Файл: Разработка рекомендаций по сбору и оценке событий информационной безопасности.pdf

Недопустимо хранение пароля в открытом виде на любых видах носителей информации.

Рекомендуется генерировать качественные пароли пользователей при помощи специальных программных утилит.

Политика паролей для административных учетных записей

Длина пароля – не менее 16 символов.

Пароль обязательно должен включать в себя прописные и строчные буквы, цифры, специальные символы.

Максимальный срок действия пароля должен быть ограничен 1 месяцем.

Новый пароль пользователя не должен совпадать как минимум с предыдущим паролем.

Пароль не должен совпадать с именем учетной записи пользователя.

В случае неудавшейся попытки авторизации в журнал системных событий сервера должно заноситься соответствующее сообщение. При многократных неудавшихся попытках авторизации должно генерироваться предупреждение системы обнаружения вторжений.

Пароли на доступ к различным ресурсам должны различаться; не допускается использование универсальных паролей для административных учетных записей.

Недопустимо хранение пароля в открытом виде на любых видах носителей информации.

Криптографические ключи, используемые для аутентификации, должны быть защищены парольными фразами. Требования к стойкости парольных фраз криптографических ключей идентичны требованиям к паролям административных учетных записей.

Рекомендуется генерировать качественные пароли пользователей при помощи специальных программных утилит.

Аудит системных событий

В обязательном порядке должен выполняться аудит следующих событий:

авторизации пользователей при доступе к любым ресурсам корпоративной информационной системы (как успешных, так и неуспешных попыток);

изменения конфигурационных файлов и настроек операционной системы и прикладных программ, средств обеспечения информационной безопасности, прав доступа к критически важным системным объектам и данным;

добавления и удаления учетных записей пользователей, а также изменения свойств и привилегий учетных записей;

операций доступа (чтения и записи) к критически важным данным (системным данным, бизнес-информации);

сетевых подключений к административным интерфейсам.

Журналы аудита должны ежедневно анализироваться при помощи специализированных программных средств; отчет по результатам анализа предоставляться системным администраторам и специалистам службы информационной безопасности.

Необходимо выполнять ежедневное резервное копирование журналов аудита и проверку целостности существующих резервных копий.

Сетевые службы

Для передачи ценной информации должны использоваться только криптографически защищенные каналы связи.

Рекомендуется отключить неиспользуемые службы или запретить к ним доступ при помощи межсетевого экрана.

Сетевые службы не должны сообщать пользователю (и потенциальному нарушителю) служебную и отладочную информацию о своей версии и рабочей конфигурации.

Сетевые службы должны запускаться с правами непривилегированного пользователя операционной системы, чтобы минимизировать риск удаленного проникновения в систему. Также рекомендуется запуск сетевых служб в изолированной среде (sandbox).

Для контроля над сетевыми соединениями и раннего обнаружения атак должны использоваться системы обнаружения вторжений и обманные системы (honeypot).

Для разграничения доступа к сетевым службам на уровне транспортных протоколов рекомендуется использовать списки контроля доступа на активном сетевом оборудовании, программные и программно-аппаратные межсетевые экраны, а также собственные средства контроля доступа (уровня транспортного протокола) сетевых служб.

Удаленное администрирование

Рекомендуется стандартизовать на уровне Общества средства удаленного администрирования.

Для серверов под управлением ОС Windows рекомендуется использовать службу терминалов Windows или программы, аналогичные Remote Administrator версии не ниже 2.2. Не рекомендуется использовать сложные пакеты администрирования типа DameWare, pcAnywhere, Ideal Administration.

Для администрирования активного сетевого оборудования и прочих сетевых устройств (сетевых принтеров, источников бесперебойного питания и т.п.) рекомендуется использовать протокол SSH версии 2 или протокол SNMP версии 3 (с поддержкой криптографической защиты трафика).

Рекомендуется ограничить доступ к административным интерфейсам только с ряда IP-адресов или подсетей и протоколировать все успешные и неуспешные подключения.

Рабочие станции

Общие положения

На рабочих станциях не должно храниться конфиденциальной информации в открытом виде. Для хранения такой информации рекомендуется использовать криптографически защищенные диски или специальные автоматизированные системы обработки конфиденциальной информации.

На рабочих станциях системных администраторов не должно храниться информации о конфигурации информационной системы и аутентификационных данных в открытом виде. Для хранения такой информации рекомендуется использовать криптографически защищенные диски.

На каждой рабочей станции должен быть установлен персональный межсетевой экран, запрещающий все входящие подключения и разрешающий только минимально необходимый набор исходящих подключений. Особое внимание необходимо обратить на установку персональных межсетевых экранов на рабочие станции системных администраторов.

Пароли для локальных учетных записей должны соответствовать требованиям парольной политики. Недопустимо использование простых или общих паролей для всех рабочих станций.

Доступ к конфигурации BIOS рабочей станции должен быть защищен паролем.

Необходимо отключить возможность использования пользователями сменных носителей данных и регулярно контролировать изменения аппаратной конфигурации рабочих станций.

Необходимо утвердить перечень разрешенного для запуска пользователями программного обеспечения и регулярно контролировать изменения в перечне установленных на рабочих станциях программ.

Необходимо регулярно отслеживать появление дополнительных каналов связи на рабочих станциях, таких как беспроводные сетевые карты и модемы.

Должна выполняться автоматическая блокировка консоли рабочей станции не более чем через 10 минут неактивности пользователя.

