Файл: Назначение и структура системы защиты информации коммерческого предприятия (ОЦЕНКА РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ).pdf
Добавлен: 26.05.2023
Просмотров: 159
Скачиваний: 2
Сетевой сканер должен осуществлять сканирование всего диапазона TCP и UDP портов, выявлять все доступные сетевые ресурсы и сервисы, обнаруживать уязвимости различных ОС, СУБД, сетевых сервисов и приложений.
Средства анализа защищенности системного и прикладного уровней предназначены для решения следующих основных задач:
анализ параметров конфигурации операционных систем и приложений по шаблонам с целью выявления уязвимостей, связанных с их некорректной настройкой, определения уровня защищенности контролируемых систем и соответствия политике безопасности организации;
коррекция конфигурационных параметров операционных систем и приложений;
контроль изменения состояния операционных систем и приложений, осуществляемый на основе мгновенных снимков их параметров и атрибутов файлов.
Средства контроля защищенности системного уровня должны выполнять проверки привилегий пользователей, политик управления паролями и регистрационных записей пользователей, параметров подсистемы резервного копирования, командных файлов, параметров системы электронной почты, настройки системных утилит и т.п.
Средства контроля защищенности системного уровня должна поддерживать распределенные конфигурации и быть интегрированы с сетевыми сканерами и со средствами сетевого управления.
Требования к подсистеме «удостоверяющий центр»
Подсистема удостоверяющий центр предназначена для создания, распределения и управления цифровыми сертификатами пользователей ИС, ключами шифрования и ЭЦП. Она строится на инфраструктуре открытых ключей (PKI) и предоставляет базовые сервисы по управлению ключевой информацией для подсистемы аутентификации пользователей, средств VPN и подсистемы контроля целостности. На базе удостоверяющего центра стоятся системы электронного документооборота предприятия, включающие в себя защищенную электронную почту, внутренний информационный портал, офисные приложения и средства обмена документами в рамках подсистем судебного и общего делопроизводства.
Подсистема удостоверяющий центр должна поддерживать реализацию следующих функций:
электронно-цифровую подпись, контроль целостности информации и кодирование данных в рамках электронного документооборота (корпоративная система электронной почты, внутренний информационный портал, офисные приложения) на базе электронных сертификатов X.509;
кодирование данных и контроль целостности информации при передаче ее с помощью носителей информации и по открытым каналам в рамках * взаимодействия компонентов и пользователей информационной системы на базе электронных сертификатов X.509;
кодирование данных и контроль целостности информации при удаленном доступе мобильных сотрудников на базе электронных сертификатов X.509;
аутентификация пользователей и активного сетевого оборудования в рамках информационного взаимодействия на базе электронных сертификатов X.509
управление сервисом распределения электронных сертификатов;
безопасную транспортировку электронных сертификатов конечным пользователям;
поддержку жизненного цикла электронных сертификатов (генерация, распределение, отзыв, подтверждение);
поддержку хранения электронных сертификатов и паролей на внешних носителях (USB-токены, смарт-карты);
поддержка стандартов PKCS#11, PKCS#7.
Требования к подсистеме сегментирования и межсетевого экранирования
Подсистема сегментирования и межсетевого экранирования предназначена для разграничения межсетевого доступа на уровне сетевых протоколов и защиты ЛВС предприятия от сетевых атак со стороны сети Интернет и внешних сетей. В рамках системы должна быть сформирована и определена архитектура подключения к сетям общего пользования и создания демилитаризованной зоны (DMZ), которая может включать межсетевой экран, VPN-сервер, Web-сервер, транслятор (relay) электронной почты, вторичный кэширующий DNS-сервер, LDAP-сервер и подсистему защищенного удаленного доступа.
На рубеже сетевой инфраструктуры должны применяться средства сегментирования ЛВС. Средства сегментирования ЛВС должны строиться на технологии виртуальных ЛВС (VLAN) в соответствии с организационной структурой объединения и логикой работы подразделений предприятия с информационными ресурсами.
