Алгоритм создание информационной безопасности

Программа создания системы информационной безопасности
компании (применительно к информации,
представленной в электронном виде)
В случае минимальной угрозе информационным ресурсам рекомендуется проведение следующих мероприятий:
1. Общие организационные мероприятия по защите.
1.1. Из всех информационных ресурсов фирмы выделить информацию, которая может представлять коммерческую ценность, а также представлять интерес
для правоохранительных и контролирующих органов. В общем плане к такой информации может быть отнесено:
-
информация управленческого характера;
плановые документы;
финансы;
данные по рынку;
сведения о партнерах;
информация о переговорах;
контракты;
ценовая информация;
торги, аукционы;
информация технологического характера и т.д.
В отдельную группу информации с ограниченным доступом выделить бухгалтерскую информацию, доступную только сотрудникам бухгалтерии и руководству.
Решение о выделении конфиденциальной информации должно принять руководство фирмы. При необходимости данную информацию можно разделить на несколько групп по принципу конфиденциальности, например «для служебного пользования», «конфиденциально» и «строго конфиденциально».
1.2. На фирме создать две автономные компьютерные сети: сеть, в которой
циркулирует конфиденциальная информация и сеть, в которой циркулируют финансовые документы (сеть бухгалтерии). Данные сети должны быть созданы в защищенном варианте, не иметь выход в Интернет и не быть связанными физически
с основной сетью организации. В них должен осуществляться контроль выводимой
информации.
1.3. В основной компьютерной сети фирмы исключить циркуляцию конфиденциальной информации.
1.4. Организовать контроль за средствами копирования информации и средствами перевода компьютерной информации на бумажные носители. Рекомендуется с компьютеров, работающих в сетях, обрабатывающих конфиденциальную
или бухгалтерскую информацию снять дисководы и заблокировать порты, через
которые можно скачать информацию (за исключением одного, находящегося на
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
2
компьютере уполномоченного лица, через который в сеть можно будет вводить и
выводить информацию). Также в этой сети должен быть только один принтер, контроль за котором возложить на уполномоченное лицо. Возможно применение программных средств, защищающих от копирования.
1.5. Определить места, предназначенных для обработки конфиденциальной
(бухгалтерской) информации и оборудовать их средствами контроля доступа.
Определение места предполагает определение помещений и определение конкретных мест расположения оргтехники, обрабатывающей конфиденциальную информацию. Рекомендуется все помещения оснастить средствами контроля доступа.
Желательно использовать замки с магнитными картами, таблетками Touch Memory
или другими программными средствами контроля доступа. Применение кодовых
клавиатур не рекомендуется.
1.6. Создать контрольно-пропускной режим в организации, исключающий
доступ посторонних людей в здание фирмы, а также строгий контроль вносавыноса средств электронно-вычислительной техники. Рекомендуется установить
правила, по которым запретить нахождение неуполномоченных лиц в помещениях,
где обрабатывается конфиденциальная информация и определить, что посторонние
лица должны находиться в здании фирмы только в присутствии людей, к которым
они пришли. Данные и иные требования отразить в соответствующей инструкции.
1.7. Определить правила работы с конфиденциальной и иной служебной информацией фирмы и закрепить их в соответствующих инструкциях. В частности
рекомендуется:
-
все бумажные носители, на которых печатается служебная информация (не зависимо от того, конфиденциальная она или нет) должны уничтожаться в шредерах, а не находиться в мусорных корзинах;
-
запретить несанкционированный вынос магнитных и иных носителей, на которых имеется конфиденциальная (бухгалтерская) информация;
-
обязать хранить все носители конфиденциальных (бухгалтерских) документов
в сейфах (если бумажные носители) или в зашифрованном виде (если электронные носители).
1.8. Провести материально-техническое оборудование фирмы для создания
условий по сохранности конфиденциальной информации, в частности, снастить сотрудников фирмы машинками для гарантированного уничтожения бумажных носителей (шредерами), сейфами (металлическими ящиками) для хранения съемных
носителей с конфиденциальной информацией и т.д.
