Инструкция по проведению мониторинга информационной

Государственное образовательное
учреждение
высшего профессионального образования
«САМАРСКИЙ ГОСУДАРСТВЕННЫЙ
ЭКОНОМИЧЕСКИЙ УНИВЕРСИТЕТ»
ИНСТРУКЦИЯ ПО ПРОВЕДЕНИЮ
МОНИТОРИНГА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ И ОРГАНИЗАЦИИ
РАБОТ ПО СОПРОВОЖДЕНИЮ
КОРПОРАТИВНОЙ КОМПЬЮТЕРНОЙ
СЕТИ
УТВЕРЖДЕНО
приказом ректора
ГОУ ВПО СГЭУ
от «____» _____________2011г.
№_______
1.
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Инструкция определяет порядок планирования и
проведения мониторинга информационной безопасности автоматизированных
систем и порядок организации работ по техническому сопровождению
корпоративной компьютерной сети Государственного образовательного
учреждения
высшего
профессионального
образования
«Самарский
государственный экономический университет» (далее - Университет).
1.2. Мониторинг информационной безопасности автоматизированных
систем и организацию работ по техническому сопровождению корпоративной
компьютерной сети осуществляет центр сопровождения информационных
технологий (далее — ЦСИТ) управления информатизация (далее УИ) и
назначенные приказом ректора в соответствии с “инструкцией о корпоративной
компьютерной сети СГЭУ” администратор информационной безопасности и
администраторы логических сегментов сети.
2.
МОНИТОРИНГ АППАРАТНОГО ОБЕСПЕЧЕНИЯ
2.1. Мониторинг
работоспособности
аппаратных
компонентов
автоматизированных систем осуществляется в процессе их обслуживания и при
проведении работ по техническому обслуживанию оборудования. Наиболее
существенные компоненты системы, имеющие встроенные средства контроля
работоспособности (серверы, активное сетевое оборудование), должны
контролироваться постоянно.
3.
МОНИТОРИНГ ПАРОЛЬНОЙ ЗАЩИТЫ
3.1. Мониторинг
парольной
защиты
и
контроль
надежности
пользовательских паролей предусматривают:
 установление сроков действия паролей (3 месяца) на основании
«Инструкции об организации парольной защиты на объектах
вычислительной техники»;
 периодическую (не реже 1 раза в месяц) проверку
пользовательских паролей на количество символов и очевидность
с целью выявления слабых паролей, которые легко угадать или
1
дешифровать с помощью специализированных программных
средств (взломщиков паролей).
МОНИТОРИНГ ПОПЫТОК НЕСАНКЦИОНИРОВАННОГО
ДОСТУПА
4.1. Предупреждение
и
своевременное
выявление
попыток
несанкционированного доступа осуществляется с использованием средств
операционной системы, специальных программных средств и предусматривает:
 фиксацию неудачных попыток входа в систему в системном
журнале;
 протоколирование работы сетевых сервисов;
 выявление фактов сканирования определенного диапазона сетевых
портов в короткие промежутки времени с целью обнаружения
сетевых анализаторов, изучающих систему и выявляющих ее
уязвимости.
4.
5.
МОНИТОРИНГ ПРОИЗВОДИТЕЛЬНОСТИ
5.1. Мониторинг производительности автоматизированных систем
производится по обращениям пользователей в ходе обслуживания систем и при
проведении профилактических работ.
6.
СИСТЕМНЫЙ АУДИТ
6.1. Системный аудит производится администратором информационной
безопасности ежеквартально и в особых ситуациях. Он включает проведение
обзоров безопасности с занесением записей в Журнал обзоров безопасности
(Приложение №1), тестирование системы, контроль внесения изменений в
системное программное обеспечение.
6.2. Журналы обзоров безопасности должны включать:
 отчеты о безопасности пользовательских ресурсов, включающие
наличие
повторяющихся
пользовательских
имен
и
идентификаторов, неправильных форматов регистрационных
записей, пользователей без пароля, неправильной установки
домашних
каталогов
пользователей
и
уязвимостей
пользовательских окружений;
 проверку содержимого файлов конфигурации на соответствие
списку для проверки;
 обнаружение изменений системных файлов со времени
проведения последней проверки (контроль целостности
системных файлов);
 проверку прав доступа и других атрибутов системных файлов
(команд, утилит и таблиц);
 проверку правильности настройки механизмов аутентификации и
авторизации сетевых сервисов;
2
 проверку корректности конфигурации системных и активных
сетевых устройств (мостов, маршрутизаторов, концентраторов и
сетевых экранов).
