|
Обеспечение ЗИ при взаимодействии с информационными сетями общего пользования. ⇐ ПредыдущаяСтр 5 из 5 1. В настоящем разделе приведены рекомендации, определяющие условия и порядок подключения абонентов к информационным сетям общего пользования (Сетям), а также рекомендации по обеспечению безопасности конфиденциальной И, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (коммерческая тайна - в соответствии с п.2.3. СТР-К), при подключении и взаимодействии абонентов с этими сетями. 1.2. Данные рекомендации определены, исходя из требований РД "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к И. Показатели защищенности от несанкционированного доступа к И", настоящего документа, а также следующих основных угроз безопасности И, возникающих при взаимодействии с информационными сетями общего пользования: несанкционированного доступа к И, хранящейся и обрабатываемой во внутренних ЛВС (серверах, рабочих станциях) или на автономных ПЭВМ, как из Сетей, так и из внутренних ЛВС; несанкционированного доступа к коммуникационному оборудованию (маршрутизатору, концентратору, мосту, мультиплексору, серверу, Web/Proxy серверу), соединяющему внутренние ЛВС учреждения (предприятия) с Сетями; несанкционированного доступа к данным (сообщениям), передаваемым между внутренними ЛВС и Сетями, включая их модификацию, имитацию и уничтожение; заражения программного обеспечения компьютерными "вирусами" из Сети, как посредством приема "зараженных" файлов, так и посредством E-mail, апплетов языка JAVA и объектов ActiveX Control; внедрения программных закладок с целью получения НСД к И, а также дезорганизации работы внутренней ЛВС и ее взаимодействия с Сетями; несанкционированной передачи защищаемой конфиденциальной И ЛВС в Сеть; возможности перехвата И внутренней ЛВС за счет побочных электромагнитных излучений и наводок от основных техн. средств, обрабатывающих такую И. 2. Условия подключения абонентов к Сети 2.1. Подключение к Сети абонентского пункта (АП) осуществляется по решению руководителя учреждения (предприятия) на основании соответствующего обоснования. 2.2. Обоснование необходимости подключения АП к Сети должно содержать: наименование Сети, к которой осуществляется подключение, и реквизиты организации-владельца Сети и провайдера Сети; состав техн. средств для оборудования АП; предполагаемые виды работ и используемые прикладные сервисы Сети (E-Mail, FTP, Telnet, HTTP и т.п.) для АП в целом и для каждого абонента, в частности; режим подключения АП и абонентов к Сети (постоянный, в т.ч. круглосуточный, временный); состав общего и телекоммуникационного программного обеспечения АП и абонентов (ОС, клиентские прикладные программы для сети - Browsers и т.п.); число и перечень предполагаемых абонентов (диапазон используемых IP- адресов); меры и средства ЗИ от НСД, которые будут применяться на АП, организация-изготовитель, сведения о сертификации, установщик, конфигурация, правила работы с ними; перечень сведений конфиденциального характера, обрабатываемых (хранимых) на АП, подлежащих передаче и получаемых из Сети. 2.3. Право подключения к Сети АП, не оборудованного средствами ЗИ от НСД, может быть предоставлено только в случае обработки на АП И с открытым доступом, оформленной в установленном порядке как разрешенной к открытому опубликованию. В этом случае к АП, представляющим собой автономную ПЭВМ с модемом, специальные требования по защите И от НСД не предъявляются. 2.4. Подключение к Сети АП, представляющих собой внутренние (локальные) вычислительные сети, на которых обрабатывается И, не разрешенная к открытому опубликованию, разрешается только после установки на АП средств ЗИ от НСД, отвечающих требованиям и рекомендациям, изложенным в подразделе 3. 3. Порядок подключения и взаимодействия абонентских пунктов с Сетью, требования и рекомендации по обеспечению безопасности И 3.1. Подключение АП к Сети должно осуществляться в установленном порядке через провайдера Сети. 3.2. Подключение ЛВС предприятия (учреждения) к Сети должно осуществляться через средства разграничения доступа в виде МЭ (Firewall, Брандмауэр). Не допускается подключение ЛВС к Сети в обход МЭ. МЭ должны быть сертифицированы по требованиям безопасности И. 3.3. Доступ к МЭ, к средствам его конфигурирования должен осуществляться только выделенным администратором с консоли. Средства удаленного управления МЭ должны быть исключены из конфигурации. 