Настройки программного обеспечения должны исключать хранение аутентификационных данных пользователей в незашифрованном стойкими алгоритмами виде.

При динамическом распределении IP-адресов рабочих станций должна выполняться жесткая привязка к MAC-адресу сетевой карты, чтобы исключить возможность подмены IP-адреса рабочей станции.

Настройка политики безопасности домена должна запрещать подключение административных учетных записей домена к рабочим станциям как интерактивно, так и неинтерактивно.

Аудит системных событий

В обязательном порядке должен выполняться аудит следующих событий (локально на рабочей станции):

изменения конфигурационных файлов и настроек операционной системы и прикладных программ, средств обеспечения информационной безопасности, прав доступа к критически важным системным объектам и данным;

добавления и удаления локальных учетных записей пользователей, а также изменения свойств и привилегий локальных учетных записей;

сетевых подключений к административным интерфейсам (если установлена служба удаленного управления рабочей станцией).

Журнал системных событий должен регулярно копироваться на удаленный сервер централизованного хранения журналов.

Журналы аудита рабочих станций должны регулярно анализироваться на сервере централизованного хранения журналов при помощи специализированных программных средств; отчет по результатам анализа должен предоставляться системным администраторам и специалистам службы информационной безопасности.

Сетевые службы

Для передачи ценной информации должны использоваться только криптографически защищенные каналы связи.

Рабочая станция должна предоставлять минимальное количество сетевых сервисов (в качестве сервера). Рекомендуется отключить неиспользуемые службы или запретить к ним доступ при помощи персонального межсетевого экрана.

Сетевые службы не должны сообщать пользователю (и потенциальному нарушителю) служебную и отладочную информацию о своей версии и рабочей конфигурации.

Заключение

В работе был проведен первоначальный аудит информационной безопасности и рассмотрены критерии, подходы и методики обеспечения информационной безопасности Компании. Разработаны рекомендации по обеспечению информационной безопасности в соответствии с корпоративным стандартом КОМСТАР-ОТС и стандартом ISO/IEC 17799.

Наиболее существенные результаты, полученные в процессе работы, состоят в следующем:

в рамках подготовки предприятия к проведению анализа рисков предложен и разработан набор нормативных актов, регулирующих информационную безопасность на предприятии, в состав которого входит:

Политика Информационной безопасности;

Правила информационной безопасности при организации межсетевого взаимодействия;

Правила информационной безопасности при организации технологического доступа сторонним организациям;

Правила информационной безопасности при организации и использовании услуги электронной почты;

Правила информационной безопасности при использовании внутренних информационных ресурсов Компании;

Правила информационной безопасности при организации доступа к внешним информационным ресурсам и сервисам;

Правила информационной безопасности при использовании средств аутентификации;

Правила информационной безопасности при организации антивирусной защиты;

Правила информационной безопасности, предъявляемые к разрабатываемым и внедряемым автоматизированным информационным системам;

Правила информационной безопасности при использовании системы «Клиент-банк».

Правила информационной безопасности при обучении сотрудников.

Правила информационной безопасности при анализе рисков.

Правила информационной безопасности при управлении инцидентами.

предложен план мероприятий по снижению информационных рисков предприятия (инженерно-технических, организационных, правовых), включающий перечень контрмер нейтрализации угроз, реализация которых позволить обеспечить оптимальный уровень затрат на информационную безопасность;

Основные результаты работы успешно внедрены и применяются в практической деятельности предприятия. Главной задачей на текущий момент остается - вовлечение руководства компании в процесс управления безопасностью.

Список использованной литературы

1. Информационный бюллетень JetInfo №1 (68)/1999. «Анализ рисков, управление рисками» Сергей Симонов.

2. «Информационная безопасность: экономические аспекты» Сергей Петренко, Сергей Симонов, Роман Кислов.

3. «Технологии и инструментарий для управления рисками». Симонов С. В., JetInfo. - №1. – 2013.

4. «Управление информационными рисками. Экономически оправданная безопасность» Петренко С. А., Симонов С. В. – М.: Компания АйТи: ДМК Пресс, 2014. – 384с.

5. Лукацкий А. В. Обнаружение атак. – Спб.: БХВ – Петербург, 2011 – 624 с.: ил.

6. А. Лукацкий. Адаптивная безопасность сети. Компьютер-Пресс, №8, 1999

7. А.В. Лукацкий Адаптивное управление защитой. "Сети. Глобальные сети и телекоммуникации". №10, 1999.

8. Мельников В. В. Защита информации в компьютерных системах. – М.: Мир, 1978. – 432 с.

9. Шахов В. Г., Фофанов А. В. Идентификация пользователей в защищенной системе хранения информации. – Автоматика, связь, информатика, 2012, №1.

10. Шахов В. Г. Компьютерная безопасность : модель нарушителя. – Автоматика, связь, информатика, 1999, №9. с 19-21.

11. «Network security: from risk analysis to protection strategies». – ISCOM.

12. «Information security risk analysis – a matrix-based approach». – Sanjay Goal, Vicky Chen.

13. «Оценка рисков информационной безопасности на основе нечеткой логики» - П. А. Балашов, В. П. Безгузиков, Р. И. Кислов. (http://www.nwaktiv.ru).

14. «Современные методы и средства анализа и контроля рисков информационных систем компаний». Илья Медведовский, - (http://www.bugtraq.ru).

15. «Система автоматизации управления информационной безопасностью больших организационных систем». О.А. Бурдин, А.А. Кононов.