Серверы ЛВС должны быть расположены в выделенном сегменте (сегментах). Должно быть обеспечено отсутствие рабочих мест пользователей в указанных сегментах ЛВС.
На рубеже внешнего информационного обмена должны применяться средства межсетевого экранирования. Межсетевой экран должен обеспечивать фильтрацию сетевого трафика на сетевом, транспортном и прикладном уровнях.
Требования к подсистеме VPN Подсистема VPN применяется на рубеже внешнего информационного обмена для защиты конфиденциальной информации, передаваемой между ЛВС различных удаленных офисов предприятия, которые не связаны между собой выделенными каналами, а также для подключения к ЛВС мобильных пользователей. Средства VPN реализуются на основе протокола IPSec и интегрируются со средствами межсетевого экранирования.
Средства VPN должны соответствовать спецификациям стандарта IPSec.
Средства VPN должны обеспечивать передачу данных как в зашифрованном, так и в открытом виде в зависимости от источника и получателя информации.
Средства VPN должны быть интегрированы с МЭ.
Требования к подсистеме антивирусной защиты
Подсистема антивирусной защиты сети предназначена для решения следующих задач:
Перекрытие всех возможных каналов распространения вирусов, к числу которых относятся: электронная почта, разрешенные для взаимодействия с сетью Интернет сетевые протоколы (HTTP и FTP), съемные носители информации (дискеты, CD-ROM и т.п.), разделяемые папки на файловых серверах;
Непрерывный антивирусный мониторинг и периодическое антивирусное сканирование всех серверов и рабочих станций, подключаемых к ЛВС;
Автоматическое реагирование на заражение компьютерными вирусами и на вирусные эпидемии, включающее в себя: оповещения, лечение вирусов, удаление троянских программ и очистку системы, подвергнувшейся заражению;
Она строится из следующих компонентов:
Средства управления, включающие в себя управляющую консоль, серверные компоненты системы антивирусной защиты, средства протоколирования и генерации отчетов;
Средства антивирусной защиты серверов ЛВС;
Средства антивирусной защиты рабочих станций;
Средства антивирусной защиты почтовой системы (внутренних почтовых серверов и SMTP-шлюзов на внешнем периметре сети);
Антивирусный шлюз, осуществляющий антивирусный контроль HTTP и FTP трафика.
Требования к подсистеме фильтрации контента
Подсистема фильтрации контента предотвращает утечку ценной конфиденциальной информации из ИС по протоколам HTTP, FTP и SMTP, осуществляет фильтрацию спама и прочей нежелательной корреспонденции. Она реализуется на рубеже защиты внешнего периметра сети и интегрируется со средствами межсетевого экранирования.
Подсистема фильтрации контента должна:
Предотвращать утечку ценной конфиденциальной информации из ЛВС по протоколам HTTP, FTP и SMTP путем ее блокирования и задержания до утверждения отправки руководством;
Обеспечивать увеличение производительности труда сотрудников путем уменьшения рекламы, рассылок и прочих, не имеющих отношения к делу, сообщений. Обнаружение спама, рассылаемого и получаемого сотрудниками предприятия;
Обеспечивать помощь в выявлении неблагонадежных сотрудников, рассылающих свои резюме и посещающих Web-сервера в поисках работы;
Обеспечивать контроль электронной почты, работающей через WEB-интерфейсы;
Обеспечивать контроль над всей выходящей корреспонденцией путем отсеивания сообщений, содержащих непристойное содержание для защиты репутации предприятия и сотрудников путем предотвращения случайного или намеренного распространения писем непристойного содержания с адреса предприятия;
Обеспечивать русскоязычный поиск и фильтрацию почтовых сообщений;
Обеспечивать контроль использования корпоративного выхода в Internet в личных целях;
Разграничивать доступ сотрудников предприятия к ресурсам Internet и обеспечивать блокирование обращений к нежелательным сайтам.