1.9. Организационно исключить раскрытие (ознакомление) сотрудниками
фирмы средств, методов и форм работы по созданию системы компьютерной
безопасности. В первую очередь это касается вопросов контроля и проверки данной системы.
1.10. Создать необходимые инструкции, регламентирующие вопросы информационной безопасности в целом и вопросы защиты компьютерной информации в
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
3
частности. Данные инструкции должны быть утверждены у руководства и доведены до всех сотрудников фирмы под роспись в рамках выполняемых ими функциональных обязанностей.
1.11. Организационно исключить возможность злоумышленниками получить
один и тот же документ в открытом и в зашифрованном виде, так как в этом
случае возможно вычислить ключ шифрования.
2. Кадровые мероприятия по защите
2.1. Определить перечень должностных лиц, допущенных к работе с конфиденциальными сведениями. Эти люди должны быть надежны, проверены, иметь достойные характеристики, с ними необходимо провести беседы по сохранности
конфиденциальной информации, а также предупредить о возможной ответственности за разглашение информации, составляющей конфиденциальную тайну организации (ответственность по Уголовному кодексу РФ, Гражданскому кодексу РФ,
Трудовому кодексу РФ и т.д.). Круг данных людей должен быть сведен к минимуму.
2.2. Возложить на системного администратора обязанности по информационной безопасности компьютерной сети. Данное возложение обязанностей осуществить официальным порядком в виде соответствующего приказа руководителя и
утверждения должностных инструкций (права, обязанности и т.д.). Выполнение
этих обязанностей предполагает увеличение объема работ и, соответственно, увеличение заработной платы администратору сети. Сотрудники организации обязаны
выполнять требования администратора сети в части информационной безопасности. Данное требование также необходимо закрепить в соответствующих инструкциях.
2.3. Приобрести администратором сети теоретические знания и практические навыки по информационной безопасности. Теоретические знания рекомендуется получать в специализированных учебных заведениях, специализирующихся
по подготовке кадров в сфере компьютерной безопасности, например, в учебном
центре НПО «Информзащита». Администратор сети должен быть в курсе современных методов защиты компьютерной информации, посещать специализированные выставки и знакомиться с периодической литературой по данной проблеме.
2.4. Провести инструктивные занятия с сотрудниками фирмы по основам
безопасности компьютерной информации. После получения теоретических знаний
все сотрудники фирмы должны пройти соответствующее тестирование, сдачу зачетов и расписаться в ведомости. Рекомендуется инструктивные занятия проводить с
определенной периодичностью и подкреплять теоретические знания получением
практических навыков. В частности определить жесткое правило, по которому сотрудник, покидающий свое рабочее место (даже на небольшое количество времени), обязан отключить свой электронный идентификатор (запоролить машину в
случае отсутствия электронного идентификатора). Особое внимание обратить на
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
4
инструктаж сотрудников, имеющих дело с обработкой конфиденциальной информации (в том числе с бухгалтерской).
2.5. Разработать систему контроля за соблюдением сотрудниками фирмы
правил информационной безопасности. Рекомендуется функции контроля возложить на администратора сети. Контроль должен быть как открытый, так и скрытый. По результатам контрольных проверок целесообразно установить формы и
виды ответственности (в том числе материальной) за нарушение установленных
правил. Следует иметь в виду, что в большинстве коммерческих организаций система безопасности компьютерной информации начинает действовать только после
применения мер наказания.
2.6. Определить алгоритм действий сотрудников фирмы при возникновении
чрезвычайных ситуаций (пожар, неожиданная проверка контролирующих или правоохранительных органов и т.д.) на предмет обеспечения компьютерной безопасности.
3. Инженерные и организационно-технические мероприятия по защите
3.1. Расположить мониторы сотрудников так, чтобы визуально не было возможности получать с них информацию неуполномоченными лицами. Неуполномоченными лицами могут быть иные сотрудники фирмы, находящиеся в комнате, посетители или другие лица. Следует иметь в виду, что злоумышленник может иметь
бинокль или другой прибор, позволяющий получать визуальную информацию с
большого расстояния через окно. Применять режим гашения экранов мониторов.