6.3. Активное тестирование надежности механизмов контроля доступа
производится путем осуществления попыток проникновения в систему (с
помощью автоматического инструментария или вручную).
6.4. Пассивное
тестирование
механизмов
контроля
доступа
осуществляется путем анализа конфигурационных файлов системы.
Информация об известных уязвимостях извлекается из документации и
внешних источников. Затем осуществляется проверка конфигурации системы с
целью выявления опасных состояний системы, т.е. таких состояний, в которых
могут проявлять себя известные уязвимости. Если система находится в опасном
состоянии, то, с целью нейтрализации уязвимостей, необходимо, либо изменить
конфигурацию системы (для ликвидации условий проявления уязвимости),
либо установить программные коррекции, либо установить другие версии
программ, в которых данная уязвимость отсутствует, либо отказаться от
использования системного сервиса, содержащего данную уязвимость.
6.5. Внесение изменений в системное программное обеспечение
осуществляется с условием обязательного документирования изменений в
соответствующем журнале; уведомлением каждого сотрудника, которого
касается изменение; рассмотрением претензий в случае, если внесение
изменений повлекло причинение вреда; разработкой планов действий в
аварийных ситуациях для восстановления работоспособности системы, если
внесенное в нее изменение вывело ее из строя.
7.
АНТИВИРУСНЫЙ КОНТРОЛЬ
7.1. Для защиты объектов вычислительной техники необходимо
использовать антивирусные программы:
 резидентные
антивирусные
мониторы,
контролирующие
подозрительные действия программ;
 утилиты для обнаружения и анализа новых вирусов.
7.2. К использованию допускаются только лицензионные средства защиты
от вредоносных программ и вирусов или сертифицированные свободно
распространяемые антивирусные средства.
7.3. При подозрении на наличие не выявленных установленными
средствами защиты заражений следует использовать Live CD с другими
антивирусными средствами.
7.4. Запуск
антивирусных
программ
должен
осуществляться
автоматически по заданию, централизованно созданному с использованием
планировщика задач (входящим в поставку операционной системы либо
поставляемым вместе с антивирусными программами).
7.5. Антивирусный контроль объектов вычислительной техники должен
проводиться в соответствии с «Инструкцией по организации антивирусной
защиты на объектах вычислительной техники».
3
7.6. Устанавливаемое (изменяемое) на серверы программное обеспечение
должно быть предварительно проверено на отсутствие компьютерных вирусов
и вредоносных программ. Непосредственно после установки (изменения)
программного обеспечения сервера должна быть выполнена антивирусная
проверка.
7.7. На серверах систем, обрабатывающих персональные данные,
необходимо применять специальное антивирусное программное обеспечение,
позволяющее:
 осуществлять антивирусную проверку файлов в момент попытки
записи файла на сервер;
 проверять каталоги и файлы по расписанию с учетом нагрузки на
сервер.
7.8. На серверах электронной почты необходимо применять антивирусное
программное обеспечение, обеспечивающее проверку всех входящих
сообщений. В случае, если проверка входящего сообщения на почтовом сервере
показала наличие в нем вируса или вредоносного кода, отправка данного
сообщения должна блокироваться.
7.9. Отдел обслуживания вычислительной техники (далее ООВТ) ЦСИТ
должен еженедельно проводить проверки протоколов работы антивирусных
программ с целью выявления пользователей и каналов, через которых
распространяются вирусы. При обнаружении зараженных вирусом файлов
должны быть выполнены следующие действия:
 отключить от компьютерной сети объекты вычислительной
техники, представляющие вирусную опасность, до полного
выяснения каналов проникновения вирусов и их уничтожения;
 немедленно
сообщить
о факте обнаружения вирусов
администратору информационной безопасности с указанием
предположительного источника (отправителя, владельца и т.д.)
зараженного файла, типа зараженного файла, характера
содержащейся в файле информации, типа вируса и выполненных
антивирусных мероприятий.
8. АНАЛИЗ ПОПЫТОК ВЗЛОМА ИНЦИДЕНТОВ
8.1. Если администратор информационной безопасности подозревает или
получил сообщение о том, что система подвергается атаке или уже была
скомпрометирована, то он должен установить:
 факт попытки несанкционированного доступа (далее - НСД);
 продолжается ли НСД в настоящий момент;
 кто является источником НСД;
 что является объектом НСД;
 когда происходила попытка НСД;
 как и при каких обстоятельствах была предпринята попытка НСД;
 точка входа нарушителя в систему;
 была ли попытка НСД успешной;
4
 определить системные ресурсы, безопасность которых была
нарушена;
 какова мотивация попытки НСД.
