Несанкционированный доступ к электронным базам данных и сетевым ресурсам


План защиты от несанкционированного доступа к электронным базам данных и сетевым ресурсам.


  1. Общие положения

От обеспечения безопасности информационной вычислительной системы организации во многом зависит бесперебойное, устойчивое и надежное функционирование бизнес-процессов в вычислительных системах организации в целом; в частности, репутация организации, доля на рынке, снижение издержек и т.п.

Ко всем данным, с которыми работает информационная вычислительная система, в обязательном порядке предъявляется требование сохранности, аутентичности и целостности. Обеспечение этих требований является первостепенным в задачах обеспечения информационной безопасности. Несанкционированный доступ к информационным ресурсам, располагающимся в электронных базах данных и на сетевых ресурсах, как правило имеет целью нарушение этих требований. Как следствие, несанкционированный доступ может нанести организации существенный финансовый, юридический и репутационный ущерб. В связи с этим одной из важнейших задач обеспечения информационной безопасности является задача максимально возможного снижения угрозы несанкционированного доступа.

Для решения этой задачи используется комплексный подход, предполагающий использование технических и программных решений, а также специальные организационные мероприятия.

  1. Классификация объектов защиты и угроз

В качестве объектов защиты выступают массивы электронной информации (а значит и содержащие их хранилища информации), которая является:

  • коммерческой тайной;
  • персональными данными физических лиц;
  • секретной ключевой информацией систем криптографической защиты информации;
  • внутренней служебной информацией, публикация которой по тем или иным причинам нежелательна;
  • иной информацией, по тем или иным причинам не подлежащей свободному распространению.

Информация по своему месторасположению по отношению к компьютеру лица, пытающегося получить к ней доступ, может:

  • Располагаться на компьютере пользователя, быть локальной (Local);
  • Располагаться в открытом для доступа сетевом каталоге другого компьютера (сервера) локальной вычислительной сети организации (Network);
  • Располагаться в базе данных одной из систем управления базами данных (СУБД) (Database);
  • Располагаться на сетевом ресурсе, доступ к которому осуществляется посредством соответствующего сетевого сервиса (например, web-сайт) (WWW).

Классификация информационных угроз:

  • Несанкционированный доступ к ресурсам и данным системы; подбор пароля, взлом систем защиты и администрирования, маскарад (действия от чужого имени);
  • перехват и подмена трафика (подделка платежных поручений, атака типа «злоумышленник посередине»);
  • IP-спуфинг (подмена сетевых адресов);
  • отказ в обслуживании (DoS);
  • атака на уровне приложений;
  • сканирование сетей или сетевая разведка;
  • использование отношений доверия в сети;
  • выполнение сотрудником организации (инсайдером) поиска, копирования, анализа, консолидации и т.п. действий, выходящих за рамки его служебных обязанностей, с информацией, доступ к которой сотруднику разрешен.

Причины, приводящие к появлению уязвимости от перечисленных угроз:

  • отсутствие гарантии конфиденциальности и целостности передаваемых данных;
  • недостаточный уровень проверки участников соединения;
  • недостаточная реализация или некорректная разработка политики безопасности;
  • отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак);
  • существующие уязвимости используемых операционных систем, программного обеспечения, СУБД, веб-систем и сетевых протоколов;
  • непрофессиональное и слабое администрирование систем;
  • проблемы при построении межсетевых фильтров;
  • сбои в работе компонентов системы или их низкая производительность;
  • уязвимости при управлении ключами.

Основные виды атак на финансовые сообщения и финансовые транзакции, проистекающие от соответствующих информационных угроз;

  • раскрытие содержимого документа;
  • представление документа от имени (другого) участника (маскарадинг);
  • несанкционированная модификация содержимого документа;
  • повтор переданной информации:
  • блокирование передачи документа.

Архитектура системы информационной безопасности, покрывающая основные классы угроз, должна содержать следующие обязательные компоненты:

  • подсистему аутентификации и авторизации пользователей;
  • антивирусную подсистему;
  • подсистему межсетевого экранирования;
  • подсистему криптографической защиты информации;
  • подсистему физической защиты;
  • подсистему защиты внутренних сетевых ресурсов;
  • подсистему защиты Web-pecypcoв и рекомендуемые компоненты:
  • подсистему обнаружения и предотвращения вторжений;
  • подсистему контроля содержимого Интернет-графика;
  • подсистему протоколирования, отчета и мониторинга средств защиты;
  • подсистему протоколирования действий пользователей и администраторов;
  • подсистему защиты рабочих станций;
  • подсистему управления информационной безопасности.
  1. Защита от НСД и других угроз извне ЛВС организации

Вследствие достаточно надежной защиты периметра локальной вычислительной сети средствами брандмауэра прямые атаки на информационные ресурсы, находящиеся внутри защищаемого периметра, со стороны лиц, находящихся вне этого периметра, малоэффективны, а поэтому маловероятны.

Гораздо более вероятную опасность представляют так называемые DoS-атаки, вызывающие «отказ в обслуживании» со стороны информационных сервисов организации, таких, как интернет сайт организации, электронная почта или со стороны технических сервисов, таких как VPN, RDP и т.п.

Методы обнаружения DoS атак:

  • сигнатурные — основанные на качественном анализе трафика;
  • статистические — основанные на количественном анализе трафика;
  • гибридные — сочетающие в себе достоинства двух предыдущих методов;
  • реакционные — основанные на получении информации о необычно медленной реакции информационной системы, недоступности ее сервисов.

План действий при DoS атаке:

  1. При получении информации о необычно медленной реакции информационной системы или иных обоснованных подозрений о происходящей DoS атаке необходимо проинформировать начальника управления автоматизации и администратора информационной безопасности.
  2. Отделу телекоммуникаций необходимо прекратить (физически или логически) внешний доступ к атакуемому сетевому сервису.
  3. При этом необходимо собрать как можно больше информации о характере атаки, ее интенсивности, источниках, возможных целях. Для этого использовать информацию из системных журналов соответствующих систем.
  4. На основе полученной информации об источнике атаки применять как пассивные защитные меры (фильтрация адресов, протоколов, портов, уклонение, т.е. увод непосредственной цели атаки (доменного имени или IP- адреса) от других ресурсов сети), так и активные — воздействие на источники, организатора или центр управления атакой, как технического, так и организационно-правового характера

В качестве превентивных мероприятий следует использовать:

  • Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать DoS-атаки. Очень часто атаки являются следствиями личной обиды, политических, религиозных разногласий, провоцирующего поведения жертвы и т. п.
  • Фильтрация и блэкхолинг. Эффективность этих методов снижается по мере приближения к цели атаки и повышается по мере приближения к её источнику.
  • Устранение уязвимостей. Не работает против атак типа флуд, для которых «уязвимостью» является конечность тех или иных ресурсов.
  • Наращивание ресурсов.
  • Рассредоточение. Построение распределённых и продублированных систем, которые не прекратят обслуживать пользователей даже если некоторые их элементы станут недоступны из-за атаки.

Другой опасностью, проникающей в локальную вычислительную сеть извне, но действующей внутри периметра защиты, являются компьютерные вирусы. Ввиду их скрытного действия и существенных возможностей по несанкционированному доступу и даже уничтожению информации, меры профилактической защиты от вирусных атак являются важной компонентой информационной безопасности.

К основным способам защиты от вирусных атак относятся программные (антивирусные мониторы и антивирусные сканеры) и организационные (выполнение сотрудниками организации требований информационной безопасности; прививание пользователям культуры работы с электронной почтой, в интернет и т.п.).

План превентивных антивирусных мероприятий:

  1. На каждом компьютере банка должно быть установлено антивирусное программное обеспечение, имеющее в своем составе как антивирусный монитор, так и антивирусный сканер. Рекомендуется использовать только программное обеспечение ведущих производителей антивирусов.
  2. База данных вирусных сигнатур должна обновляться не реже одного раза в день. Рекомендуется более частое обновление с использованием централизованного распространения базы сигнатур.
  3. Антивирусный монитор должен быть постоянно включен.
  4. На компьютерах тех сотрудников, которые не работают в интернет и не ведут переписку по электронной почте со сторонними организациями, полное сканирование всех локальных дисков на предмет выявления и удаления («лечения») вирусов должно проводиться не реже одного раза в месяц.
  5. На компьютерах тех сотрудников, которые работают в интернет и/или ведут переписку по электронной почте со сторонними организациями, полное сканирование всех локальных дисков на предмет выявления и удаления («лечения») вирусов должно проводиться не реже одного раза в неделю.
  6. Рекомендуется при сканировании (особенно при подозрении о наличии вирусов) помимо основного сканера использовать антивирусные сканеры (например, бесплатно распространяемые) других производителей. Практика показывает, что использование одного антивирусного продукта не всегда эффективно — часть вирусов может быть пропущена при сканировании.
  7. При приеме на работу в организацию сотрудники должны быть проинструктированы администратором информационной безопасности о мерах по обеспечению информационной безопасности и необходимости строгого выполнения соответствующих требований.
  8. Регулярно (не реже одного раза в год) администратор информационной безопасности должны проводиться краткие повторные инструктажи сотрудников с доведением до них информации о новых опасных особенностях вирусов, троянских программ и другого вредоносного программного обеспечения.
  9. После проведения повторного инструктажа не реже одного раза в год должна проводиться аттестация сотрудников организации по теме «Информационная безопасность».
  1. Защита от несанкционированного доступа изнутри ЛВС организации

Защита информационных ресурсов от несанкционированного доступа со стороны легальных пользователей сети — гораздо более трудная задача. Это обусловлено тем, что пользователи локальной вычислительной сети уже зарегистрированы в системе и наделены теми или иными полномочиями при доступе к информации.

Для обеспечения высокого уровня информационной безопасности локальной вычислительной сети рекомендуется проводить следующие процедуры при организации работы персонала организации:

  • фиксировать в трудовых договорах обязанности персонала по соблюдению конфиденциальности, в том числе лиц, работающих по совместительству;
  • по возможности распределять основные функции между сотрудниками так, чтобы ни одна существенная операция не могла быть выполнена одним человеком от начала до конца;
  • обеспечивать строгий режим пропуска и порядка в служебных помещениях, устанавливать жесткий порядок пользования средствами связи и передачи информации;
  • регулярно (не реже одного раза в год) проводить оценку всей имеющейся информации и выделять из нее конфиденциальную в целях ее защиты;
  • иметь нормативные правовые документы по вопросам защиты информации;
  • постоянно повышать квалификацию сотрудников, знакомить их с новейшими методами обеспечения информационной безопасности;
  • рекомендуется создать базу данных для фиксирования попыток несанкционированного доступа к конфиденциальной информации;
  • проводить служебные расследования в каждом случае нарушения политики безопасности.

План мероприятий по снижению угрозы несанкционированного доступа от легальных пользователей локальной вычислительной сети:

  1. Сотрудникам категорически запрещается передавать свои имя и пароль другим лицам.
  2. Рекомендуется, чтобы пользователи локальной вычислительной сети были объединены в логические группы, отражающие функциональные обязанности этих пользователей. Принцип — все пользователи, входящие в некую группу, имеют права доступа к информации, соответствующие этой группе, и в этой части функциональные обязанности пользователей совпадают.
  3. Рекомендуется разрешать доступ к информационным ресурсам только группам. При этом вид доступа (чтение содержимого каталога, чтение файла, модификация файла и т.п.) должен строго соответствовать функциям сотрудника при работе с соответствующим массивом информации. Кроме этого, должен применяться принцип возможной минимизации доступа: если без ущерба для функциональности возможно не предоставлять один из видов доступа, то его не следует предоставлять.
  4. При изменении должностных обязанностей сотрудника, переводе его на другую работу, руководитель соответствующего подразделения должен немедленно уведомить администратора о необходимости изменить (исключить) членство сотрудника в логических группах доступа.
  5. При проектировании и разработке пользовательских интерфейсов программных продуктов, используемых в организации, настоятельно рекомендуется избегать (кроме особых случаев) подходов, при которых, во время работы пользователя с программой, её интерфейс позволяет просматривать большие объемы информации и/или сохранять её на электронные носители, передавать по электронной почте или в интернет.
  6. При проектировании приложений, использующих доступ к серверным базам данных, рекомендуется использовать механизм ролей и разграничения доступа пользователей к компонентам СУБД, применяя принцип минимально возможных прав. При этом не рекомендуется давать пользователям СУБД непосредственный доступ к её таблицам. Доступ пользователей к данным, хранящимся в таблицах, должен осуществляться преимущественно посредством хранимых процедур и представлений (view). Эти процедуры и представления, в свою очередь, должны представлять пользователю только необходимый для его работы набор записей, содержащих только необходимые поля.
  7. При организации структуры каталогов для хранения таблиц не серверных СУБД необходимо использовать подход, аналогичный организации доступа к сетевым каталогам файловых серверов. При этом для хранения различных файлов-таблиц рекомендуется создавать подкаталоги, объединяющие эти таблицы по функциональному назначению и позволяющие использовать механизм разграничения доступа логических групп ЛВС к этим каталогам.

План мероприятий по снижению риска несанкционированного доступа со стороны лиц, подключившихся к локальной вычислительной сети организации нелегально:

  1. Не устанавливать точки подключения к локальной вычислительной сети организации (розетки) в местах, где возможно неконтролируемое подключение к ним со стороны посторонних лиц.
  2. Администратор информационной безопасности проводить регулярное (ежедневное) сканирование локальной вычислительной сети организации с целью выявления несанкционированных подключений к ней.
  3. При необходимости предоставления доступа в интернет и/или к другим ресурсам сотрудникам сторонних организаций, необходимо создание отделом технического обеспечения виртуальных сетей (VLAN), максимально ограничивающих возможности этих сотрудников по доступу в локальной вычислительной сети организации и/или сканированию сетевого трафика организации.
  4. При конфигурировании VPN сети организации рекомендуется ограничивать доступ из дочерних подразделений сети (соответствующих сетям филиалов и дополнительных офисов), разрешая его только к необходимым для работы ресурсам (серверам, протоколам, портам) центральной локальной вычислительной сети организации.
  5. Не использовать беспроводные сети, кроме случаев организации малых временных сетей, не имеющих выхода в основную локальную вычислительную сеть организации. При этом в обязательном порядке необходимо применять имеющиеся в протоколе беспроводной связи средства защиты. В частности, групповой пароль для подключения к концентратору должен быть нетривиальным по набору символов, его длина должна быть достаточной для обеспечения криптостойкости (не менее 10 символов). В случаях длительного использования беспроводных сетей следует менять групповой пароль не реже 1 раза в месяц.
  6. Все стандартные пароли доступа к серверам, настройкам оборудования и т.п. еще до осуществления настроек соответствующих систем, серверов или оборудования в обязательном порядке должны быть изменены на нетривиальные, отвечающие требованиям парольной защиты.
  7. Рекомендуется использовать аутентификацию пользователей при доступе их к интернету и электронной почте.

Отделу технического обеспечения отключать в кроссировочных шкафах соединения с неиспользуемыми розетками локальной вычислительной сети, установленными в помещениях организации.


Скачать - кнопка

Скачать ZIP файл (25405)


Пригодились документы — поставь «лайк» или поддержи сайт материально:

6+

У этой статьи есть 1 комментарий

Добавить комментарий

Свернуть меню