3.2. Запретить сотрудникам хранить на персональных компьютерах информацию личного характера, а также игровые программы и выполнять действия, не
связанных с выполнением должностных обязанностей.
3.3. Осуществить физическую защиту сервера, линий сети и коммутационного оборудования. Сервер, а также коммутационное оборудование (хабы, концентраторы и т.д.) рекомендуется установить в запираемые металлические ящики, в помещениях, где к ним исключен несанкционированный физический доступ. Линии
компьютерной связи, особенно в тех местах, где они проходит по неконтролируемой территории, убрать в металлические трубы. Рекомендуется использовать магнитооптику, а не «витую пару».
3.4. Приобретать оргтехнику только в крупных специализированных фирмах,
дающих гарантию и занимающихся ее ремонтом и обслуживанием. Исключить самодеятельность, связанную с самостоятельным сбором техники, ее усовершенствованием и ремонтом. Перед любым выносом (в том числе для ремонта) с контролируемой территории компьютеров, на которых обрабатывается конфиденциальная
информация, осуществить уничтожение информации способами, гарантирующими
ее невосстановление. Если сотрудники компьютерной фирмы производят ремонт
оргтехники на территории заказчика, то присутствие системного администратора
при этом процессе обязательно.
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
5
3.5. Опечатать все компьютеры, находящиеся в фирме, печатью системного
администратора. Установить правило, по которому вскрытие любой оргтехники
должно осуществляться только системным администратором или лицом, его замещающим. Данное правило отразить в соответствующей инструкции (например, в
инструкции по информационной безопасности или в инструкции по организации
работы в локальной вычислительной сети). Также пользователям компьютеров запретить самостоятельную установку дополнительных аппаратных продуктов
(плат).
4. Технические мероприятия по защите
4.1. Защиту основной компьютерной сети осуществлять программными средствами разделения доступа и защиты информации, предусмотренной сетевым программным обеспечением Windows 2000, программными средствами защиты от несанкционированного доступа из сети Интернет (например Firewall, Check Point) и
т.д. Для устойчивого функционирования сети рекомендуется применять компьютеры одного класса, в идеале одной конфигурации.
4.2. На всех компьютерах применять парольную защиту: на включение машины, на выход из режима «гашение экрана», на обращение к защищенным ресурсам,
на вход в «Bios» и т.д.. Данные пароли должны быть достаточно длинными (не менее 7 символов), периодически изменяться (рекомендуемая смена раз в квартал),
меняться после того, как он стал известен неуполномоченным лицам. Со всеми сотрудниками необходимо провести инструктивное занятие о сохранности паролей.
Смена паролей является исключительной компетенцией системного администратора.
4.3. Всем сотрудникам, имеющим автоматизированное рабочее место (компьютер) выдать электронные ключи идентификации. Данные ключи наиболее приемлемы в форме брелка «eToken» или таблетки «Touch memory». Они позволяют персонифицировать пользователя при загрузке компьютера, осуществлять аппаратную
защиту «Bios», блокировать загрузку компьютера со съемных носителей, аутентифицировать пользователей при входе в сеть и обращения к защищенным ресурсам
и т.д. Вместе с парольной защитой являются достаточно эффективными мерами по
обеспечению компьютерной безопасности. Создание электронных ключей является
исключительной компетенцией системного администратора.
4.4. Экраны мониторов компьютеров, на которых обрабатывается конфиденциальная информация (в том числе бухгалтерская) оснастить поляризационными
экранами. Это позволит исключить ознакомление с конфиденциальной информацией, представленной на мониторе, неуполномоченным лицам.
4.5. Устанавливать только лицензионные программные продукты. При отсутствии таких продуктов устанавливать только проверенные и протестированные
программные продукты. Для этих целей выделить отдельный компьютер, на котором производить тестирование и настройку сомнительных программных продукАвтор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
6
тов, а также проверять совместимость различных программ. Пользователям запретить самостоятельную установку программных продуктов.
4.6. Осуществлять периодическое техническое обслуживание оргтехники
(удаление пыли, чистка принтеров, копировальных аппаратов и т.д.). Данные работы должен производить системный администратор по регламенту, установленному
на основе норм технического обслуживания конкретной единицы оргтехники.
4.7. Закрепить за каждой единицей оргтехники ответственного пользователя. Пользователь должен лично отвечать (в том числе материально) за сохранность
оргтехники, сохранность информации, находящейся на компьютерах, работать
только на закрепленной за ним технике, соблюдать иные требования.
4.8. Завести технические карточки на каждую единицу оргтехники. В ней
указывать: состав оборудования, установленные программы, ответственного за
эксплуатацию, кто и в какое время проводил техническое обслуживание, ремонт и
т.д. Технические карточки хранить у системного администратора.
4.9. Установить криптографическую защиту конфиденциальной компьютерной информации (в том числе бухгалтерской). Рекомендуется применять надежные
алгоритмы шифрования с большой длиной ключа (например, продукция фирмы
Aladdin с алгоритмом Криптон). Определить периодичность смены ключей шифрования и случаи, при которых происходит экстренная смена ключа или ключей
шифрования.
4.10. Установить программные средства контроля за состоянием компьютеров. В первую очередь данные программы должны регулярно проверять жесткий
диск на наличие плохих (bad) секторов. Для их обнаружения можно воспользоваться утилитой Disk Doctor из комплекта Norton Utilities.
4.11. Установить антивирусную защиту сервера и всех компьютеров. В качестве рекомендуемых продуктов можно порекомендовать Norton Antivirus или Антивирус Касперского. Рекомендуется применять несколько программных продуктов различных фирм. Обратить особое внимание на то, чтобы эти продукты были
лицензионные. Настройку антивирусных продуктов должен производить администратор сети таким образом, чтобы они были установлены в режиме монитора и
позволяли перекрывать все возможные каналы проникновения вирусов (через Интернет, дискеты, диски, электронную почту и т.д.). Целесообразно проверять все
файлы, а не только программные.
4.12. Приобрести и использовать блоки бесперебойного питания (UPS), лучше фирмы APC. Рекомендуется использовать «умные блоки бесперебойного питания», позволяющие не только обеспечивать питанием оргтехнику после пропадания сети, но и в этом случае корректно закрывать открытые компьютерные программы. Защита устройствами бесперебойного питания компьютеров, обрабатывающих конфиденциальную информацию обязательна.
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
7
4.13. Выполнять периодическое резервное копирование (архивирование) всех
важных данных, в том числе конфиденциальных на съемные носители (стримеры,
магнитооптику и т.д.). Установить периодичность резервного копирования, и места
хранения резервных копий. Желательно иметь не менее двух копий. Целесообразно
одну из копий хранить в ином здании, например, в арендованной банковской ячейке. Функцию резервного копирования и перемещения материальных носителей в
места хранения можно возложить на системного администратора. Особое внимание
обратить на доступ к копиям. Архивную информацию хранить только в зашифрованном виде.
4.14. Установить программные средства аудита за функционированием сети, позволяющие в любой момент определить действия, которые совершались в сети. Это позволит вычислить нарушителя компьютерной безопасности.
4.15. Передачу всей информации осуществить только в зашифрованном виде,
используя шифровальные программные средства с двумя ключами (открытым и
закрытым). Рекомендуемый алгоритм PGP. Каждому сотруднику сгенерировать
ключи шифрования и все сообщения, отправляемые по сети, электронной почте,
ICQ, передаваемые на съемных носителях и т.д. зашифровывать открытым ключом
шифрования того сотрудника, которому эта информация предназначена.
4.16. Установить программы защиты электронной почты. В качестве варианта возможно применение программа «Bat».
4.17. Установить аппаратную защиту жестких дисков компьютеров, обрабатывающих конфиденциальную информацию, с возможностью ее мгновенного
уничтожения в случае опасности. Сигналом к уничтожению информации может
служить нажатие определенной комбинации клавиш на клавиатуре (в момент работе на компьютере), несанкционированное вскрытие системного блока, срабатывание сигнализации и т.д..
