Сдам Сам
Главная | Контакты | FAQ

ПОЛЕЗНОЕ
Как развить коммуникабельность Почему могут возникнуть ссоры между супругами, в то время как их отношения кажутся прочными Почему появляется страх? Как стать богатым и отойти от дел молодым Советы от доктора Айболита «Как быть здоровым» Как сделать приглашение правильно Точка зрения. Как сделать сотрудника вовлеченным? Лень и как с ней бороться. Психологические аспекты Способов заработать с помощью internet Лекции по Основам предпринимательства Последнее добавление


КАТЕГОРИИ
АвтоматизацияАрхитектураАстрономияАудит Биология Бухгалтерия Генетика География Геология Изобретательство Информатика Искусство История Компьютеры Литература Логика Маркетинг МатематикаМашиностроение Медицина Менеджмент Металлы и Сварка Механика Образование Педагогика Политика ПравоотношениеПроизводство Психология РазноеРелигия Социология Спорт Технологии Торговля Физика Философия Финансы Химия Экология Экономика







Обеспечение ЗИ при взаимодействии с информационными сетями общего пользования.





1. В настоящем разделе приведены рекомендации, определяющие условия и порядок подключения абонентов к информационным сетям общего пользования (Сетям), а также рекомендации по обеспечению безопасности конфиденциальной И, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (коммерческая тайна - в соответствии с п.2.3. СТР-К), при подключении и взаимодействии абонентов с этими сетями.

1.2. Данные рекомендации определены, исходя из требований РД "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к И. Показатели защищенности от несанкционированного доступа к И", настоящего документа, а также следующих основных угроз безопасности И, возникающих при взаимодействии с информационными сетями общего пользования:

несанкционированного доступа к И, хранящейся и обрабатываемой во внутренних ЛВС (серверах, рабочих станциях) или на автономных ПЭВМ, как из Сетей, так и из внутренних ЛВС;

несанкционированного доступа к коммуникационному оборудованию (маршрутизатору, концентратору, мосту, мультиплексору, серверу, Web/Proxy серверу), соединяющему внутренние ЛВС учреждения (предприятия) с Сетями;

несанкционированного доступа к данным (сообщениям), передаваемым между внутренними ЛВС и Сетями, включая их модификацию, имитацию и уничтожение;

заражения программного обеспечения компьютерными "вирусами" из Сети, как посредством приема "зараженных" файлов, так и посредством E-mail, апплетов языка JAVA и объектов ActiveX Control;

внедрения программных закладок с целью получения НСД к И, а также дезорганизации работы внутренней ЛВС и ее взаимодействия с Сетями;

несанкционированной передачи защищаемой конфиденциальной И ЛВС в Сеть;

возможности перехвата И внутренней ЛВС за счет побочных электромагнитных излучений и наводок от основных техн. средств, обрабатывающих такую И.

2. Условия подключения абонентов к Сети

2.1. Подключение к Сети абонентского пункта (АП) осуществляется по решению руководителя учреждения (предприятия) на основании соответствующего обоснования.

2.2. Обоснование необходимости подключения АП к Сети должно содержать:

наименование Сети, к которой осуществляется подключение, и реквизиты организации-владельца Сети и провайдера Сети;

состав техн. средств для оборудования АП;

предполагаемые виды работ и используемые прикладные сервисы Сети (E-Mail, FTP, Telnet, HTTP и т.п.) для АП в целом и для каждого абонента, в частности;

режим подключения АП и абонентов к Сети (постоянный, в т.ч. круглосуточный, временный);

состав общего и телекоммуникационного программного обеспечения АП и абонентов (ОС, клиентские прикладные программы для сети - Browsers и т.п.);

число и перечень предполагаемых абонентов (диапазон используемых IP- адресов);

меры и средства ЗИ от НСД, которые будут применяться на АП, организация-изготовитель, сведения о сертификации, установщик, конфигурация, правила работы с ними;

перечень сведений конфиденциального характера, обрабатываемых (хранимых) на АП, подлежащих передаче и получаемых из Сети.

