задачей является защита корпоративной сети от несанкционированного доступа. Для этого в организации используются электронные ключи, установлены пароли, используется криптографическая защита.

Чтобы исключить заражение корпоративной сети компьютерными вирусами, в ГУ-УПФР по Кировскому району используются специализированные продукты «Лаборатории Касперского». Этот пакет прост и надежен в использовании, обеспечивает высокий уровень защиты, гибкое администрирование и качественный контроль состояния защиты.

 

Список литературы

Защита информации в компьютерных сетях. Практический курс [Текст]/ А.Н. Андрончик, В.В. Богданов, Н.А. Домуховский, А.С. Коллеров, Н.И. Синадский, Д.А. Хорьков, М. Ю. Щербаков. – Екатеринбург: УГТУ-УПИ, 2008. – 248 с.

Биячуев, Т.А. Безопасность корпоративных сетей [Текст] /Под ред. Л.Г.Осовецкого. - СПб: СПб ГУ ИТМО, 2009. - 420 с.

Безбогов, А.А. Методы и средства компьютерной информации: учебное пособие [Текст] / А.А.Безбогов, А.В.Яковлев, В.Н. Шамкин. - Тамбов: Изд-во Тамб. Гос. Техн. Ун-та, 2006. -196 с.

Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. – К.: «ДиаСофт», 2002. - 688 с.

Вихорев, С. Как определить источники угроз / С. Вихорев, Р.Кобцев //Открытые системы. – 2002. - №07-08.-С.43.
Гмурман, А.И. Информационная безопасность/ А.И. Гмурман - М.: «БИТ-М», 2004. -387с.

Молдовян, А.А. Криптография / А.А.Молдовян, Н.А. Молдовян, Советов Б.Я. – СПб. Издательство “Лань”, 2001. – 224с.

Анин Б.Ю. Защита компьютерной информации. – СПб.: " BHV-Санкт-Петербург" – 2000.- 384 с.

Конеев И.Р., Беляев А. В. Информационная безопасность предприятия. -СПб. БХВ-Петербург, 2003. - 752с.

Галатенко В. А. Информационная безопасность. –М.: Финансы и статистика, 1997. –158 с.

Устинов, Г.Н. Уязвимость и информационная безопасность телекоммуникационных технологий/ Г.Н. Устинов– М.: Радио и связь, 2003. -342с.

Биячуев Т.А. Безопасность корпоративных сетей / под ред. Л.Г.Осовецкого. – СПб: СПб ГУ ИТМО, 2004.С.187.

 

http: //www.ctta.ru./ Некоторые проблемы ИБ

http: //st.ess.ru/steganos.htm Вопросы стеганографии

 

Приложение

Общие положения

Данный регламент устанавливает правила по использованию в работе внешних носителей информации сотрудниками _________________________.

Внешними носителями информации здесь и далее называют, подключаемые к ПК или другим устройствам ЛВС, устройства способные хранить информацию в электронном виде.

Любое использование внешних носителей информации не означенное в данном регламенте считается нарушением данного регламента.

⇐ Предыдущая1234

Поделиться: