Заходи щодо захисту локальної робочої станції
Варто пам’ятати, що в деяких випадках заходи організаційно-технічного характеру можуть бути надійною заміною будь-яких інших засобів захисту інформації. Вони є додатковим рівнем забезпечення обраної політики безпеки, і конкретний набір подібних заходів завжди залежить від ситуації. Проте існує типовий перелік заходів, що застосовуються в будь-яких умовах. Цей перелік заснований на виконанні спеціальних вимог, що, залежно від їхнього функціонального призначення, поділяються на такі групи:
вимоги щодо розміщення технічних засобів;
рекомендації щодо встановлення системи захисту інформації (СЗІ);
заходи щодо забезпечення надійності функціонування СЗІ, яка встановлена на локальній робочий станції (ЛРС).
Реалізація організаційно-технічних заходів щодо захисту інформації повинна починатися з розробки відповідних інструкцій і рекомендацій, а також створення структурних підрозділів, відповідальних за реалізацію політики безпеки і контроль над їхнім неухильним дотриманням.
При розміщенні технічних засобів, що підтримують системи захисту інформації, варто керуватися такими рекомендаціями:
розташування режимних приміщень і розміщеного в них устаткування повинне виключати можливість безконтрольного проникнення в ці зони сторонніх осіб і гарантувати збереження конфіденційних документів, що знаходяться в них;
вхідні двері повинні бути обладнані замками, що гарантують санкціонований доступ у режимні приміщення в неробочий час. Для контролю над входом повинні встановлюватися замки з шифром;
вікна і двері необхідно обладнати охоронною сигналізацією, зв'язаною з пультом централізованого спостереження;
розміщення устаткування і технічних засобів, призначених для обробки конфіденційної інформації, повинне відповідати вимогам техніки безпеки, санітарним нормам, а також вимогам пожежної безпеки;
у режимні приміщення допускаються тільки за списком, затвердженим керівництвом установи, співробітники відділу безпеки і виконавці, що мають безпосереднє відношення до обробки, передачі і прийому конфіденційної інформації;
допуск у приміщення допоміжного й обслуговуючого персоналу (прибиральниці, електромонтери, сантехники і т.д.) здійснюється тільки у разі службової необхідності в супроводі відповідального за режим, причому потрібно подбати про заходи, що виключають можливість візуального перегляду конфіденційних документів;
кожен виконавець робіт як користувач мережі конфіденційного зв'язку зобов'язаний зареєструватися в адміністратора служби безпеки;
внутрішнє планування і розташування робочих місць у режимних приміщеннях повинні забезпечувати виконавцям можливість збереження довірених їм конфіденційних документів і відомостей;
по закінченню робочого дня режимні приміщення необхідно закривати й опечатувати. Потім їх (з опечатаними вхідними дверима) здають під охорону відділу безпеки або черговому по підприємству (за встановленим порядком) із указівкою часу прийому-здачі й позначкою про включення і вимикання охоронної сигналізації в журналі обліку;
здачу ключів і режимних приміщень під охорону, а також одержання ключів і відкриття режимних приміщень роблять співробітники, що працюють у цих приміщеннях і входять у затверджений керівництвом установи список зі зразками підписів цих співробітників. Список зберігається в начальника охорони чи в чергового по установі;
перед відкриттям режимних приміщень повинна бути перевірена цілісність відбитків печаток і справність замків. При виявленні порушення цілісності відбитків печаток, пошкодження замків чи інших ознак, що вказують на можливе проникнення в ці приміщення сторонніх осіб, приміщення не відкриваються, а про те, що трапилося, негайно інформується керівництво і відділ безпеки установи;
у випадку втрати ключа від вхідних дверей режимного приміщення негайно ставиться до відома відділ безпеки установи;
на випадок пожежі, аварії чи стихійного лиха повинні бути розроблені спеціальні інструкції, затверджені керівництвом установи, у яких передбачається виклик адміністрації, посадових осіб, відкриття режимних приміщень, черговість і порядок порятунку конфіденційних документом з подальшим їхнім збереженням;
у приміщення, де знаходиться СЗІ, забороняється приносити і використовувати радіотелефони й іншу радіоапаратуру.
Установлюючи програмне забезпечення, що входить до складу СЗІ, потрібно керуватися такими рекомендаціями:
встановлення СЗІ здійснюється тільки особами, що мають відповідну ліцензію;
апаратну частину ЛРС, на яку встановлюється СЗІ, необхідно перевірити на відсутність апаратних закладок;
усе програмне забезпечення ЛРС, на якій буде встановлюватися СЗІ, повинне бути ліцензійно чистим, при цьому не допускається наявність засобів розробки і налагодження програм;
перед установкою СЗІ необхідно перевірити програмне забезпечення ЛРС на відсутність вірусів і програмних закладок;
мають бути вжити заходи, що перешкоджають витягу апаратної частини СЗІ з ЛРС; системні блоки мають бути опечатані спеціально виділеною для цих цілей печаткою. Поряд з цим допускається застосування інших засобів контролю за доступом до ЛРС;
до експлуатації СЗІ допускаються особи, що пройшли відповідну підготовку;
перед установленням програмного забезпечення СЗІ необхідно здійснити контроль цілісності дистрибутива;
після завершення встановлення мають бути вжити заходи, необхідні для здійснення щоденного контролю за встановленою СЗІ, а також її програмним і апаратним оточенням.
Основними рекомендаціями щодо організаційно-технічних заходів захисту, які забезпечують безпеку функціонування робочих місць із вбудованими СЗІ, є такі:
правом доступу до робочих місць із вбудованими СЗІ можуть мати тільки особи, що пройшли відповідну підготовку. Адміністратор безпеки повинний ознайомити кожного абонента автоматизованої системи, що використовує СЗІ, із правилами користування чи з іншими нормативними документами, створеними на їхній основі;
посадові інструкції адміністратора безпеки (його заступника) і відповідального виконавця не повинні суперечити правилам користування спеціальною апаратурою і іншим нормативним документам, створеним на їхній основі;
адміністратор безпеки зобов'язаний періодично проводити контроль цілісності і легальності встановлених копій програмного забезпечення на всіх ЛРС із вбудованою СЗІ за допомогою програм контролю цілісності;
при виявленні “сторонніх” (незареєстрованних) програм, порушення цілісності програмного забезпечення чи факту пошкодження печаток на системних блоках робота на ЛРС припиняється. За даним фактом має бути проведене службове розслідування комісією в складі представників служб інформаційної безпеки підприємства-власника мережі і підприємства-абонента мережі, де відбулося порушення, а також організовані роботи з аналізу і ліквідації негативних наслідків даного порушення;
користувач повинний запускати тільки ті додатки, що дозволені адміністратором безпеки;
установлене програмне забезпечення не повинне містити засобів розробки й налагодження додатків, а також засобів, що дозволяють здійснювати несанкціонований доступ до системних ресурсів;
до інструкції з використання робочої станції повинний бути включений пункт, що забороняє залишати без контролю обчислювальні засоби, що входять до складу СЗІ, при включеному живленні і завантаженому спеціальному програмному забезпеченні СЗІ;
заборонити допуск користувачів у режим конфігурування BІOS (наприклад, з використанням парольного захисту);
виключити можливість роботи на ЛРС, якщо вбудовані тести видають негативний результат під час її початкового завантаження;
паролі, що призначаються користувачам, повинні відповідати вимогам відповідних інструкцій і нормативних документів;
у випадку використання ЛРС декількома операторами з різними ключами не можна робити вивантаження ключової інформації (перезавантаження ЛРС).
При цьому забороняється:
здійснювати несанкціоноване копіювання ключових носіїв;
розголошувати вміст носіїв і ключової інформації чи передавати самі носії особам, що не мають до них допуску; виводити ключову інформацію на дисплей і принтер (за винятком випадків, передбачених правилами);
вставляти ключовий носій у дисковод ЛРС (чи в інший пристрій зчитування) у режимах, не передбачених штатним розкладом, а також у дисководи інших ЛРС;
записувати на ключові носії сторонню інформацію;
підключати до ЛРС додаткові пристрої і з’єднувачі, не передбачені в комплекції;
працювати на комп'ютері, якщо під час його початкового завантаження не проходить убудований тест оперативної пам’яті, передбачений у ЛРС;
вносити які-небудь зміни в програмне забезпечення СЗІ;
несанкціоновано встановлювати, створювати і виконувати на ЛРС сторонні програми;
використовувати колишні в роботі ключові носії для запису нової інформації без попереднього знищення на них ключової інформації;
здійснювати несанкціоноване розкриття системних блоків ЛРС.
- Поняття інформаційної безпеки
- Основні задачі інформаційної безпеки
- Важливість і складність проблеми інформаційної безпеки
- Об’єктно-орієнтований підхід до інформаційної безпеки
- Основні положення системи зАхисту інформації
- Поняття системи захисту інформації
- Вимоги до захисту інформації
- Вимоги до системи захисту інформації
- Види забезпечення системи захисту інформації
- Основні поняття
- Загрози безпеці інформації
- Основні поняття і класифікація загроз
- Основні загрози доступності
- Основні загрози цілісності
- Основні загрози конфіденційності
- Шкідливе програмне забезпечення
- Інформація, що підлягає захисту
- Основні поняття
- Сфери розповсюдження державної таємниці на інформацію
- Комерційна таємниця
- Персональні дані
- Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- Перехоплення даних та канали витоку інформації
- Порушники інформаційної безпеки
- Модель поводження потенційного порушника
- Класифікація порушників
- Методика вторгнення
- Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- Основні поняття законодавчого рівня інформаційної безпеки
- Система забезпечення інформаційної безпеки України
- Правові актИ
- Структура правових актів
- Нормативно-правові документи
- Форми захисту інформації
- Правові норми забезпечення безпеки і захисту інформації на підприємстві
- УкраїнськЕ законодавство в галузі інформаційної безпеки
- Зарубіжне законодавство в галузі інформаційної безпеки
- Стандарти і специфікації в галузі безпеки інформаційНих систем
- “Помаранчева книга” як оцінний стандарт
- Класи безпеки інформаційних систем
- Технічна специфікація X.800
- Стандарт iso/iec 15408
- Поняття політики безпеки
- Розробка політики безпеки
- Програма реалізації політики безпеки
- Синхронізація програми безпеки з життєвим циклом систем
- Управління ризиками
- Основні класи заходів організаційного рівня
- Управління персоналом
- Фізичний захист
- Заходи щодо захисту локальної робочої станції
- Підтримка працездатності
- Реагування на порушення режиму безпеки
- Планування відновлювальних робіт
- Служба безпеки підприємства
- Поняття інженерно-технічного захисту
- Фізичні засоби захисту
- Види фізичних засобів
- Охоронні системи
- Охоронне телебачення
- Охоронне освітлення та засоби охоронної сигналізації
- Захист елементів будинків і приміщень
- Апаратні засоби захисту
- Програмні засоби захисту
- Криптографічні засоби захисту
- Основні поняття криптографії
- Методи шифрування
- Криптографічні протоколи
- Контроль цілісності
- Технологія шифрування мови
- Стеганографічні засоби захисту
- Особливості сучасних інформаційних систем з погляду безпеки
- Принципи Архітектурної безпеки
- Ідентифікація та автентифікація
- Логічне управління доступом
- Протоколювання та аудит
- Основні поняття
- Активний аудит
- Склад засобів активного аудиту
- Екранування
- Аналіз захищеності
- Забезпечення високої доступності
- Тунелювання
- Управління інформаційними системами
- Афоризми і постулати інформаційної безпеки
- Список літератури
- Додаткова
- 1 Галузь використання
- 2 Нормативні посилання
- 3 Загальні положення
- 4 Побудова системи захисту інформації
- 4.1 Визначення й аналіз загроз
- 4.2 Розроблення системи захисту інформації
- 4.3 Реалізація плану захисту інформації
- 4.4 Контроль функціювання та керування системою захисту інформації
- 5 Нормативні документи системи тзі
- 21021, М. Вінниця, Хмельницьке шосе, 95, внту
- 21021, М. Вінниця, Хмельницьке шосе, 95, внту