2.3. Право подключения к Сети АП, не оборудованного средствами ЗИ от НСД, может быть предоставлено только в случае обработки на АП И с открытым доступом, оформленной в установленном порядке как разрешенной к открытому опубликованию. В этом случае к АП, представляющим собой автономную ПЭВМ с модемом, специальные требования по защите И от НСД не предъявляются.

2.4. Подключение к Сети АП, представляющих собой внутренние (локальные) вычислительные сети, на которых обрабатывается И, не разрешенная к открытому опубликованию, разрешается только после установки на АП средств ЗИ от НСД, отвечающих требованиям и рекомендациям, изложенным в подразделе 3.

3. Порядок подключения и взаимодействия абонентских пунктов с Сетью,

требования и рекомендации по обеспечению безопасности И

3.1. Подключение АП к Сети должно осуществляться в установленном порядке через провайдера Сети.

3.2. Подключение ЛВС предприятия (учреждения) к Сети должно осуществляться через средства разграничения доступа в виде МЭ (Firewall, Брандмауэр). Не допускается подключение ЛВС к Сети в обход МЭ. МЭ должны быть сертифицированы по требованиям безопасности И.

3.3. Доступ к МЭ, к средствам его конфигурирования должен осуществляться только выделенным администратором с консоли. Средства удаленного управления МЭ должны быть исключены из конфигурации.

3.4. АП с помощью МЭ должен обеспечивать создание сеансов связи абонентов с внешними серверами Сети и получать с этих серверов только ответы на запросы абонентов. Настройка МЭ должна обеспечивать отказ в обслуживании любых внешних запросов, которые могут направляться на АП.

При использовании почтового сервера и Web-сервера предприятия, последние не должны входить в состав ЛВС АП и должны подключаться к Сети по отдельному сетевому фрагменту (через маршрутизатор).

На техн. средствах АП должно находиться программное обеспечение только в той конфигурации, которая необходима для выполнения работ, заявленных в обосновании необходимости подключения АП к Сети (обоснование может корректироваться в установленном на предприятии порядке).

Не допускается активизация не включенных в обоснование прикладных серверов (протоколов) и не требующих привязок протоколов к портам.

Установку программного обеспечения, обеспечивающего функционирование АП, должны выполнять уполномоченные специалисты под контролем администратора. Абоненты АП не имеют права производить самостоятельную установку и модификацию указанного программного обеспечения, однако могут обращаться к администратору для проведения его экспертизы на предмет улучшения характеристик, наличия "вирусов", замаскированных возможностей выполнения непредусмотренных действий. Вся ответственность за использование не прошедшего экспертизу и не рекомендованного к использованию программного обеспечения целиком ложится на абонента АП. При обнаружении фактов такого рода администратор обязан логически (а при необходимости - физически вместе с включающей подсетью) отключить рабочее место абонента от Сети и ЛВС и поставить об этом в известность руководство.

Устанавливаемые межсетевые экраны должны соответствовать классу защищаемого АП (АС) и отвечать требованиям РД Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к И. Показатели защищенности от несанкционированного доступа к И".

СЗИ НСД, устанавливаемая на автономную ПЭВМ, рабочие станции и серверы внутренней ЛВС предприятия при обработке на них конфиденциальной И, должна осуществлять:

идентификацию и аутентификацию пользователей при доступе к автономной ПЭВМ, рабочим станциям и серверам внутренней ЛВС по идентификатору и паролю;

контроль доступа к ресурсам автономной ПЭВМ, рабочих станций и серверов внутренней ЛВС на основе дискреционного принципа;

регистрацию доступа к ресурсам автономной ПЭВМ, рабочих станций и серверов внутренней ЛВС, включая попытки НСД;

регистрацию фактов отправки и получения абонентом сообщений (файлов, писем, документов).