В случае необходимости, осуществлять полное или частичное архивирование данных протоколов HTTP, FTP, SMTP.
Требования к подсистеме управления безопасностью
Подсистема управления безопасностью предназначена для осуществления централизованного управления всеми компонентами и подсистемами СОИБ. Управление всеми компонентами СОИБ осуществляется с консоли администратора безопасности, на которой устанавливаются соответствующие средства администрирования и мониторинга.
Средства управления безопасностью должны обеспечивать реализацию следующих функций:
управлять пользователями и ролями в кросс-платформенном окружении;
проверять, отслеживать, уведомлять в реальном времени и записывать изменения в групповых политиках безопасности;
устанавливать факт кем и когда были сделаны изменения параметров безопасности;
иметь средства, расширяющие встроенные возможности администрирования и управления безопасностью операционной системы;
иметь средства, управления парольной политикой – синхронизация, отслеживание истории изменений, распределение политики в кросс-платформенном окружении.
Доступ к элементам управления должен предоставляться только после обязательной процедуры аутентификации. Для аутентификации администраторов безопасности должны использоваться схемы, устойчивые к прослушиванию сети потенциальным злоумышленником.
С целью обеспечения реализации принципа минимизации административных полномочий, минимизации количества ошибочных и неправомерных действий со стороны администраторов ЛВС, должен быть определен, документирован, согласован и утвержден состав административных групп. При определении состава административных групп следует опираться на стандартный набор административных групп, имеющийся в ОС Windows 2003, а также в Windows XP.
Определение состава административных групп и выделенных им полномочий, а также порядка осуществления контроля над составом административных групп и действиями администраторов ЛВС должно содержаться в «Регламенте администрирования корпоративной сети». Каждой административной группе предоставляются только те полномочия, которые необходимы для выполнения задач администрирования определенных в Регламенте.
С целью упрощения задач управления доступом пользователей к ресурсам ЛВС назначение прав доступа осуществляется на уроне групп безопасности. Каждая пользовательская учетная запись входит в состав одной или нескольких групп в зависимости от принадлежности пользователя к тому или иному подразделению и его должностными обязанностями.
Требования к подсистеме предотвращения утечки информации по техническим каналам
Подсистема предотвращения утечки информации по техническим каналам предназначена для обеспечения защиты информации при ее обработке, хранении и передаче по каналам связи, а также конфиденциальной речевой информации, циркулирующей в специально предназначенных помещениях для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.). Она представляет собой совокупность организационно-технических мер по физической защите помещений, каналов передачи информации и технических средств, электромагнитной развязке между информационными цепями, по которым циркулирует защищаемая информация, развязка цепей электропитания объектов защиты с помощью сетевых помехоподавляющих фильтров и другие меры защиты, предпринимаемые в соответствии с требованиями и рекомендациями нормативных документов.
При проведении работ по защите конфиденциальной речевой информации, циркулирующей в защищаемых помещениях, необходимо руководствоваться соответствующими требованиями СТР-К, направленными на исключение возможности перехвата конфиденциальной речевой информации в системах звукоусиления и звукового сопровождения кино- и видеофильмов, при осуществлении ее магнитной звукозаписи и передачи по каналам связи.
Передача конфиденциальной речевой информации по открытым проводным каналам связи, выходящим за пределы контролируемой зоны, и радиоканалам должна быть исключена. При необходимости передачи информации следует использовать защищенные линии связи. Используемые средства защиты информации должны быть сертифицированы по требованиям безопасности информации.
При защите конфиденциальной цифровой информации от утечки по техническим каналам необходимо руководствоваться следующими требованиями СТР-К:
использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
использование сертифицированных средств защиты информации;
размещение объектов защиты на максимально возможном расстоянии от границы контролируемой зоны;