3.4. АП с помощью МЭ должен обеспечивать создание сеансов связи абонентов с внешними серверами Сети и получать с этих серверов только ответы на запросы абонентов. Настройка МЭ должна обеспечивать отказ в обслуживании любых внешних запросов, которые могут направляться на АП. При использовании почтового сервера и Web-сервера предприятия, последние не должны входить в состав ЛВС АП и должны подключаться к Сети по отдельному сетевому фрагменту (через маршрутизатор). На техн. средствах АП должно находиться программное обеспечение только в той конфигурации, которая необходима для выполнения работ, заявленных в обосновании необходимости подключения АП к Сети (обоснование может корректироваться в установленном на предприятии порядке). Не допускается активизация не включенных в обоснование прикладных серверов (протоколов) и не требующих привязок протоколов к портам. Установку программного обеспечения, обеспечивающего функционирование АП, должны выполнять уполномоченные специалисты под контролем администратора. Абоненты АП не имеют права производить самостоятельную установку и модификацию указанного программного обеспечения, однако могут обращаться к администратору для проведения его экспертизы на предмет улучшения характеристик, наличия "вирусов", замаскированных возможностей выполнения непредусмотренных действий. Вся ответственность за использование не прошедшего экспертизу и не рекомендованного к использованию программного обеспечения целиком ложится на абонента АП. При обнаружении фактов такого рода администратор обязан логически (а при необходимости - физически вместе с включающей подсетью) отключить рабочее место абонента от Сети и ЛВС и поставить об этом в известность руководство. Устанавливаемые межсетевые экраны должны соответствовать классу защищаемого АП (АС) и отвечать требованиям РД Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к И. Показатели защищенности от несанкционированного доступа к И". СЗИ НСД, устанавливаемая на автономную ПЭВМ, рабочие станции и серверы внутренней ЛВС предприятия при обработке на них конфиденциальной И, должна осуществлять: идентификацию и аутентификацию пользователей при доступе к автономной ПЭВМ, рабочим станциям и серверам внутренней ЛВС по идентификатору и паролю; контроль доступа к ресурсам автономной ПЭВМ, рабочих станций и серверов внутренней ЛВС на основе дискреционного принципа; регистрацию доступа к ресурсам автономной ПЭВМ, рабочих станций и серверов внутренней ЛВС, включая попытки НСД; регистрацию фактов отправки и получения абонентом сообщений (файлов, писем, документов). При этом СЗИ НСД должна запрещать запуск абонентом произвольных программ, не включенных в состав программного обеспечения АП. Модификация конфигурации программного обеспечения АП должна быть доступна только со стороны администратора, ответственного за эксплуатацию АП. Средства регистрации и регистрируемые данные должны быть недоступны для абонента. СЗИ НСД должна быть целостной, т.е. защищенной от несанкционированной модификации и не содержащей путей обхода механизмов контроля. Тестирование всех функций СЗИ НСД с помощью специальных программных средств должно проводится не реже одного раза в год. 3.10. Техн. средства АП должны быть размещены либо в отдельном помещении (при автономной ПЭВМ, подключенной к Сети), либо в рабочих помещениях абонентов с принятием организационных и техн. мер, исключающих несанкционированную работу в Сети. В этих помещениях должно быть исключено ведение конфиденциальных переговоров, либо техн. средства должны быть защищены с точки зрения электроакустики. В нерабочее время помещение автономной ПЭВМ либо соответствующего сервера сдается под охрану в установленном порядке. 3.11. При создании АП рекомендуется: 3.11.1. По возможности размещать МЭ для связи с внешними Сетями, Web-серверы, почтовые серверы в отдельном ЗП, доступ в которое имел бы ограниченный круг лиц (ответственные специалисты, администраторы). Периодически проверять работоспособность МЭ с помощью сканеров, имитирующих внешние атаки на внутреннюю ЛВС. Не следует устанавливать на МЭ какие-либо другие прикладные сервисы (СУБД, E-mail, прикладные серверы и т.п.). 3.11.2. При предоставлении абонентам прикладных сервисов исходить из принципа минимальной достаточности. Тем пользователям АП, которым не требуются услуги Сети, не предоставлять их. Пользователям, которым необходима только электронная почта (E-mail), предоставлять только доступ к ней. Максимальный перечень предоставляемых прикладных сервисов ограничивать следующими: E-mail, FTP, HTTP, Telnet. При создании АП следует использовать операционные системы со встроенными функциями ЗИ от НСД, перечисленными в п.3.9, или использовать сертифицированные СЗИ НСД. Эффективно использовать имеющиеся в маршрутизаторах средства разграничения доступа (фильтрацию), включающие контроль по списку доступа, аутентификацию пользователей, взаимную аутентификацию маршрутизаторов. В целях контроля за правомерностью использования АП и выявления нарушений требований по защите И осуществлять анализ принимаемой из Сети и передаваемой в Сеть И, в том числе на наличие "вирусов". Копии исходящей электронной почты и отсылаемых в Сеть файлов следует направлять в адрес защищенного архива АП для последующего анализа со стороны администратора (службы безопасности). 