4.18. Определить, что уничтожение конфиденциальной информации на магнитных носителях должно осуществляться специальными программами, гарантирующими дальнейшее невосстановление информации. Возможный вариант программа «Wipeinfo», входящей в состав «Norton Utilites».
4.19. На компьютерах, обрабатывающих конфиденциальную информацию
установить программное обеспечение, стирающее данные в файле подкачки,
например, программа Kremlin 2.21. Это связано с тем, что некоторая конфиденциальная информация может остаться в файле подкачки. Другим возможным средством является отключение механизма виртуальной памяти в операционной системе. Отключение виртуальной памяти означает, что потребуется больше физически
установленной оперативной памяти. Желательно настроить Kremlin 2.21 таким образом, чтобы при каждом выходе из Windows она обнуляла: свободное место на
всех дисках, содержимое виртуальной памяти, все файлы истории, лог файлы и
т.д.;
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
8
5. Мероприятия в случаях усиления угрозы конфиденциальной информации
5.1. Защита от побочного электромагнитного излучения и наводок (ПЭМИН),
испускаемых компьютерами. Защита предполагает:
-
спецобследование оргтехники на дальность распространения ПЭМИН;
удаление источников ПЭМИН от границы контролируемой зоны;
экранирование источников излучения;
применение жидкокристаллических экранов мониторов;
установку специальных генераторов "белого шума" вблизи источников излучения, например, ГБШ-1, Салют, Пелена, Гром;
раздельное прокладывание информационных цепей и иных кабелей;
заземление всей оргтехники и т.д.
5.2. Защита от технических средств промышленного шпионажа, вмонтированных в оргтехнику. Это предполагает проведение спецпроверок техники организациями, уполномоченными на осуществление данных видов работ. Можно порекомендовать ГУП НТЦ «Атлас». Следует иметь в виду, что спецпрверкам должна
подвергаться вся техника, задействованная в обработке конфиденциальной информации, в том числе клавиатуры, мыши, принтеры и т.д.
5.3. Установить защиту электропитания компьютеров, обрабатывающих
конфиденциальную информацию от возможного ее съема через питающие сети.
Защита может осуществляться с помощью установки трансформаторной развязки в
пределах контролирующей зоны и (или) установки генераторов шума на питающую сеть. В случае, если имеется заземление компьютеров рекомендуется установить генераторы шума и на сети заземления.
5.4. Увеличить время решения открытых задач для средств электронновычислительной техники, а также нерегулярность и несистемность работы с конфиденциальной информации, что создает для злоумышленника ситуацию "иголка в
стоге сена").
5.5. Провести специсследование помещений, в которых находится оргтехника, обрабатывающая конфиденциальную или бухгалтерскую информацию на
предмет наличия технических средств промышленного шпионажа. Рекомендуемая
фирма для размещения такого заказа – «Нелк». Данное мероприятие достаточно
дорого и его проведение целесообразно только в случае возникновения сильных
угроз.
6. Разное
6.1. В случае использования сети Интернет для передачи конфиденциальной
информации применять системы защиты, связанные с виртуальными частными сетями (VPN).
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
9
7. Рекомендации первому лицу
Приобрести «Notebook» на котором хранить и обрабатывать конфиденциальную информацию, предназначенную только для первого лица организации. Он
должен быть отсоединен от сети, но технически иметь возможность подключаться
к любой сети, созданной в организации. Хранение «Notebook» необходимо осуществлять только в сейфе, программный доступ к ресурсам компьютера должно
иметь только первое лицо, вся конфиденциальная информация записывается обязательно в зашифрованном виде. Возможным вариантом является применение съемных носителей (например Flash-карт) для хранения конфиденциальной информации. Эти носители информации первому лицу рекомендуется всегда хранить при
себе. Не забывать осуществлять резервное копирование конфиденциальной информации.
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru