Інформаційна безпека
На тему:
«Дослідження нормативно-правової бази інформаційної безпеки підприємства відділення Південно-Західного банку Ощадбанку Росії №»
Структура
1 Короткі теоретичні відомості про нормативно-правовій базі і класифікації загроз інформаційної безпеки (не більше 4-5 стор)
2 Постановка завдання дослідження відповідно з індивідуальним завданням
3 Модель загроз ІБ на заданому підприємстві
4 Порівняльний аналіз окремих питань захисту інформації в зарубіжних і вітчизняних документах (за індивідуальним завданням)
5 Розробка документів щодо забезпечення інформаційної безпеки на підприємстві
6 Висновки за результатами досліджень
1. Короткі теоретичні відомості про нормативно-правовій базі і класифікації загроз інформаційної безпеки
Інформаційна безпека - це дуже важливе питання для будь-якої компанії. У серйозних компаніях питаннями захисту інформації і безпеки даних займаються спеціально навчені люди - сисадміни (системні адміністратори) або обішнікі (інженери по забезпеченню безпеки інформації). Від більшості простих користувачів вони відрізняються тим, що, навіть розбуджені вночі або в п'яному угарі, як отче наш проговорить три принципи захисту інформації на комп'ютері.
Принцип запобігання увазі, що краще уникнути проблеми, ніж дістати її, героїчно з нею боротися і з блиском вирішити.
Принцип виявлення зводиться до того, що, якщо запобігти неприємність не вдалося, своєчасне її виявлення в більшості випадків здатне звести неприємності до мінімуму. Якщо ви ненароком підчепили вірус (комп'ютерний, хоча для хвороботворних вірусів принцип також працює), то швидко почате лікування здатна попередити руйнівні дії паразита.
Принцип відновлення свідчить, що дані, які можуть бути загублені, обов'язково повинні зберігатися у вигляді резервних копій. Що підійде особисто вам - дискетки, магнітооптика, CD-RW або "брелки" з flash-карткою, - вам же й вирішувати. Варіантів сучасна комп'ютерна індустрія пропонує безліч. Навіть методи форматування жорстких дисків розвиваються згідно з принципами відновлення та захисту інформації.
Пройшли ті часи, коли хакерами були фахівці, детально знають комп'ютерну техніку і здатні творити дива з програмним кодом. Зараз будь-який посидющий, допитливий, але особливо не обтяжений моральними принципами підліток здатний створити пересічному користувачеві масу проблем. За прикладами далеко ходити не треба, досить почитати "Новини інтернету". По декілька разів на місяць розгораються скандали або цілі судові розгляди, пов'язані з молодими людьми, що запустив новий поштовий хробак, зламали сервер банку, комп'ютери міністерства оборони США ... Як правило, такі хулігани трапляються через власну неуважність або бажання прославитися. При дотриманні заходів безпеки шахраїв у сфері високих технологій обчислити дуже важко. Зокрема, саме тому злочинами у сфері інформаційних технологій займається Інтерпол.
Зловмиснику, для того щоб отримати доступ до конфіденційної інформації, часом не потрібно навіть спеціальних навичок і вмінь. У багатьох випадках спрацьовує людський фактор, наприклад папірець з написаним паролем на моніторі або під склом біля клавіатури. Паролі, як правило, теж оригінальністю не відрізняються. А в надрах інтернету завжди можна знайти програми, які візьмуть на себе рутинну роботу по перебору найбільш очевидних паролів.
Зараз будь-який, навіть слабко розбирається в комп'ютерах, хуліган за 15 хвилин знайде в інтернеті з десяток програм для підбору пароля з 4-6 символів і що надають доступ до віддаленого комп'ютера. Але ж крім хакерів є ще й фрікерів, що спеціалізуються на зломі електронних пристроїв, зокрема, на стільникових телефонах, і кардери, які зламують паролі і підбирають номера до кредиток.
З цього випливає, що до питання інформаційної безпеки слід підходити серйозно і з повною віддачею.
2. Постановка завдання дослідження
Мета цієї роботи на основі оцінки можливих загроз інформаційної безпеки і з урахуванням існуючої вітчизняної та міжнародної нормативно-правової бази побудувати модель загроз, дати порівняльний аналіз нормативних та правових документів з організації захисту інформації в Донецькому відділенні Південно-Західного банку Ощадбанку Росії № 7749 та розробити робочу документацію з інформаційної безпеки банку.
3. Модель загроз на ******* відділенні Південно-Західного банку Ощадбанку Росії № ****
Рада банку, як правило, входять його засновники. Рада банку затверджує річний звіт банку, організовує щорічні збори засновників і пайовиків, приймає або може брати участь у вирішенні стратегічних питань банківської діяльності.
Правління (Рада директорів) банку відповідає за загальне керівництво банку, затверджує стратегічний напрямок його діяльності. До складу Правління входять вищі керівники банку: голова (президент, керуючий) банку, його заступники, керівники найважливіших підрозділів банку.
Відділ управління входить організація планування, прогнозування діяльності банку, підготовка методології, безпека і юридична служба.
Комерційний відділ охоплює організацію різних банківських послуг (кредитування, інвестування, валютні, трастові та інші операції). Сюди входить все, що пов'язано з обслуговуванням клієнтів на комерційних засадах.
Фінансовий відділ забезпечує облік внутрішньобанківських витрат, облік власної діяльності банку як комерційного підприємства. У фінансовий блок входять такі відділи як бухгалтерія, відділ внутрішньобанківських розрахунків та кореспондентських відносин, каса.
Відділ автоматизації також є обов'язковим елементом структури банку. Грошові потоки, які проходять через сучасний банк, неможливо обробити вручну, потрібен комплекс засобів, електронних машин.
Адміністрація. До його складу входить відділ кадрів банку, секретаріат, канцелярія, господарські підрозділи.
Загрози
1. Випадкові загрози (стихійні лиха, збої і відмови, помилки користувачів) - Цим загрозам піддаються всі відділи, т.к від стихійних лих, збоїв, помилок ніхто не застрахований.
2. Навмисні загрози
2.1 Традиційний шпигунство і диверсії - Тут загрозам схильні такі відділи як: Фінансовий відділ, Відділ автоматизації, Комерційний відділ. Шпигунство допоможе зловмисникові дізнатися як влаштований банк для того щоб організувати пограбування.
2.2. Несанкціонований доступ до інформації - Тут в основному загрожує Відділу автоматизації. Зловмисник, зламавши КС банку, може отримати багато йому корисної інформації. Дізнавшись, цю інформацію під загрозою можуть бути і всі інші відділи.
2.3 Електромагнітні випромінювання та наведення - Також загроза для Відділу автоматизації.
2.4 Несанкціонована модифікація структур - Також загроза для Відділу автоматизації.
2.5 шкідницьких програм - Також загроза для Відділу автоматизації. І з цього випливає загроза для всіх інших відділів.
Моделі зловмисників.
Хакер - Це досвідчений користувач ПК, який зламавши КС банку може використовувати Юту інформацію в своїх цілях або продати її іншій особі. Він представляє велику загрозу Відділу автоматизації. Він також може, зламавши КС перевести гроші на свій рахунок.
Співробітник банку - Він теж може надавати велику загрозу банку т.к він обертається в цій сфері і як ніхто інший знає як що влаштовано. Також це може бути колишній співробітник тому що він теж знає пристрій банку, особливо якщо це колишній співробітник Відділу автоматизації т.к він знає як влаштована КС банку.
Розробник КС - т.к він знає як влаштована КС яку він розробляв.
4. Порівняльний аналіз окремих питань захисту інформації в зарубіжних і вітчизняних документах
«Помаранчева книга» (TCSEC) | Захист інформацііСпеціальние захисні знаки. Класифікація та загальні вимоги | Вимоги до процесу кваліфікаційного аналізу ІТ-продукту | Вимоги гарантії безпеки | |
Рада банку | Д | С1 | Контроль процесу супроводу | УДО 1 |
Правління | Д | С1 | Контроль процесу супроводу | УДО 1 |
Відділ управління | С1 | С1 | Незалежне тестування | УДО 2 |
Комерційний відділ | ||||
Кредитний відділ | В3 | В1 | Незалежне тестування | УДО 5 |
Валютний відділ | В1 | А1 | Незалежне тестування | УДО 4 |
Інвестиційний відділ | ||||
В1 | В2 | Незалежне тестування | УДО 4 | |
Фінансовий відділ | ||||
Бухгалтерія | В3 | В2 | Незалежне тестування | УДО 4 |
Відділ внутрішньобанківських розрахунків | В2 | С1 | Незалежне тестування | УДО 3 |
Відділ кореспондентських відносин | В2 | С1 | Незалежне тестування | УДО 3 |
Каса | С2 | С2 | Незалежне тестування | УДО 3 |
Відділ автоматизації | А1 | С1 | Аналіз, контроль, тестування | УДО 7 |
Адміністрація | ||||
Відділ кадрів | С1 | В2 | Незалежне тестування | УДО 2 |
Канцелярія | Д | С2 | Незалежне тестування | УДО 1 |
Секретаріату | Д | С2 | Незалежне тестування | УДО 1 |
ЗАТВЕРДЖУЮ
Керівник підприємства
Журавльов А.А.
"6" жовтня 2008
Посадова інструкція
співробітнику, відповідального за захист інформації
Загальна частина
Відповідальний за захист інформації (штатний спеціаліст) призначається і звільняється з посади керівником підприємства за погодженням з Управлінням Гостехкомиссии Росії по Південному федеральному округу.
Відповідальний за захист інформації призначається з числа ІТП, які мають досвід роботи з основної діяльності підприємства або в галузі захисту інформації.
У своїй виробничій діяльності відповідальний за захист інформації підпорядковується керівнику підприємства або його заступнику, відповідальному за організацію захисту інформації.
Робота відповідального за захист інформації проводиться у відповідності з планами робіт із захисту інформації. На відповідального за захист інформації забороняється покладати завдання, не пов'язані з його діяльністю.
Відповідальний за захист інформації свою роботу проводить у тісній взаємодії з науковими, виробничими, режимно-секретними підрозділами підприємствами, представниками територіальних органів ФСБ, ФАПСІ, Гостехкомиссии.
Відповідальний за захист інформації у своїй діяльності керується:
положенням про державну систему захисту інформації в РФ;
нормативно-технічними документами з протидії іноземним технічним розвідкам;
наказами, вказівками вищестоящих органів по захисту інформації;
відомчими організаційно-розпорядчими та нормативно-методичних документів.
Основні функціональні завдання та обов'язки:
Планування робіт по захисту інформації на підприємстві, що передбачає вирішення конкретних питань щодо захисту інформації, організацію їх виконання, а також контроль за їх ефективністю.
Участь у підготовці підприємства до атестування на право проведення робіт з використанням відомостей, віднесених до держтаємниця.
Організація розробки нормативно-методичних документів із захисту інформації на підприємстві.
Узгодження заходів щодо захисту інформації для робочих місць, на яких проводяться роботи з використанням відомостей, віднесених до держтаємниці.
Організація і проведення робіт з виявлення:
- Демаскуючих ознак підприємства і продукції, що випускається;
- Видів і засобів технічної розвідки, які дозволяють отримати відомості про діяльність підприємства;
- Технічних каналів витоку інформації;
- Можливості несанкціонованого доступу до інформації, її руйнування (знищення) або спотворення і розробка відповідних заходів щодо захисту інформації.
Розробка (самостійно або спільно з режимними органами та іншими підрозділами) проектів розпорядчих документів з питань організації захисту інформації.
Організація, відповідно до нормативно-технічних документів, спеціальних перевірок та проведення атестування робочих місць, ПЕОМ і т.д. з видачею припису на право проведення на них робіт з секретною інформацією.
Розробка пропозицій щодо вдосконалення системи захисту інформації на підприємстві.
Розробка спільно з іншими підрозділами підприємства Керівництва по захисту інформації на підприємстві.
часть у розробці комплексу заходів щодо захисту держтаємниці при встановленні та здійсненні науково-технічних і торговельно-економічних зв'язків із зарубіжними фірмами, а також при відвідуванні підприємства іноземними фахівцями.
часть у розробці вимог із захисту інформації при проведенні робіт, пов'язаних з рухом і зберіганням продукції, а також при проектуванні, будівництві (реконструкції) та експлуатації об'єктів підприємства.
Участь в узгодженні ТЗ на проведення робіт, пов'язаних з відомостями, що містять держтаємницю.
Організація і проведення періодичного контролю ефективності заходів захисту інформації на підприємстві. Облік і аналіз результатів контролю.
Участь у розслідуванні порушень в області захисту інформації на підприємстві та розробка пропозицій щодо усунення недоліків і попередження подібного роду порушень.
Підготовка звітів про стан робіт із захисту інформації на підприємстві.
Організація проведення занять з керівниками і фахівцями підприємства з питань захисту інформації.
Відповідальний за захист інформації має право:
Допуску до робіт і документів підрозділів підприємства, для оцінки прийнятих заходів щодо захисту інформації та підготовки пропозицій щодо їх подальшого вдосконалення.
Готувати пропозиції про залучення до проведення робіт із захисту інформації підприємства, яке має ліцензію на відповідний вид діяльності.
Контролювати діяльність будь-якого структурного підрозділу підприємства по виконанню вимог щодо захисту інформації.
Брати участь у роботі технічної комісії підприємства при розгляді питань захисту інформації.
Вносити пропозиції керівнику підприємства про припинення робіт у разі виявлення витоку (або передумов до витоку) інформації.
Отримувати ліцензії на право виконання робіт із захисту інформації і при її отриманні надавати послуги в цій області іншим підприємствам.
Бути співвиконавцем при проведенні на договірній основі робіт, пов'язаних із захистом інформації з тем НДДКР, а також виробничими замовленнями або програмам випробувань.
ІНСТРУКЦІЯ
про порядок введення в експлуатацію об'єктів ЕОТ, допуску працівників до роботи на ПЕОМ, та дотримання вимог власної безпеки при обробці закритої інформації на СВТ
До роботи на ПЕОМ у Відділі автоматизації допускаються співробітники, що мають відповідну кваліфікацію (пройшли підготовку), після здачі ними заліку зі знання інструкції про порядок введення в експлуатацію об'єктів ЕОТ, допуску працівників до роботи на ПЕОМ, та дотримання вимог власної безпеки при обробці закритої інформації на засобах обчислювальної техніки, інструкції по захисту електронної інформації від комп'ютерних вірусів за заявою встановленого зразка.
Всі придбані комп'ютери, незалежно від джерела їх отримання у 10-денний термін повинні пройти перевірку у Відділі автоматизації. Пуско-налагоджувальні роботи із введення ПЕОМ в експлуатацію і подальше технічне обслуговування СВТ здійснюються фахівцями ОЦ.
На ПЕОМ встановлюється тільки необхідне, сертифіковане перевірене математико-програмне забезпечення (МПО), затверджене директором Журавльовим (вн. № 854796).
Вузли та блоки обладнання СВТ, до яких у процесі експлуатації доступ не потрібно, опечатуються фахівцями ВЦ з метою попередження несанкціонованого розкриття устаткування.
За всіма фактами несанкціонованого розкриття вузлів і блоків СВТ проводиться службове розгляд.
Заміна або підключення інших технічних засобів, що не входять у комплект об'єкта ЕОТ, не допускається.
Забороняється:
встановлювати і використовувати нештатне МПО без узгодження з ПЦ;
проводити обробку секретної інформації на СВТ, що не пройшли відповідну перевірку у ВЦ, реєстрацію, категоріювання і не мають приписи на експлуатацію;
повідомляти усно або письмово кому б то не було, якщо це не викликано службовою необхідністю, будь-які відомості про характер виконуваної на СВТ роботи; про застосовувані системах захисту інформації; про паролі, що використовуються в засобах захисту; про систему охорони та пропускний режим;
перевозити машинні носії, що містять конфіденційну інформацію, та документи громадським транспортом, заходити з ними в місця, не пов'язані з виконанням завдання, і транспортувати їх без відповідної упаковки.
Категорично забороняється:
здійснювати ремонт СВТ з встановленими магнітними носіями в сторонніх організаціях без узгодження з ПЦ та Начальника відділу автоматизації.
Відповідальність за забезпечення режиму конфіденційності і виконання заходів щодо захисту інформації, що обробляється на СВТ, несе начальник підрозділу.
Начальник Відділу Автоматизації
Кузьмін В.В.
Затверджена
наказом керівника підприємства № 77 від 3 жовтня 2008
Матриця доступу суб'єктів автоматизованої системи об'єкта інформатизації ******* відділенні Південно-Західного банку Ощадбанку Росії № *****] до її захищається інформаційних ресурсів
Рівень повноважень | Права з доступу до захищуваних інформаційних ресурсів |
Адміністратор | Повні права з доступу до ресурсів за п.п. 5, 6 Переліку (інв. № 856). |
Начальник ОА | Повні права з доступу до ресурсів за п.п. 1, 2, 3, 4 Переліку (інв. № 987). |
Користувач 2 | Повні права з доступу до ресурсів за п.п. 1, 2, 4 Переліку (інв. № 254). |
Підпис
Прим. № 88
ЗАТВЕРДЖУЮ
Директор Журавльов А.А.
«5» жовтня 2008
Опис технологічного процесу обробки інформації в автоматизованій системі об'єкта інформатизації «Ощадбанку».
Суб'єктом доступу автоматизованої системи (АС) об'єкта інформатизації (ОІ) «Ощадбанку» є користувач АС - старша друкарка по секретному листуванні Іванова Є.Є., якій присвоєно ідентифікатор «Lena».
Об'єктами доступу АС ОІ «Ощадбанку» є текстові і табличні файли користувача, які розміщуються на накопичувачі на жорстких магнітних дисках (НГЖД) ПЕОМ і на гнучких магнітних дисках.
Штатними засобами доступу до інформації в АС є:
пакет програмних продуктів Microsoft Office 2000 у складі MS Word і MS Ecxel, серійний номер: 12547896.;
програмна оболонка - Windows Commander версія 4.01 (збірка 4.00.950), серійний номер: 56987236;
продукт для перегляду графічних зображень ACDSee 32, версії 2.4., серійний номер 99987412;
для захисту інформації в АС застосований програмно-апаратний комплекс захисту від НСД Secret Net, версія 4.0. у складі:
апаратна плата Secret Net;
програмне забезпечення Secret Net версія 4.0 (автономний варіант), № Б 57596621.
Єдиний користувач Lena має повний доступ до всіх ресурсів АС.
Схема інформаційних потоків наведена у додатку.
Начальник ОА
Додаток
до Опису технологічного процесу обробки інформації в автоматизованій системі об'єкта інформатизації «Ощадбанку»
Схема інформаційних потоків автоматизованої системи об'єкта інформатизації «Ощадбанку».
Начальник ОА підпис
Схема побудови антивірусного захисту
(На основі пакету Antiviral Toolkit Pro)
Загальні положення
Ця технологія (далі - Технологічна схема) розроблена на виконання пунктів про антивірусного захисту Концепції інформаційної безпеки «Ощадбанку».
Метою розробки Технологічної схеми є вдосконалення нормативно-правової та методичної бази «Ощадбанку» в області забезпечення інформаційної безпеки.
Технологічна схема відображає технічні рішення з наступних питань організації антивірусного захисту інформації в «Ощадбанку»:
впровадження засобів антивірусного захисту інформації Antiviral Toolkit Pro;
застосування засобів антивірусного захисту інформації Antiviral Toolkit Pro;
порядок оновлення баз даних засобів антивірусного захисту інформації Antiviral Toolkit Pro;
дії посадових осіб при виявленні зараження інформаційно-обчислювальних ресурсів «Ощадбанку» програмними вірусами.
Технологічна схема розроблялася на основі наступних нормативно-методичних документів:
Федеральний закон від 20.02.95 № 24-ФЗ «Про інформацію, інформатизації і захисту інформації»;
Положення про державну систему захисту інформації в Російській Федерації від іноземної технічної розвідки і від її витоку технічними каналами, затверджене постановою Ради Міністрів - Уряду Російської Федерації від 15.09.93 р. № 912-51;
Постанова Уряду Російської Федерації «Про сертифікації засобів захисту інформації» від 26.06.95 р. № 608,
Указ Президента Російської Федерації від 09.09.2000 № 1895 «Про затвердження Доктрини інформаційної безпеки Російської Федерації»;
Основними шляхами проникнення вірусів в інформаційно-обчислювальну мережу митного органу є:
гнучкі магнітні диски, компакт-диски, пошта мережі Інтернет, файли, отримані з мережі Інтернет, раніше заражені робочі станції.
Впровадження системи антивірусного захисту інформації здійснюється в рамках робіт зі створення і розвитку «Ощадбанку». Оснащення «Ощадбанку» засобами антивірусного захисту інформації, необхідних для реалізації Технологічної схеми планується за договором між сторонами на підставі Федеральних критеріїв безпеки інформаційних технологій.
Організація антивірусного захисту інформації в «Ощадбанку»
Мета і завдання організації антивірусного захисту інформації
Організація антивірусного захисту інформації в «Ощадбанку» спрямована на запобігання зараження інформаційно-обчислювальних ресурсів автоматизованих систем банку програмними вірусами.
Захист інформації від впливу програмних вірусів на об'єктах інформатизації «Ощадбанку» здійснюється за допомогою застосування засобів антивірусного захисту. Порядок застосування засобів антивірусного захисту встановлюється з урахуванням наступних вимог:
обов'язковий вхідний контроль на відсутність програмних вірусів всіх вступників на об'єкт інформатизації машинних носіїв інформації, інформаційних масивів, програмних засобів загального і спеціального призначення;
періодична перевірка користувачами жорстких магнітних дисків (не рідше одного разу на тиждень) і обов'язкова перевірка використовуються в роботі гнучких магнітних дисків перед початком роботи з ними на відсутність програмних вірусів;
позапланова перевірка магнітних носіїв інформації на відсутність програмних вірусів у разі підозри на наявність програмного вірусу;
відновлення працездатності програмних засобів та інформаційних масивів у разі їх пошкодження програмними вірусами.
Порядок застосування засобів антивірусного захисту, що враховує особливості об'єкта інформатизації «Ощадбанку» і виконуються на даному об'єкті робіт, визначається інструкцією з антивірусного захисту інформації. У розділі повинні бути визначені:
посадові особи, відповідальні за отримання, розсилку, установку, підтримку в працездатному стані і використання засобів антивірусного захисту;
посадові особи, які здійснюють контроль за організацією антивірусного захисту;
порядок встановлення та застосування засобів антивірусного захисту
порядок ліквідації наслідків впливів програмних вірусів.
Стан питань антивірусного захисту відображається у звіті про стан забезпечення інформаційної безпеки в «Ощадбанку» з обов'язковим зазначенням виявлених порушень, викликаних зараженням програмними вірусами, описом причин появи вірусів, характеру та наслідків їх впливу і вжиті заходи.
Організаційна структура системи антивірусного захисту інформації в «Ощадбанку»
Загальне керівництво і контроль за організацією та забезпеченням антивірусного захисту інформації в «Ощадбанку» здійснює Адміністратор.
Розмежування повноважень і відповідальність за організацію антивірусного захисту інформації
На Адміністратора покладається:
розробка проектів нормативних документів з організації антивірусного захисту інформації;
узагальнення заявок від Начальника ОА на засоби антивірусного захисту, організація замовлення та закупівлі засобів антивірусного захисту інформації;
контроль стану антивірусного захисту інформації в «Ощадбанку»;
аналіз стану роботи з антивірусного захисту інформації та вироблення пропозицій щодо її вдосконалення;
участь у проведенні розслідувань за фактами зараження комп'ютерними вірусами в автоматизованих системах «Ощадбанку».
На Адміністратора покладається:
участь у розробці проектів нормативних документів з організації антивірусного захисту інформації;
закупівля засобів антивірусного захисту інформації на підставі рішень Керівництва;
забезпечення впровадження засобів антивірусного захисту інформації в локальних обчислювальних мережах підрозділів банку;
доведення до працездатності засобів антивірусного захисту інформації;
організація оновлення баз даних засобів антивірусного захисту інформації;
участь у проведенні розслідувань за фактами зараження комп'ютерними вірусами в автоматизованих системах «Ощадбанку».
Безпосереднє керівництво проведенням робіт з антивірусного захисту інформації в «Ощадбанку» здійснює Начальник ОА.
Начальник ОА забезпечують практичне виконання заходів щодо організації антивірусного захисту інформації.
Відповідальність за своєчасну інсталяцію антивірусних засобів захисту і відновлення їхніх баз даних покладається на адміністратора АВЗ.
Начальник ОА несуть відповідальність за організацію антивірусного захисту на експлуатованих засобах обчислювальної техніки.
Співробітники «Ощадбанку» зобов'язані суворо дотримуватися встановлених правил застосування засобів антивірусного захисту при роботі на засобах обчислювальної техніки. На них покладається безпосередня відповідальність за захист інформації від зараження програмними вірусами.
Установка засобів антивірусного захисту інформації
Структура засобів антивірусного захисту інформації
Робочі станції оснащуються антивірусним пакетом Dr. Web. Комплект засобів _ Dr. Web дозволяє побудувати багатошарову схему антивірусного захисту і забезпечити максимальну захищеність інформаційно-обчислювальних ресурсів «Ощадбанку» від зараження програмними вірусами.
Пакет Dr. Web включає наступні засоби:
Засоби антивірусного захисту для поштових серверів:
Засоби антивірусного захисту інформації для серверів баз даних і файлових серверів:
AVP for Windows NT Server; AVP for Novell Netware; AVP for Linux; AVP for FreeBSD; AVP for BSDi UNIX.
Засоби антивірусного захисту інформації для автономних, мобільних і мережевих робочих станцій: AVP for OS / 2; AVP for Firewall;
Засоби адміністрування та управління антивірусним захистом інформації:
AVP Центр Управління; AVP Мережний Центр Управління.
Отримані кошти антивірусного захисту встановлюються на всіх експлуатованих в «Ощадбанку» на об'єкті інформатизації, незалежно від категорій об'єктів інформатизації, на яких вони використовуються, в максимально короткий термін.
У першу чергу, встановлення антивірусних засобів здійснюється на Intranet і Internet серверах, серверах баз даних, поштових серверах, робочих станціях, задіяних в «Ощадбанку», і робочих станціях, підключених до інформаційно-обчислювальним мереж загального користування.
Схема типового функціонування засобів антивірусного захисту інформації
Інсталяція комплекту засобів AntiViral Toolkit Pro здійснюється на трьох основних рівнях
1 Рівень автономних робочих станцій, мобільних комп'ютерів і робочих станцій ЛВС.
2 Рівень серверів локальної обчислювальної мережі митних органів.
3 Рівень робочої станції адміністратора АВЗ.
Інсталяція комплекту засобів AntiViral Toolkit Pro на автономних і мережевих робочих станціях і мобільних комп'ютерах
На робочих станціях встановлюється комплект антивірусних програм. На робочих станціях використовують ОС MS-DOS повинен бути встановлений антивірусний сканер і дисковий ревізор, який автоматично перевірять комп'ютер при його включенні і створює список - звіт про змінених і нових файлах, які необхідно перевірити антивірусним сканером.
Використання спільно сканера і ревізора дозволить посилити ступінь перевірки і значно зменшить час роботи комплекту засобів Dr. Web.
Комплект засобів Dr. Web встановлюється на комп'ютерах з багатозадачними операційними системами (Windows NT Server) повинен мати у своєму складі антивірусний монітор, який запускається при включенні комп'ютера і працює постійно, у фоновому режимі без істотного уповільнення роботи системи в цілому або окремих її додатків, а так само антивірусний сканер, який здійснює перевірку за запитом.
Інсталяція комплекту засобів Dr. Web на серверах
Антивірусні засоби, що використовуються на цьому рівні, надають можливість перевірки в реальному режимі часу (фоновому режимі) і перевірку по запиту користувача, що захищає дані при передачі з серверів Novell Netware, Windows NT Server, Lotus Notes, Unix і назад. При роботі на сервері антивірус повинен працювати стійко, надійно і ефективно. Налаштування антивірусної програми повинна бути проведена з можливістю блокувати спроби запису заражених, підозрілих файлів на сервер. Кожна така спроба повинна фіксуватися в протоколах, звітах антивірусної програми із зазначенням імені зараженого файлу і шляху до нього. Інформація про такі спроби повинна негайно надсилатися адміністратора мережі і на робочу станцію, з якою проводилася спроба запису заражених, підозрілих файлів. Ведення звітів, має здійснюватися централізовано, з наявністю можливості посилати попередження адміністраторам мережі про вірусні атаки.
Інсталяція комплекту засобів Dr. Web на робочому місці адміністратора антивірусного захисту інформації
Робочим місцем адміністратора АВЗ є мережева робоча станція, з якою адміністратор:
управляє конфігурацією всього програмного забезпечення AVP, встановленого на мережевих робочих станціях Адміністратор;
управляє розсилкою оновлень антивірусних баз даних;
обмежує доступ користувачів до встановлених локально засобам пакета AVP;
проводить настройку розсилки повідомлень про виявлення вірусу і збої в роботі антивірусних програм тощо, конфігурує логічну структуру пакету антивірусних програмних засобів.
При цьому одна ПЕОМ, на розсуд адміністратора АВЗ може бути і робочою станцією, і сервером, і робочим місцем адміністратора в залежності від встановлених на неї програмних компонент.
Програмний комплекс AVP Мережевий Центр Управління призначений для організації захисту локальної мережі (не тільки локальна мережа як така, а й кілька локальних мереж, об'єднаних за допомогою протоколу TCP / IP) і дає можливість адміністратору АВЗ управляти компонентами Антивірусу Касперського, встановленими на підключених до мережі робочих станціях, зі свого робочого місця.
Адміністратор АВЗ повинен мати можливість управляти потоками даних, що передаються за допомогою поштових серверів на базі SMTP, де вся інформація також перевіряється на віруси. Важливий факт полягає в тому, що засоби антивірусного захисту для поштових систем на базі SMTP є першою лінією оборони: перехоплюють і знищують «приходять» віруси в режимі реального часу, перш ніж вони потраплять в локальну мережу і почнуть свою руйнівну дію.
Перший рівень захисту представляє собою "Міжмережевий екран" (firewall).
Розгорнута схема повинна відповідати таким умовам:
адміністратором АВЗ повинні регламентуватися права доступу як папок-сховищ антивірусних баз, і дистрибутивів антивірусних засобів;
своєчасність (не рідше одного разу на тиждень або за фактом проникнення вірусу) оновлення антивірусних баз;
своєчасність отримання адміністратором АВЗ повідомлень про проникнення вірусу.
Інсталяція системи антивірусного захисту інформації
Для інсталяції системи антивірусного захисту інформації необхідно:
1 Встановити програму AVP мережевий центр Управління на робочій станції адміністратора АВЗ.
2 Встановити програму AVP сервер хоча б на одному з комп'ютерів, підключеному до локальної мережі.
3 Встановити на комп'ютерах користувачів т серверах компоненти Антивірусу Касперського і керуючу оболонку - програму AVP Центр Управління.
4 Сформувати та налаштувати логічну мережу AVP.
Інсталяція засобів антивірусного захисту інформації здійснюється відповідно до посібників користувача, що входять у комплект засобів Dr. Web. Порядок створення і налаштування логічної мережі викладено в Посібнику користувача на AVP Мережний Центр Управління.
Особливості організації та інсталяції системи антивірусного захисту інформації в підрозділах «Ощадбанку»
Технічне обслуговування та супровід експлуатації засобів обчислювальної техніки і програмного забезпечення, що експлуатуються в підрозділах «Ощадбанку», покладені на Начальника ОА.
У зв'язку з цим, можна виділити наступні основні Особливості організації та інсталяції системи антивірусного захисту інформації в підрозділах «Ощадбанку»:
Схема функціонування пакета Dr. Web в локальних мережах підрозділів «Ощадбанку» передбачає централізоване управління з робочого місця адміністратора АВЗ - Відділу автоматизації.
Усі роботи з установки засобів антивірусного захисту інформації в локальних обчислювальних мережах підрозділів «Ощадбанку» виконують співробітники адміністраторській.
Відповідальність за налаштування засобів антивірусного захисту інформації і відновлення їхніх баз даних покладена на Адміністратора
Порядок оновлення баз даних антивірусних засобів захисту інформації
Загальні вимоги
Своєчасне оновлення антивірусних баз є невід'ємною частиною найбільш повноцінної захищеності інформації від зараження комп'ютерними вірусами.
Оновлення баз даних здійснюється щотижня.
Схема оновлення баз даних антивірусних засобів захисту
Схема оновлення баз даних антивірусних засобів захисту представляє собою багаторівневу дубльованих схему оновлення антивірусних.
Перший рівень передбачає отримання оновлень баз даних антивірусних засобів захисту інформації за допомогою налаштування автоматичного оновлення з Інтернет-сервера або Ftp-сервера «Dr. Web».
Другий рівень передбачає отримання оновлень баз даних антивірусних засобів захисту інформації за допомогою примусового оновлення з Інтернет-сервера Dr. Web.
Внутрішня структура оновлення баз даних засобів антивірусного захисту інформації в рамках одного сегменту локальної обчислювальної мережі будується на основі схеми, з використанням засобів управління антивірусного засобу і повинна також забезпечувати своєчасність оновлення.
Порядок дій при виявленні програмних вірусів
Виявлення програмних вірусів при вхідному контролі
Вся надходить в «Ощадбанк» інформація, отримана за модемного зв'язку, а також на магнітних носіях інформації (програмні засоби загального та спеціального призначення, інформаційні масиви), підлягають обов'язковій перевірці на наявність програмних вірусів.
Про проведену перевірку та її результати робиться відмітка на супровідному листі (акті, апаратній журналі тощо) користувачем, що виробляли перевірку.
При виявленні на дискетах або в отримані файли програмних вірусів користувачі доповідають про це до підрозділу «Ощадбанку» по захисту інформації, і вживає заходів з відновлення працездатності програмних засобів і даних.
Про факт виявлення програмних вірусів повідомляється у Відділ автоматизації, від яких надійшли заражені файли, для вжиття заходів щодо локалізації та усунення програмних вірусів.
Перед відправкою масивів інформації і програмних засобів, здійснюється її перевірка на наявність програмних вірусів. У тексті супровідного листа (апаратній журналі, технічному журналі і т.п.) вказується, що перевірка на наявність програмних вірусів інформації зроблена.
Виявлення програмних вірусів в процесі обробки інформації
При виявленні програмних вірусів користувач зобов'язаний негайно припинити всі роботи на ПЕОМ, довести до відома підрозділ «Ощадбанку» по захисту інформації та вжити заходів до їх локалізації та видалення за допомогою наявних антивірусних засобів захисту.
При функціонуванні ПЕОМ в якості робочої станції обчислювальної мережі проводиться її відключення від локальної мережі, локалізація і видалення програмних вірусів в обчислювальній мережі.
Ліквідація наслідків впливу програмних вірусів здійснюється Відділом Автоматизації.
Програмні засоби загального і спеціального призначення об'єкта інформатизації, що здійснюють обробку інформації, віднесеної до державної або службової таємниці, підлягають обов'язковій перевстановлення з робочих копій еталонних дискет незалежно від результатів по видаленню виявлених програмних вірусів наявними засобами антивірусного захисту.
«ЗАТВЕРДЖУЮ»
Начальник ОА
«3» жовтня 2008
6. Висновок
"Помаранчева книга" була першим стандартом інформаційної безпеки, в якому комп'ютерну систему (продукт) в процесі оцінювання, умовно можна розділити на чотири типи - вимоги проведення послідовної політики безпеки (security policy), вимоги ведення обліку використання продукту (accounts), вимоги довіри до продукту (assurance) і вимоги до документації на продукт.
"Федеральні критерії безпеки інформаційних технологій" є в порівнянні з "Помаранчевої книгою" стандартом нового покоління. "Федеральні критерії" є першим стандартом інформаційної безпеки, в якому визначаються три незалежні групи вимог: функціональні вимоги до засобів захисту, вимоги до технології розробки і до процесу кваліфікаційного аналізу (сертифікації). Авторами стандарту вперше запропонована концепція «Вимоги до процесу кваліфікаційного аналізу ІТ-продукту» - документа, покликаного забезпечити надійність і коректність цього процесу. Розробники "Федеральних критеріїв" також відмовилися від використовуваного в "Помаранчевої книзі" підходу до оцінки рівня безпеки вироби ІТ на основі узагальненої універсальної шкали класів безпеки. Замість цього пропонується незалежне ранжування вимог кожної групи, тобто використовується безліч приватних шкал-критеріїв, що характеризують забезпечуваний рівень безпеки. Такий підхід дозволяє розробникам і споживачам вироби ІТ вибрати найбільш прийнятне рішення і визначити необхідний і достатній набір вимог для кожного конкретного продукту ІТ і середовища його експлуатації.
"Загальні критерії оцінки безпеки інформаційних технологій" представляють собою результат узагальнення всіх досягнень в області інформаційної безпеки. Вони узгоджені з існуючими стандартами і розвивають їх шляхом введення нових концепцій, що відповідають сучасному рівню розвитку інформаційних технологій. "Загальні критерії" продовжили підхід "Федеральних критеріїв", спрямований на відмову від єдиної шкали класів безпеки, і підвищили гнучкість і зручність застосування критеріїв шляхом введення частково впорядкованих шкал. "Загальні критерії" залишили далеко позаду всі існуючі стандарти безпеки інформаційних технологій. "Загальні критерії" розробляються як проект міжнародного стандарту ІСО і повинні дозволити здійснювати сертифікацію продуктів ІТ на глобальному рівні.