Политика Информационной Безопасности


PolitikaIB-5


Политика Информационной Безопасности.


1. Список сокращений

АС – автоматизированная система.

БД – базы данных.

ВТСС – вспомогательные технические средства и системы.

ЗП – защищаемые помещения.

ИБ — информационная безопасность.

КЗ – контур защиты.

ЛВС – локальная вычислительная сеть.

МЭ – межсетевой экран.

НСД – несанкционированный доступ к информации.

ОС – операционная система.

ОТСС – основные технические средства и системы.

РС – рабочая станция, компьютер.

СВТ – средство вычислительной техники.

СЗИ – средства защиты информации.

СМИБ — система менеджмента информационной безопасности.

СУБД – система управления базами данных.

2. Термины, определения и сокращения

Безопасность информации — состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами.

Автоматизированная система (АС) — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Администратор АС — лицо, ответственное за функционирование автоматизированной системы в установленном штатном режиме работы.

Администратор информационной безопасности— лицо, ответственное за защиту АС от несанкционированного доступа к информации и других факторов, могущих повлечь разрушение, искажение или утрату конфиденциальности защищаемой информации.

Доступ к информации — ознакомление с информацией, ее обработка. Виды доступа к информации: копирование, модификация, уничтожение (удаление).

Доступность (санкционированная доступность) информации – состояние информации, характеризуемое способностью технических средств и информационных технологий обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.

Коммерческая тайна — конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;

Информация, составляющая коммерческую тайну — научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны);

Режим коммерческой тайны — правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности;

Обладатель информации, составляющей коммерческую тайну — лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны;

Доступ к информации, составляющей коммерческую тайну — ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации;

Передача информации, составляющей коммерческую тайну — передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности;

Контрагент — сторона гражданско-правового договора, которой обладатель информации, составляющей коммерческую тайну, передал эту информацию;

Предоставление информации, составляющей коммерческую тайну — передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций;

Разглашение информации, составляющей коммерческую тайну — действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.

Сети – совокупность компьютеров и систем для передачи данных между ними, позволяющая:

  • Обмениваться информацией между компьютерами;
  • Управлять одними компьютерами с помощью других;
  • Становиться членами такой совокупности без уведомления всех остальных участников. В документе под термином «Сети» подразумеваются сети коллективного пользования, внешние по отношению к ЛВС организации, например, Internet.

Пользователь Сети — лицо, являющееся сотрудником организации, имеющее разрешение и технические возможности подключения и взаимодействия с Сетями.

Вспомогательные технические средства и системы (ВТСС) — технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с основными техническими средствами и системами или в защищаемых помещениях.

К ним относятся:

  •  различного рода телефонные средства и системы;
  • средства и системы передачи данных в системе радиосвязи;
  • средства и системы охранной и пожарной сигнализации;
  • средства и системы оповещения и сигнализации;
  • контрольно-измерительная аппаратура;
  • средства и системы кондиционирования;
  • средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);
  • средства электронной оргтехники;
  • средства и системы отображения точного времени;
  • иные технические средства и системы.

3. Общие положения

Политика информационной безопасности (далее — ИБ) описывает цели и задачи системы менеджмента ИБ (далее — СМИБ) и определяет совокупность правил, требований и руководящих принципов в области ИБ.

Настоящий документ устанавливает порядок в организации по обеспечению защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее — конфиденциальная информация).

Конфиденциальность информации устанавливается обладателем информации или уполномоченным лицом в соответствии с законодательством Российской Федерации.

Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется дифференцировано по результатам обследования объекта информатизации с учетом соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесен собственнику информационных ресурсов.

Документ определяет следующие основные вопросы защиты конфиденциальной информации:

  • организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;
  • состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;
  • защита информации при ее автоматизированной обработке и передаче с использованием технических средств;
  • порядок обеспечения защиты информации при эксплуатации объектов информатизации;
  • особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;
  • порядок обеспечения защиты информации при взаимодействии пользователей с Сетями.

Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и осуществляется в установленном настоящим документом порядке в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации.

Защите подлежит информация, обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе.

Объектами защиты при этом являются:

  • средства и системы информатизации (СВТ, АС различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и алфавитно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для обработки конфиденциальной информации;
  • технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается;
  • защищаемые помещения (далее – ЗП).

Защита информации на объекте информатизации достигается выполнением комплекса организационных мероприятий и применением СЗИ от утечки по техническим каналам, несанкционированных программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе ее обработки, передачи и хранения, а также работоспособности технических средств.

При ведении переговоров и использовании технических средств обработки и передачи информации возможны следующие каналы утечки и источники угроз безопасности информации:

  • несанкционированный доступ (далее – НСД) к обрабатываемой в АС информации и несанкционированные действия по отношению к ней;
  • воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации посредством специально внедренных программных средств;
  • побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;
  • наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы контура защиты (далее — КЗ);
  • радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;
  • радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации («закладочных устройств»), модулированные информативным сигналом;
  • радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;
  • акустическое излучение информативного речевого сигнала;
  • электрические сигналы, возникающие при преобразовании информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям, выходящими за пределы КЗ;
  • виброакустические сигналы, возникающие при преобразовании информативного акустического сигнала за счет воздействия его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;
  • прослушивание телефонных и радиопереговоров;
  • просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;
  • хищение технических средств с хранящейся в них информацией или отдельных носителей информации.

Перехват информации или воздействие на нее с использованием технических средств могут вестись:

  • из-за границы КЗ из близлежащих строений и транспортных средств;
  • из смежных помещений, принадлежащих другим организациям и расположенным в том же здании, что и объект защиты;
  • при посещении организации посторонними лицами;
  • за счет несанкционированного доступа (несанкционированных действий) к информации, циркулирующей в АС, как с помощью технических средств АС, так и через Сети.

В качестве аппаратуры перехвата или воздействия на информацию и технические средства могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта защиты либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства съема информации («закладочное устройство»), размещаемые внутри или вне защищаемых помещений.

Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ. Это возможно, например, вследствие:

  • непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем;
  • некомпетентных или ошибочных действий пользователей и администраторов АС.

Выявление и учет факторов, которые воздействуют или могут воздействовать на защищаемую информацию (угроз безопасности информации) в конкретных условиях, проводится и составляет основу для планирования и осуществления мероприятий, направленных на защиту информации на объекте информатизации.

Основное внимание должно быть уделено защите информации, в отношении которой угрозы безопасности информации реализуются без применения сложных технических средств перехвата информации, а именно защите:

  • информации, обрабатываемой СВТ, от несанкционированного доступа и несанкционированных действий;
  • информации, выводимой на экраны видеомониторов;
  • информации, хранящейся на физических носителях, в том числе входящих в состав АС;
  • речевой информации, циркулирующей в защищаемых помещениях;
  • информации, передаваемой по каналам связи, выходящим за пределы КЗ.

Разработка мер по обеспечению защиты информации осуществляются службой информационной безопасности, а именно уполномоченным лицом, назначаемым руководителем организации для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими лицензии на право осуществления соответствующих работ.

Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации технические средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации.

Ответственность за соблюдение требований по технической защите конфиденциальной информации возлагается на руководителей подразделений, эксплуатирующих объекты информатизации.

4. Организация работ по защите конфиденциальной информации

4.1. Организация и проведение работ по защите конфиденциальной информации при ее обработке техническими средствами определяются настоящим документом, действующими государственными стандартами и другими нормативными и методическими документами.

4.2. Организация работ, методическое руководство и контроль эффективности мер защиты информации возлагается на руководителя службы информационной безопасности (администратора информационной безопасности).

4.3. Контроль выполнения требований инструкций по эксплуатации автоматизированной системы возлагается на руководителя подразделения.

4.4. Ознакомление специалистов организации с защищаемыми сведениями должно осуществляться в установленном порядке.

4.5. Документация СЗИ разрабатывается руководителем службы информационной безопасности (администратором ИБ) и утверждается руководителем организации.

4.6. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств, в организации проводится периодический контроль состояния защиты информации. Контроль осуществляется службой информационной безопасности организации.

4.7. Организация как собственник и владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.

При необходимости по решению руководителя организации могут быть проведены работы по поиску электронных устройств съема информации (закладочных устройств), возможно внедренных в ЗП или технические средства, осуществляемые организациями, имеющими соответствующие лицензии ФСБ России.

5. Требования по защите информации, циркулирующей в защищаемых помещениях

5.1. В организации документально определить перечень защищаемых помещений (ЗП) и лиц, ответственных за их эксплуатацию, в соответствии с установленными требованиями по защите информации, а также составить технический паспорт на ЗП.

5.2. Защищаемые помещения размещаются в пределах КЗ организации. При этом следует размещать их на максимальном удалении от ее границ; ограждающие конструкции ЗП (стены, полы, потолки) не должны являться смежными с помещениями других организаций. Окна ЗП закрываются шторами (жалюзи).

5.3. Защищаемые помещения следует оснащать сертифицированными по требованиям безопасности информации ОТСС и ВТСС и/или соответствующими средствами защиты.
Эксплуатация ОТСС, ВТСС и средств защиты необходимо осуществлять в соответствии с эксплуатационной документацией на них.

5.4. Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств съема информации («закладочных устройств») проводится, при необходимости, по решению руководителя организации.

5.5. Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, не защищенных переносных магнитофонов и других средств аудио- и видеоза-писи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения конфиденциальных мероприятий или использовать соответствующие средства защиты.

5.6. Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоны. В качестве оконечных устройств пожарной и охранной сигнализации в ЗП использовать изделия, сертифицированные по требованиям безопасности информации.

5.7. Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования в местах возможного перехвата информации должна исключить возможность прослушивания ведущихся в нем разговоров из-за пределов ЗП.

5.8. Для снижения вероятности перехвата информации по виброакустическому каналу организационными мерами исключить возможность установки посторонних (нештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования).

5.9. При эксплуатации ЗП предусматривать организационные меры, направленные на исключение несанкционированного доступа в помещение:

  • двери ЗП в период между мероприятиями, а также в нерабочее время запирать на ключ;
  • выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;
  • установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем службы информационной безопасности (уполномоченного лица) по защите информации.

6. Требования по защите конфиденциальной информации, обрабатываемой в автоматизированных системах

6.1. Общие требования

6.1.1. Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, предусматривает комплекс организационных, программных, технических средств и мер по защите информации при ее автоматизированной обработке, хранении и передаче по каналам связи.

6.1.2. Основными направлениями защиты информации являются:

  • обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки за счет НСД и специальных воздействий;
  • обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

6.1.3. В качестве основных мер защиты информации используются:

  • документальное оформление перечня сведений конфиденциального характера;
  • реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
  • ограничение доступа персонала и посторонних лиц в ЗП и помещения, где размещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации;
  • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
  • учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее их хищение, подмену и уничтожение;
  • резервирование технических средств и дублирование массивов и носителей информации;
  • использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
  • использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
  • использование сертифицированных средств защиты информации;
  • размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ;
  • использование сертифицированных систем гарантированного электропитания (источников бесперебойного питания);
  • размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;
  • организация физической защиты помещений и собственно технических средств обработки информации с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации;
  • предотвращение внедрения в АС программ-вирусов, программных закладок.

6.1.4. Лица, допущенные к автоматизированной обработке конфиденциальной информации, несут ответственность за соблюдение ими установленного в организации порядка обеспечения защиты этой информации.

Для получения доступа к конфиденциальной информации они должны изучить требования настоящего документа, других нормативных документов по защите информации, действующих в организации в части их касающейся.

6.2. Основные требования по защите информации

Организация, состав и содержание проводимых работ по защите информации, организационно-распорядительной, проектной и эксплуатационной документации должны отвечать требованиям раздела 4 настоящего документа.

6.2.1. В организации должны быть документально оформлены перечни сведений конфиденциального характера, подлежащих защите. Эти перечни могут носить как обобщающий характер в области деятельности организации, так и иметь отношение к какому-либо отдельному направлению работ. Все исполнители должны быть ознакомлены с этими перечнями в части, их касающейся.

6.2.2. АС, обрабатывающие конфиденциальную информацию, должны защищаться в соответствии с требованиями настоящего документа.

6.2.3. Для обработки информации, содержащей сведения, составляющие служебную тайну, или содержащей персональные данные следует использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, безопасности, по санитарным нормам, предъявляемым к видеодисплейным терминалам, ПЭВМ.

Для повышения уровня защищенности информации следует использовать сертифицированные по требованиям безопасности информации СВТ.

Для передачи конфиденциальной информации по каналам связи, выходящим за пределы КЗ, использовать защищенные каналы связи, а при использовании открытых каналов связи применять криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы.

Решение о составе и содержании мероприятий, а также используемых средств защиты информации принимается руководителем организации по результатам обследования АС с учетом важности (ценности) защищаемой информации.

6.3. Порядок обеспечения защиты информации при эксплуатации АС

6.3.1. Эксплуатация АС и СЗИ в ее составе осуществляется в соответствии с установленным в организации порядком, в том числе технологическими инструкциями по эксплуатации СЗИ НСД для пользователей, администраторов АС и работников службы информационной безопасности.

6.3.2. Для обеспечения защиты информации в процессе эксплуатации АС предусматривать соблюдение следующих основных положений и требований:

  • допуск к защищаемой информации лиц, работающих в АС (пользователей, обслуживающего персонала), производиться в соответствии с порядком, установленным разрешительной системой допуска;
  • на период обработки защищаемой информации в помещениях, где размещаются ОТСС, могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации;
  • допуск других лиц для проведения необходимых профилактических или ремонтных работ может осуществляться в эти помещения только с санкции руководителя организации или руководителя службы безопасности;
  • в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации;
  • при увольнении или перемещении администраторов АС, администраторов ИБ службой информационной безопасности (по согласованию с руководителем организации) должны быть приняты меры по оперативному изменению паролей и идентификаторов.

6.3.3. Временно не используемые носители информации должны храниться пользователем в местах, недоступных для посторонних лиц.

6.4. Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ

6.4.1. Автоматизированные системы могут быть выполнены в виде автоматизированных рабочих мест (АРМ) на базе автономных ПЭВМ с необходимым для решения конкретных задач периферийным оборудованием (принтер, сканер, внешние накопители и т.п.).

6.4.2. Корпус автономной ПЭВМ должен быть опечатан (опломбирован).

6.4.3. Настройки BIOS автономной ПЭВМ должны быть защищены административным паролем.

6.4.4. Вход в систему при загрузке BIOS должен быть защищен пользовательским паролем.

6.4.5. Не используемые в процессе выполнения служебных задач внешние запоминающие устройства (дисководы дискет и CD и DVD ROM), также порты USB должны быть заблокированы.

6.5. Защита информации в локальных вычислительных сетях.

6.5.1. Характерными особенностями ЛВС являются распределенное хранение файлов, их удаленная обработка и передача, а также сложность проведения контроля за работой пользователей и состоянием общей защищенностью ЛВС.

6.5.2. Для управления, контроля защищенности ЛВС и распределения системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты.

6.5.3. Состав пользователей ЛВС должен строго контролироваться. Все изменения состава пользователей, их прав и привилегий должны регистрироваться. Эти изменения осуществляются по письменным заявкам руководителей соответствующих подразделений.

6.5.4. Для идентификации и аутентификации пользователей в ЛВС используются идентификаторы и пароли. Порядок их использования регламентируется соответствующим документом (Порядком организации парольной защиты).

6.6. Защита информации при межсетевом взаимодействии

6.6.1. Положения данного подраздела относятся к взаимодействию локальных сетей, ни одна из которых не имеет выхода в сети общего пользования типа Internet.

6.6.2. Контроль взаимодействия ЛВС с другими вычислительными сетями должен быть постоянным и осуществляться с использованием средств контроля (средств обнаружения вторжений, мониторинга сети, активного аудита и т.п.). Коммуникационное оборудование и все точки соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах КЗ.

6.6.3. При конфигурировании коммуникационного оборудования (маршрутизаторов, концентраторов, мостов и мультиплексоров) разделять трафик отдельных сетевых фрагментов с учетом решаемых задач пользователей ЛВС.

6.6.4. Подключение ЛВС к другой автоматизированной системе (локальной или распределенной вычислительной сети) должно осуществляться с использованием межсетевых экранов (далее — МЭ).

6.6.5. Для защиты конфиденциальной информации, передаваемой между различными АС по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, а при использовании открытых каналов связи — сертифицированные криптографические средства защиты информации.

6.7. Защита информации при работе с системами управления базами данных

6.7.1. При работе с системами управления базами данных (далее — СУБД) и базами данных (далее — БД) необходимо учитывать следующие особенности защиты информации от НСД:

  • в БД может накапливаться большой объем интегрированной информации по различным тематическим направлениям, предназначенной для различных пользователей;
  • БД могут быть физически распределены по различным устройствам и узлам сети;
  • БД могут включать информацию различного уровня конфиденциальности;
  • разграничение доступа пользователей к объектам БД: (таблицам, схемам, процедурам, записям, полям записей в таблицах и т.п.), может осуществляться только средствами СУБД, если таковые имеются;
  • регистрация действий пользователей при работе с объектами БД может осуществляться также только средствами СУБД, если таковые имеются;
  • СУБД могут обеспечивать одновременный доступ многих пользователей (клиентов) к БД с помощью сетевых протоколов, при этом запросы пользователя к БД обрабатываются на сервере и результаты обработки направляются пользователям (клиентам).

6.7.2. С учетом указанных особенностей при создании БД рекомендуется:

  • при выборе СУБД ориентироваться на операционные системы и СУБД, включающие либо штатные СЗИ от НСД, либо имеющие соответствующие дополнения в виде СЗИ от НСД;
  • при использовании СУБД, не имеющих средств разграничения доступа, производить разбиение БД на отдельные файлы, разграничение доступа к которым можно проводить средствами ОС и/или СЗИ НСД;
  • при использовании современных СУБД, основанных на модели клиент-сервер, использовать их штатные средства защиты информации от НСД, применять средства регистрации (аудита) и разграничение доступа к объектам БД на основе прав, привилегий, ролей, представлений (VIEW), процедур и т.п.

7. Правила по обеспечению защиты информации при взаимодействии пользователей с информационными сетями общего пользования (Internet)

7.1. Общие положения

В настоящем разделе определены условия и порядок подключения пользователей к информационным сетям общего пользования (далее — Сетям), а также правила по обеспечению безопасности конфиденциальной информации, режим защиты которой определяет собственник этих ресурсов (коммерческая тайна), при подключении и взаимодействии пользователей с этими сетями.

Данные правила определены, исходя из требований РД "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", а также следующих основных угроз безопасности информации, возникающих при взаимодействии с информационными сетями общего пользования:

  • несанкционированного доступа к информации, хранящейся и обрабатываемой во внутренних ЛВС (серверах, рабочих станциях) или на автономных ПЭВМ, как из Сетей, так и из внутренних ЛВС;
  • несанкционированного доступа к коммуникационному оборудованию (маршрутизатору, концентратору, мосту, мультиплексору, серверу, Web/Proxy серверу и т.п.), соединяющему внутренние ЛВС организации с Сетями;
  • несанкционированного доступа к данным (сообщениям), передаваемым между внутренними ЛВС и Сетями, включая их перехват, модификацию, имитацию и уничтожение;
  • заражения программного обеспечения компьютерными «вирусами» из Сети, как посредством приема «зараженных» файлов, так и посредством Е-mail, апплетов языка Java, объектов ActiveX Control и т.п.;
  • внедрения программных закладок с целью получения НСД к информации, а также дезорганизации работы внутренней ЛВС и ее взаимодействия с Сетями;
  • несанкционированной передачи защищаемой конфиденциальной информации ЛВС в Сеть;
  • возможности перехвата информации внутренней ЛВС за счет побочных электромагнитных излучений и наводок от основных технических средств, обрабатывающих такую информацию.

7.2. Условия подключения пользователей к Сети

7.2.1. Подключение рабочей станции к Сети осуществляется по решению руководства организации на основании соответствующего обоснования.

7.2.2. Обоснование необходимости подключения РС к Сети должно содержать:

  • наименование Сети, к которой осуществляется подключение, и реквизиты организации-владельца Сети и провайдера Сети;
  • состав технических средств для оборудования РС;
  • предполагаемые виды работ и используемые прикладные сервисы Сети (Е-Mail, FТР, Теlnet, НТТР и т.п.) для РС в целом и для каждого пользователя этой РС (если таких пользователей может быть несколько) в частности;
  • режим подключения РС и пользователей к Сети (постоянный, в т.ч. круглосуточный, временный);
  • состав общего и телекоммуникационного программного обеспечения АС (ОС, клиентские прикладные программы для сети — браузеры и т.п.);
  • перечень используемых IР-адресов – как внутренних, так и внешних (при этом указывается режимы трансляции адресов и фильтрации пакетов);
  • меры и средства защиты информации от НСД, которые будут применяться на РС, организация-изготовитель, сведения о сертификации, установщик, конфигурация, правила работы с ними;
  • перечень сведений конфиденциального характера, обрабатываемых (хранимых) на РС, подлежащих передаче и получаемых из Сети.

7.2.3. Право подключения к Сети РС, не оборудованной средствами защиты информации от НСД, может быть предоставлено только в случае обработки на РС информации с открытым доступом, разрешенной к открытому опубликованию. В этом случае к РС специальные требования по защите информации от НСД не предъявляются.

7.2.4. Подключение к Сети РС, на которых обрабатывается информация, не разрешенная к открытому опубликованию, разрешается только после установки на РС средств защиты информации от НСД, отвечающих требованиям и рекомендациям, изложенным в подразделе 6.3.

7.3. Порядок подключения и взаимодействия рабочих станций с Сетью, требования и рекомендации по обеспечению безопасности информации

7.3.1. Подключение ЛВС организации к Сети должно осуществляться через средства разграничения доступа в виде МЭ (Firewall, Брандмауэр). Не допускается подключение ЛВС к Сети в обход МЭ.

7.3.2. Доступ к МЭ и средствам его конфигурирования должен осуществляться только администратором ЛВС или АС, при этом управление и настройка МЭ должна осуществляться только с консоли соответствующего компьютера. Средства удаленного управления МЭ должны быть исключены из конфигурации. Исключение составляют аппаратные решения МЭ, при которых технически невозможен консольный доступ к оборудованию и изначально предполагается только удаленное управление. В этом случае должны использоваться надежные пароли повышенной стойкости и, по возможности, защищенные протоколы управления (например, SSH).

7.3.3. На технических средствах РС должно находиться программное обеспечение только в той конфигурации, которая необходима для выполнения работ, заявленных в обосновании необходимости подключения РС к Сети (обоснование может корректироваться в установленном порядке). Не допускается активизация на РС не включенных в обоснование прикладных сервисов (протоколов).

7.3.4. Установку программного обеспечения, обеспечивающего функционирование РС, должен выполнять администратор под контролем администратора ИБ. Пользователи подключаемой к Сетям РС не имеют права производить самостоятельную установку и модификацию указанного программного обеспечения, однако могут обращаться к администратору ИБ для проведения его экспертизы на предмет улучшения характеристик, наличия «вирусов», замаскированных возможностей выполнения непредусмотренных действий. Вся ответственность за использование не прошедшего экспертизу и не рекомендованного к использованию программного обеспечения целиком ложится на пользователя соответствующей РС. При обнаружении фактов такого рода администратор обязан логически – путем перенастроек оборудования и программ, а при необходимости выполнив физическое отключение вместе с содержащей подсетью) отключить рабочее место пользователя от Сети и ЛВС и поставить об этом в известность руководителя подразделения пользователя.

7.3.5. Должна быть исключена возможность несанкционированной работы пользователей в Сети.

7.3.6. Правила создания соединения ЛВС с Сетями:

7.3.6.1. По возможности размещать МЭ для связи с внешними Сетями, Web-серверы, почтовые серверы в отдельном ЗП, доступ в которое имел бы ограниченный круг лиц (администраторы АС, ответственные специалисты, администратор ИБ). Периодически проверять работоспособность МЭ с помощью сканеров, имитирующих внешние атаки на внутреннюю ЛВС.

7.3.6.2. При предоставлении пользователям прикладных сервисов исходить из принципа минимальной достаточности. Тем пользователям, которым не требуются услуги Сети, не предоставлять их. Пользователям, которым необходима только электронная почта (Е-mail), предоставлять только доступ к ней. Максимальный перечень предоставляемых прикладных сервисов ограничивать, как правило, следующими: Е-mail, FТР, НТТР, Теlnet (SSH).

7.3.6.3. Следует использовать операционные системы со встроенными функциями защиты информации от НСД или использовать сертифицированные СЗИ НСД.

7.3.6.4. Эффективно использовать имеющиеся в маршрутизаторах средства разграничения доступа (фильтрацию), включающие контроль по списку доступа, аутентификацию пользователей, взаимную аутентификацию маршрутизаторов.

7.3.6.5. В целях контроля за правомерностью использования подключения к Сети и выявления нарушений требований по защите информации осуществлять анализ принимаемой из Сети и передаваемой в Сеть информации, в том числе на наличие «вирусов».

7.3.6.6. Проводить постоянный контроль информации, помещаемой на Web-серверы Банка. Для этого следует назначить ответственного (ответственных) за ведение информации на Web-сервере. Предусмотреть порядок размещения на Web-сервере информации, разрешенной к открытому опубликованию.

7.3.7. Приказом по организации назначаются:

  • лица, допущенные к работам в Сети с соответствующими полномочиями;
  • лица, ответственные за эксплуатацию подключения к Сети и контроль за выполнением мероприятий по обеспечению безопасности информации при работе пользователей в Сети (руководители подразделений и администраторы АС и ЛВС).

7.3.8. Вопросы обеспечения безопасности информации РС, подключенной к Сети, должны быть отражены в инструкции, определяющей:

  • порядок подключения и регистрации пользователей в Сети;
  • порядок установки и конфигурирования общесистемного, прикладного коммуникационного программного обеспечения (серверов, маршрутизаторов, шлюзов, мостов, межсетевых экранов, Browsers), их новых версий;
  • порядок применения средств защиты информации от НСД при взаимодействии пользователей с Сетью;
  • порядок работы пользователей в Сети, в том числе с электронной почтой (Е-mail), порядок выбора и доступа к внутренним и внешним серверам Сети (Web-серверам);
  • порядок оформления разрешений на отправку данных в Сеть, если имеется необходимость такой отправки;
  • обязанности и ответственность пользователей и администратора ЛВС по обеспечению безопасности информации при взаимодействии с Сетью;
  • порядок контроля выполнения мероприятий по обеспечению безопасности информации и работой пользователей в Сети.

7.3.9. К работе в Сети допускается круг пользователей, ознакомленных с требованиями по взаимодействию с другими пользователями Сети и обеспечению при этом взаимодействии безопасности информации и допускаемых к самостоятельной работе в Сети после соответствующего инструктажа и собеседования с администратором ИБ.

7.3.10. Пользователи, работающие в Сети, обязаны:

  • знать порядок регистрации и взаимодействия в Сети;
  • знать требования по обеспечению безопасности информации;
  • знать правила работы со средствами защиты информации от НСД, установленными на серверах, рабочих станциях;
  • уметь пользоваться средствами антивирусной защиты;
  • после окончания работы в Сети проверить свое рабочее место на наличие «вирусов».

7.3.11. На используемые при работе в Сети носители информации наносится пред упреждающая маркировка: "Допускается использование только в Сети".

7.3.12. При работе в Сети категорически запрещается:

  • подключать технические средства (серверы, рабочие станции), имеющие выход в Сеть, к другим техническим средствам (сетям), не определенным в обосновании подключения к Сети;
  • изменять состав и конфигурацию программных и технических средств РС без санкции администратора ИБ;
  • производить отправку данных без соответствующего разрешения;
  • использовать носители информации с маркировкой: "Допускается использование только в Сети" на рабочих местах других систем (в том числе и автономных ПЭВМ) без соответствующей санкции.

7.3.13. Ведение учета пользователей, подключенных к Сети, организуется администратором ИБ в устанавливаемом в организации порядке.

7.3.14. Контроль выполнения мероприятий по обеспечению безопасности информации при работе в Сети возлагается на администраторов АС и ЛВС, руководителей соответствующих подразделений, а также администратора ИБ.


Скачать - кнопка

Скачать ZIP файл (42565)


Пригодились документы — поставь «лайк» или поддержи сайт материально:

1+

Добавить комментарий

Свернуть меню