3.11. Проводить постоянный контроль И, помещаемой на Web-серверы предприятия. Для этого следует назначить ответственного (ответственных) за ведение И на Web-сервере. Предусмотреть порядок размещения на Web-сервере И, разрешенной к открытому опубликованию. 3.12. Приказом по учреждению (предприятию) назначаются лица (абоненты), допущенные к работам в Сети с соответствующими полномочиями, лица, ответственные за эксплуатацию указанного АП и контроль за выполнением мероприятий по обеспечению безопасности И при работе абонентов в Сети (руководители подразделений и администраторы). 3.13. Вопросы обеспечения безопасности И на АП должны быть отражены в инструкции, определяющей: порядок подключения и регистрации абонентов в Сети; порядок установки и конфигурирования на АП общесистемного, прикладного коммуникационного программного обеспечения (серверов, маршрутизаторов, шлюзов, мостов, межсетевых экранов, Browsers), их новых версий; порядок применения средств ЗИ от НСД на АП при взаимодействии абонентов с Сетью; порядок работы абонентов в Сети, в том числе с электронной почтой (E-mail), порядок выбора и доступа к внутренним и внешним серверам Сети (Web-серверам); порядок оформления разрешений на отправку данных в Сеть (при необходимости); обязанности и ответственность абонентов и администратора внутренней ЛВС по обеспечению безопасности И при взаимодействии с Сетью; порядок контроля за выполнением мероприятий по обеспечению безопасности И и работой абонентов Сети. 3.14. К работе в качестве абонентов Сети допускается круг пользователей, ознакомленных с требованиями по взаимодействию с другими абонентами Сети и обеспечению при этом безопасности И и допускаемых к самостоятельной работе в Сети после сдачи соответствующего зачета. 3.15. Абоненты Сети обязаны: знать порядок регистрации и взаимодействия в Сети; знать инструкцию по обеспечению безопасности И на АП; знать правила работы со средствами ЗИ от НСД, установленными на АП (серверах, рабочих станциях АП); уметь пользоваться средствами антивирусной защиты; после окончания работы в Сети проверить свое рабочее место на наличие "вирусов". 3.1 Входящие и исходящие сообщения (файлы, документы), а также используемые при работе в Сети носители И учитываются в журналах несекретного делопроизводства. При этом на корпусе (конверте) носителя И наносится предупреждающая маркировка: "Допускается использование только в Сети ____". 3.17. Для приемки в эксплуатацию АП, подключаемого к Сети, приказом по учреждению (предприятию) назначается аттестационная комиссия, проверяющая выполнение установленных требований и рекомендаций. Аттестационная комиссия в своей работе руководствуется требованиями и рекомендациями настоящего документа. 3.18. По результатам работы комиссии оформляется заключение, в котором отражаются следующие сведения: типы и номера выделенных техн. средств АП, в т.ч. каждого абонента, их состав и конфигурация; состав общего и сервисного прикладного коммуникационного программного обеспечения (ОС, маршрутизаторов, серверов, межсетевых экранов, Browsers и т.п.) на АП в целом и на каждой рабочей станции абонента, в частности: логические адреса (IP-адреса), используемые для доступа в Сети; мероприятия по обеспечению безопасности И, проведенные при установке техн. средств и программного обеспечения, в т.ч. средств ЗИ от НСД, антивирусных средств, по защите И от утечки по каналам ПЭМИН, наличие инструкции по обеспечению безопасности И на АП. 3.19. При работе в Сети категорически запрещается: подключать техн. средства (серверы, рабочие станции), имеющие выход в Сеть, к другим техн. средствам (сетям), не определенным в обосновании подключения к Сети; изменять состав и конфигурацию программных и техн. средств АП без санкции администратора и аттестационной комиссии; производить отправку данных без соответствующего разрешения; использовать носители И с маркировкой: "Допускается использование только в Сети ____" на рабочих местах других систем (в том числе и автономных ПЭВМ) без соответствующей санкции. 3.20. Ведение учета абонентов, подключенных к Сети, организуется в устанавливаемом в учреждении (на предприятии) порядке. Контроль за выполнением мероприятий по обеспечению безопасности И на АП возлагается на администраторов АП, руководителей соответствующих подразделений, определенных приказом по учреждению (предприятию), а также руководителя службы безопасности. Что будет с Землей, если ось ее сместится на 6666 км? Что будет с Землей? - задался я вопросом... Что способствует осуществлению желаний? Стопроцентная, непоколебимая уверенность в своем... Что вызывает тренды на фондовых и товарных рынках Объяснение теории грузового поезда Первые 17 лет моих рыночных исследований сводились к попыткам вычислить, когда этот... Живите по правилу: МАЛО ЛИ ЧТО НА СВЕТЕ СУЩЕСТВУЕТ? Я неслучайно подчеркиваю, что место в голове ограничено, а информации вокруг много, и что ваше право... Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:
|