При этом СЗИ НСД должна запрещать запуск абонентом произвольных программ, не включенных в состав программного обеспечения АП.

Модификация конфигурации программного обеспечения АП должна быть доступна только со стороны администратора, ответственного за эксплуатацию АП.

Средства регистрации и регистрируемые данные должны быть недоступны для абонента.

СЗИ НСД должна быть целостной, т.е. защищенной от несанкционированной модификации и не содержащей путей обхода механизмов контроля.

Тестирование всех функций СЗИ НСД с помощью специальных программных средств должно проводится не реже одного раза в год.

3.10. Техн. средства АП должны быть размещены либо в отдельном помещении (при автономной ПЭВМ, подключенной к Сети), либо в рабочих помещениях абонентов с принятием организационных и техн. мер, исключающих несанкционированную работу в Сети. В этих помещениях должно быть исключено ведение конфиденциальных переговоров, либо техн. средства должны быть защищены с точки зрения электроакустики. В нерабочее время помещение автономной ПЭВМ либо соответствующего сервера сдается под охрану в установленном порядке.

3.11. При создании АП рекомендуется:

3.11.1. По возможности размещать МЭ для связи с внешними Сетями, Web-серверы, почтовые серверы в отдельном ЗП, доступ в которое имел бы ограниченный круг лиц (ответственные специалисты, администраторы). Периодически проверять работоспособность МЭ с помощью сканеров, имитирующих внешние атаки на внутреннюю ЛВС. Не следует устанавливать на МЭ какие-либо другие прикладные сервисы (СУБД, E-mail, прикладные серверы и т.п.).

3.11.2. При предоставлении абонентам прикладных сервисов исходить из принципа минимальной достаточности. Тем пользователям АП, которым не требуются услуги Сети, не предоставлять их. Пользователям, которым необходима только электронная почта (E-mail), предоставлять только доступ к ней. Максимальный перечень предоставляемых прикладных сервисов ограничивать следующими: E-mail, FTP, HTTP, Telnet.

При создании АП следует использовать операционные системы со встроенными функциями ЗИ от НСД, перечисленными в п.3.9, или использовать сертифицированные СЗИ НСД.

Эффективно использовать имеющиеся в маршрутизаторах средства разграничения доступа (фильтрацию), включающие контроль по списку доступа, аутентификацию пользователей, взаимную аутентификацию маршрутизаторов.

В целях контроля за правомерностью использования АП и выявления нарушений требований по защите И осуществлять анализ принимаемой из Сети и передаваемой в Сеть И, в том числе на наличие "вирусов". Копии исходящей электронной почты и отсылаемых в Сеть файлов следует направлять в адрес защищенного архива АП для последующего анализа со стороны администратора (службы безопасности).

3.11. Проводить постоянный контроль И, помещаемой на Web-серверы предприятия. Для этого следует назначить ответственного (ответственных) за ведение И на Web-сервере. Предусмотреть порядок размещения на Web-сервере И, разрешенной к открытому опубликованию.

3.12. Приказом по учреждению (предприятию) назначаются лица (абоненты), допущенные к работам в Сети с соответствующими полномочиями, лица, ответственные за эксплуатацию указанного АП и контроль за выполнением мероприятий по обеспечению безопасности И при работе абонентов в Сети (руководители подразделений и администраторы).

3.13. Вопросы обеспечения безопасности И на АП должны быть отражены в инструкции, определяющей:

порядок подключения и регистрации абонентов в Сети;

порядок установки и конфигурирования на АП общесистемного, прикладного коммуникационного программного обеспечения (серверов, маршрутизаторов, шлюзов, мостов, межсетевых экранов, Browsers), их новых версий;

порядок применения средств ЗИ от НСД на АП при взаимодействии абонентов с Сетью;

порядок работы абонентов в Сети, в том числе с электронной почтой (E-mail), порядок выбора и доступа к внутренним и внешним серверам Сети (Web-серверам);

порядок оформления разрешений на отправку данных в Сеть (при необходимости);

обязанности и ответственность абонентов и администратора внутренней ЛВС по обеспечению безопасности И при взаимодействии с Сетью;

порядок контроля за выполнением мероприятий по обеспечению безопасности И и работой абонентов Сети.

3.14. К работе в качестве абонентов Сети допускается круг пользователей, ознакомленных с требованиями по взаимодействию с другими абонентами Сети и обеспечению при этом безопасности И и допускаемых к самостоятельной работе в Сети после сдачи соответствующего зачета.

3.15. Абоненты Сети обязаны:

знать порядок регистрации и взаимодействия в Сети;

знать инструкцию по обеспечению безопасности И на АП;

знать правила работы со средствами ЗИ от НСД, установленными на АП (серверах, рабочих станциях АП);

уметь пользоваться средствами антивирусной защиты;

после окончания работы в Сети проверить свое рабочее место на наличие "вирусов".

3.1 Входящие и исходящие сообщения (файлы, документы), а также используемые при работе в Сети носители И учитываются в журналах несекретного делопроизводства. При этом на корпусе (конверте) носителя И наносится предупреждающая маркировка: "Допускается использование только в Сети ____".

3.17. Для приемки в эксплуатацию АП, подключаемого к Сети, приказом по учреждению (предприятию) назначается аттестационная комиссия, проверяющая выполнение установленных требований и рекомендаций. Аттестационная комиссия в своей работе руководствуется требованиями и рекомендациями настоящего документа.

3.18. По результатам работы комиссии оформляется заключение, в котором отражаются следующие сведения:

типы и номера выделенных техн. средств АП, в т.ч. каждого абонента, их состав и конфигурация;

состав общего и сервисного прикладного коммуникационного программного обеспечения (ОС, маршрутизаторов, серверов, межсетевых экранов, Browsers и т.п.) на АП в целом и на каждой рабочей станции абонента, в частности: логические адреса (IP-адреса), используемые для доступа в Сети;

мероприятия по обеспечению безопасности И, проведенные при установке техн. средств и программного обеспечения, в т.ч. средств ЗИ от НСД, антивирусных средств, по защите И от утечки по каналам ПЭМИН, наличие инструкции по обеспечению безопасности И на АП.

3.19. При работе в Сети категорически запрещается:

подключать техн. средства (серверы, рабочие станции), имеющие выход в Сеть, к другим техн. средствам (сетям), не определенным в обосновании подключения к Сети;

изменять состав и конфигурацию программных и техн. средств АП без санкции администратора и аттестационной комиссии;

производить отправку данных без соответствующего разрешения;

использовать носители И с маркировкой: "Допускается использование только в Сети ____" на рабочих местах других систем (в том числе и автономных ПЭВМ) без соответствующей санкции.

3.20. Ведение учета абонентов, подключенных к Сети, организуется в устанавливаемом в учреждении (на предприятии) порядке.

Контроль за выполнением мероприятий по обеспечению безопасности И на АП возлагается на администраторов АП, руководителей соответствующих подразделений, определенных приказом по учреждению (предприятию), а также руководителя службы безопасности.







Что будет с Землей, если ось ее сместится на 6666 км? Что будет с Землей? - задался я вопросом...

Что способствует осуществлению желаний? Стопроцентная, непоколебимая уверенность в своем...

Что вызывает тренды на фондовых и товарных рынках Объяснение теории грузового поезда Первые 17 лет моих рыночных исследований сводились к попыткам вычис­лить, когда этот...

Живите по правилу: МАЛО ЛИ ЧТО НА СВЕТЕ СУЩЕСТВУЕТ? Я неслучайно подчеркиваю, что место в голове ограничено, а информации вокруг много, и что ваше право...




Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:

©2015- 2024 zdamsam.ru Размещенные материалы защищены законодательством РФ.