8.2. Для выявления попытки НСД необходимо установить, какие
пользователи в настоящее время работают в системе, на каких объектах
вычислительной техники. Выявить подозрительную активность пользователей,
проверить, что все пользователи вошли в систему со своих рабочих мест, и
никто из них не работает в системе необычно долго. Кроме того, необходимо
проверить, что никто из пользователей не выполняет подозрительных программ
и программ, не относящихся к его области деятельности.
8.3. При анализе системных журналов необходимо произвести следующие
действия:
 проверить наличие подозрительных записей системных журналов,
сделанных в период предполагаемой попытки НСД, включая вход
в систему пользователей, которые должны были отсутствовать в
этот период времени, входы в систему из неожиданных мест, в
необычное время и на короткий период времени;
 проверить не уничтожен ли системный журнал и нет ли в нем
пробелов;
 просмотреть списки команд, выполненных пользователями в
рассматриваемый период времени;
 проверить наличие исходящих сообщений электронной почты,
адресованные подозрительным хостам;
 проверить наличие мест в журналах, которые выглядят необычно;
 выявить попытки получения полномочий суперпользователя или
другого привилегированного пользователя;
 выявить наличие неудачных попыток входа в систему.
8.4. В ходе анализа журналов активного сетевого оборудования (мостов,
переключателей, маршрутизаторов, шлюзов) необходимо:
 проверить наличие подозрительных записей системных журналов,
сделанных в период предполагаемой попытки НСД;
 проверить не уничтожен ли системный журнал и нет ли в нем
пробелов;
 проверить наличие мест в журналах, которые выглядят необычно;
 выявить попытки изменения таблиц маршрутизации и адресных
таблиц;
 проверить конфигурацию сетевых устройств с целью определения
возможности
нахождения
в
системе
программы,
просматривающей весь сетевой трафик.
8.5. Для обнаружения в системе следов НСД в виде файлов, вирусов,
троянских программ, изменений системной конфигурации необходимо:
 составить базовую схему того, как обычно выглядит система;
 провести поиск подозрительных файлов, скрытых файлов, имен
файлов и каталогов, которые обычно используются при НСД;
5
 проверить содержимое системных файлов, которые обычно
изменяются при НСД;
 проверить целостность системных программ;
 проверить систему аутентификации и авторизации.
8.6. В
случае
заражения
значительного
количества
объектов
вычислительной техники после устранения последствий заражения проводится
системный аудит.
9. ПОРЯДОК ПРОВЕДЕНИЯ РЕЗЕРВНОГО КОПИРОВАНИЯ
9.1. Для предотвращения потери данных из-за сбоев оборудования,
уничтожения оборудования, программных ошибок, неправильных действий
персонала и других возможных причин утери информации предусмотрена
система регулярного резервного копирования данных. Такое резервное
копирование позволяет в случае возникновения ошибки и потери информации
вернуться к ближайшей работоспособной копии.
9.2. Резервное копирование критически важной информации и
информации, размещенной на серверах, выполняется на предназначенные для
этих целей сервера, ленточные накопители и оптические носители.
9.3. Резервное копирование проводится автоматически в установленные
промежутки времени (ночью, 1 раз в сутки).
9.4. На
объектах
вычислительной
техники
пользователей
не
предусматривается резервного копирования системной информации, но в целях
сохранности важных документов пользователю желательно проводить
архивирование и хранение данных документов на оптических дисках (CD-R).
10.УКАЗАНИЯ ПО ПРОВЕДЕНИЮ ПРОФИЛАКТИЧЕСКИХ РАБОТ
10.1. Профилактические работы проводятся строго в соответствии с
установленным графиком. График проведения профилактических работ на
серверах на следующий месяц составляется администратором ЛСС и
утверждается начальником ЦСИТ.
10.2. Администратор ЛСС обязан включить в график все периодические
профилактические работы, независимо от необходимости их проведения.
10.3. Проведение профилактических работ должно фиксироваться с
описанием перечня действий согласно Приложениям № 2, 3 к настоящей
Инструкции.
10.4. Профилактика целостности операционной системы, сетевого
взаимодействия, проверка работы сервисов и служб проводятся в рабочем
порядке, поскольку в подавляющем большинстве случаев не требуют
перезагрузки серверов.
10.5. Профилактика баз данных, проверки на наличие вирусов,
обновлений системы и серверных приложений, проверка отказоустойчивости
системы, профилактика работоспособности дисковой и файловой подсистем,
6
остановки сервера для чистки и вентиляции проводятся в рабочее время с
учетом времени минимальной загрузки серверов.
10.6. Профилактические работы на серверах, требующие длительного
(более 1 часа) отключения и способные повлиять на рабочие процессы в
Университете, проводятся в выходные дни, с оплатой работы сотрудников в
соответствии с трудовым законодательством РФ и коллективным договором
Университета. Начальник ЦСИТ обязан оповестить начальника УИ о
предстоящих профилактических работах не менее чем за двое суток до их
проведения.
10.7. В
случае
обнаружения
неоднократных
попыток
несанкционированного доступа к ресурсам, вируса в локальной сети или другой
нештатной ситуации, которая ставит под угрозу нормальное прохождение
информационных потоков, администратор ЛСС обязан в кратчайший срок
поставить об этом в известность администратора информационной
безопасности, начальника ЦСИТ и начальника УИ.
10.8. Процедуры, необходимые для проведения профилактических работ,
включают в себя:
 анализ журналов событий серверов: проводится ежедневно для
выявления ошибок, связанных с функционированием базовых
компонентов серверного аппаратно-программного комплекса;
выявление возможных ошибок производится путем просмотра
журнала событий сервера с оценкой возможной неисправности и
способов ее устранения; при обнаружении сообщения об ошибке,
способной вызвать устойчивую неработоспособность сети,
администратор ЛСС обязан доложить об этом администратору
информационной безопасности;
 анализ отчетов системы безопасности: проводится ежедневно с
целью выявления соответствия политик доступа к ресурсам
локальной сети путем просмотра журналов системы безопасности
серверов
и
программ,
отвечающих
за
безопасность
информационных потоков с оценкой соответствия доступа
пользователей
к
ресурсам
критериям
информационной
безопасности Университета; при обнаружении ситуации,
выходящей за рамки штатной (попытки несанкционированного
доступа к компонентам или ресурсам сети), администратор ЛСС
обязан доложить об этом администратору информационной
безопасности и принять необходимые меры по нормализации
ситуации;
 проверка работоспособности почтовых служб и служб Интернет:
проводится ежедневно с целью поддержания возможности
получения пользователями оперативной информации из внешних
источников; проверка заключается в просмотре сетевых
соединений и анализе журналов событий почтовых и Интернетслужб;
7
 анализ Интернет-трафика: проводится ежедневно с целью
предотвращения нецелевого использования Интернет-ресурсов;
анализ проводится путем построения диаграмм использования
Интернет-ресурсов с помощью штатных программных средств
сервера и дополнительных программных пакетов;
 анализ возможностей доступа пользователей к сетевым ресурсам:
проводится ежедневно с целью определения возможности
совместного доступа к различным сетевым ресурсам и
выполнения пользователями их должностных обязанностей;
анализ проводится с помощью штатных средств мониторинга
сетевой операционной системы; в случае необходимости
администратор ЛСС проводит изменения в политиках доступа к
сетевым ресурсам в соответствии со своими должностными
обязанностями;
 просмотр отчетов служебных программ: проводится с целью
проверки работоспособности пользовательских приложений,
установленных на сервере; в случае обнаружения неполадок в
работе администратор ЛСС ставит в известность об этом
руководителя структурного подразделения, пользующегося
данным программным обеспечением;
 проверка сетевого взаимодействия: производится еженедельно в
начале рабочей недели и включает в себя краткий анализ
журналов событий и графиков загрузки сети; целью проверки
является обнаружение крупных неполадок в работе сетевых
компонентов и их устранение;
 проверка работы служб: проводится еженедельно на каждом из
работающих серверов, находящихся в ЛСС; проверка включает в
себя просмотр стандартных служб серверов на предмет их
работоспособности;
 проверка наличия обновлений операционной системы и серверных
приложений: проводится еженедельно с целью поддержания
работоспособности аппаратно-программного комплекса на
должном уровне и сохранения безопасности использования
внешних источников информации; в случае необходимости
обновления серверных приложений и компонентов операционной
системы данные компоненты обновляются в порядке,
установленном настоящей Инструкцией.
 Общая профилактика объектов вычислительной техники,
проверки на наличие вирусов, обновлений операционной системы
и клиентских приложений проводятся в рабочее время с учетом
времени минимальной загрузки объектов вычислительной
техники.
 О любых изменениях конфигурации аппаратной части рабочего
места пользователя, обнаруженных в процессе профилактических
8
работ, сотрудником ЦСИТ составляется служебная записка на имя
начальника УИ.
11.ПЕРЕЧЕНЬ ПРОФИЛАКТИЧЕСКИХ РАБОТ
11.1. Профилактические работы включают в себя:
 анализ журналов событий серверов (ежедневно);
 анализ отчетов системы безопасности (ежедневно);
 анализ изменения состава групп безопасности в AD (Active
Directory);
 выявление попыток несанкционированного доступа к ресурсам;
 выявление попыток несанкционированного изменения уровня
доступа к ресурсам;
 проверку работоспособности почтовых служб и служб Интернет
(ежедневно);
 анализ Интернет-трафика (ежедневно);
 анализ возможностей доступа пользователей к сетевым ресурсам
(ежедневно);
 просмотр отчетов служебных программ (ежедневно);
 проверку сетевого взаимодействия (1 раз в неделю);
 проверку работы сервисов и служб (1 раз в неделю);
 проверку наличия обновлений операционной системы и серверных
приложений (1 раз в неделю);
 профилактику баз данных (1 раз в неделю);
 антивирусную профилактику сервера (1 раз в неделю);
 проверку целостности операционной системы (1 раз в 2 недели);
 принудительную проверку отказоустойчивости системы (1 раз в 2
недели);
 профилактику дисковой и файловой подсистем на сервере (1 раз в
2 недели);
 профилактическую остановку сервера (1 раз в 2 недели);
 составление отчета доступа к Интернет-ресурсам (1 раз в месяц);
 профилактические работы на объектах вычислительной техники
(выполняются пользователем, по необходимости при помощи
сотрудников ООВТ ЦСИТ).
К профилактическим работам на объектах вычислительной техники
относятся:
 проверка
обновления
клиентских
приложений
(по
необходимости);
 проверка времени последнего обновления антивирусных баз (1 раз
в неделю);
 выявление попыток несанкционированной установки приложений
пользователем (ежедневно);
9
 удаление временных и устаревших копий файлов (по
необходимости);
 выполнение прочих работ, непосредственно связанных с
работоспособностью объектов вычислительной техники (по
необходимости).
Начальник Управления информатизации
Начальник Центра сопровождения
информационных технологий
Заведующий Отделом управления сетью
(подпись)
А.Г. Абросимов
(подпись)
А.В. Лунин
(подпись)
Д.Р. Вагин
СОГЛАСОВАНО:
Проректор по правовым вопросам
и управлению имуществом
Начальник Управления кадров
Начальник Отдела менеджмента качества
Юридический отдел
(подпись)
Ф.Ф. Шпанагель
(подпись)
Г.Н. Полстьянова
(подпись)
Л.А. Илюхина
(подпись)
О.Е. Девяткина
С Инструкцией ознакомлены:
__________________
____________________ ____________________
должность
__________________
должность
__________________
должность
__________________
должность
ФИО
дата
____________________ ____________________
ФИО
дата
____________________ ____________________
ФИО
дата
____________________ ____________________
ФИО
дата
1
0
Приложение № 1
Форма журнала по безопасности за _______ 20 __г.
Имя/Инвентарный
номер
компьютера/сервера
Дата
Планируемые работы
по ситемному аудиту
Фактически
выполненные
работы
Результат
Лицо,
проводившее
аудит
Приложение № 2
Профилактические работы
Ежедневные работы
Еженедельные работы
Декадные работы
Анализ Интернет-траффика
Проверка сетевого
взаимодействия
Проверка целостности
операционной системы
Анализ возможностей
доступа пользователей к
сетевым ресурсам
Профилактика баз данных
Принудительная проверка
отказоустойчивости
системы
Просмотр отчетов
служебных программ
Проверка наличия
обновлений операционной
системы и серверных
приложений
Профилактика дисковой и
файловой подсистем на
сервере
Анализ журналов событий
серверов
Проверка работы сервисов
и служб
Анализ отчетов системы
безопасности
Проверка
работоспособности
почтовых служб и служб
Интернета
Выявление попыток
несанкционированной
установки приложений на
рабочих станциях
Антивирусная
профилактика сервера
Проверка времени
последнего обновления
антивирусных баз на
рабочих станциях
Удаление временных и
устаревших копий файлов
Выполнение прочих
работ, непосредственно
связанных с
работоспособностью
рабочих станций
Профилактический
останов сервера
Ежемесячные работы
Составление отчета
доступа к Интернетресурсам
Удаление временных и
устаревших копий
файлов
-
-
-
-
-
-
-
1
1
Приложение № 3
Перечень проведенных профилактических работ за _______ 20 __г.
Дата
Инвентарный номер
компьютера
Планируемые
профилактические
работы
Фактически
выполненные
работы
Результат
Лицо,
проводившее
профилактику
1
2