Разработка политики безопасности

7.12.1. Завершать активную сессию перед тем, как отлучиться от оборудования, за исключением случаев длительной автоматической обработки данных при обязательном условии блокировки экрана и клавиатуры

7.13. Необходимо определить правила использования сетевых служб и сервисов

2. Предоставление доступа к конкретным сетям и сетевым службам только после прохождения процедур идентификации и аутентификации.
3. Порядок осуществления удаленного доступа должен быть регламентирован соответствующими документами (процедуры, регламенты, инструкции).

7.14. Необходимо обеспечить контроль доступа в операционную систему, что означает:

7.14.1. Идентификацию и аутентификацию пользователя, а при необходимости и идентификацию оборудования (сетевой адрес, номер терминала и т.п.), с которого осуществляется доступ.

7.15. Процедура входа в систему (log on) должна:

7.15.4. Проверку введенной информации осуществлять только после ее полного ввода. В случае обнаружения ошибки система не должна уточнять, какие именно данные введены неправильно.

7.16. Система управления паролями:

7.16.3. Обязательное (путем применения соответствующей  процедуры) применение качественных  паролей

7.16.7. Файл (база данных) паролей должен храниться отдельно от данных прикладных программ.

7.16.9. Пароли  по умолчанию, устанавливаемые  производителями оборудования и  программного

обеспечения, должны быть заменены в обязательном порядке.

7.25. Необходима  фиксация в журнале всех попыток  неавторизованного доступа

7.25.2. Нарушения правил политик доступа и уведомления на межсетевой экран

7.27. Требования безопасности для мобильных компьютеров и пользователей, при удаленной работе

1. Обеспечение физической защиты места удаленной работы, включая физическую безопасность здания или ближайшего окружения

2. Обеспечение безопасности телекоммуникаций, учитывающее необходимость удаленного доступа к внутренним ресурсам компании

7.28. Обеспечение безопасности для мобильных компьютеров и пользователей, при удаленной работе

2. Определение разрешенных видов работ, разрешенного времени доступа, классификации информации, которая может обрабатываться удаленно, определение систем и сервисов, к которым данному мобильному пользователю разрешен удаленный доступ
3. Физическая безопасность

Средний уровень:

7. Контроль  доступа

7.1. Политика  должна учитывать требования, связанные  с безопасностью бизнес-приложений

7.1.1. Требования  по безопасности отдельных бизнес  приложений и идентификация всей  информации, связанной с ними

7.1.3. Значимые законы о защите информационных ресурсов

7.1.5. Управление правами пользователей в распределенных системах со всеми типами соединений

7.3. Регистрация  пользователя должна подразумевать  выполнение ряда особых мер

5. Ознакомление пользователя под роспись с предоставленными правами доступа и порядком его осуществления

6. Все сервисы должны разрешать доступ только аутентифицированным пользователям

7.3.9. Периодический  контроль и удаление не используемых  учетных записей

7.7. Должны  выполняться требования безопасности, связанные с проверкой прав пользователей

2. Проверка прав пользователей, имеющих особые привилегии для доступа в систему должна проводиться чаще - каждые 3 месяца

3. Необходимо регулярно проверять адекватность назначенных привилегий, во избежание получения кем-либо из пользователей излишних прав.

7.9. Качественным  паролем считается пароль, удовлетворяющий  специальным условиям:

7.9.2. Пароль  легко запоминается

5. Изменять пароли на регулярной основе, при этом пароли привилегированных пользователей должны меняться чаще. При смене пароля недопустимо выбирать пароли, которые уже использовались ранее.
6. Изменять заданный администратором временный пароль при первом же входе в систему.

7.12. Оборудование  пользователей, оставляемое без  присмотра должно удовлетворять  требованиям безопасности. Пользователи должны:

7.12.2. Обязательно завершать соединение с сервером по окончании работы с ним, а не просто выключать терминал или компьютер.

7.15. Процедура входа в систему (log on) должна:

7.15.3. Не выдавать подсказок и справочной информации, чтобы усложнить проникновение в систему неавторизованному пользователю.

7.15.6. Контролировать ограничения по времени, заданные для пользователя, и отказывать в доступе при их нарушении.

7.16. Система управления паролями

7.16.2. По  возможности, позволять пользователям выбирать и менять свой пароль, а также предусмотреть процедуры контроля ошибок при вводе пароля

7.16.4. В системах, где пользователь должен сам создать свой пароль, обязательно должна присутствовать процедура смены заданного администратором пароля при первом входе в систему.

7.17. Использование системных утилит не должно нарушать информационную безопасность системы

1. Применять процесс аутентификации при использовании системных утилит
2. Раздельно хранить системные утилиты и приложения
3. Ограничить использование системных утилит минимально возможному числу доверенных 
   авторизованных пользователей

7.19. Прикладная система должна:

1. Управлять доступом пользователей к информации и системным вызовам приложений в соответствии с определенной политикой безопасности

2. Обеспечивать защиту от несанкционированного доступа к системным утилитам

7.20. Требования по ограничению доступа к информации:

3. Управление правами доступа пользователей (читать, писать, удалять, выполнять)
4. Обеспечение отправления выходных данных приложений с важной информацией только на авторизованные терминалы, включая периодическую проверку выходных данных, чтобы убедиться, что избыточная информация там отсутствует.
5. Изоляция особо важных систем

7.21. Необходим мониторинг доступа и использования систем

7.21.2. Дата и время входа и выхода

4. Записи об успешных или неудачных попытках входа в систему
5. Записи об успешных или неудачных попытках получения доступа к данным и иным ресурсам
6. Необходима фиксация в журнале всех привилегированных операций

7.24.1.Вход  с правами суперпользователя  (администратора)

7.25. Необходима фиксация в журнале всех попыток неавторизованного доступа

7.25.3. Тревоги от систем обнаружения вторжений

7.28. Обеспечение  безопасности для мобильных компьютеров  и пользователей, при удаленной работе

7.28.4. Наличие процедур резервного копирования и обеспечения непрерывности ведения бизнеса

7.28.7. Правила доступа к оборудованию и информации для членов семьи и посетителей

Низкий  уровень:

7. Контроль  доступа

7.5. Многопользовательская система должна иметь формализацию процесса авторизации

7.5.4. Минимизация пользовательских привилегий должна достигаться использованием системных процедур

7.6. Управление паролями пользователей

7.6.2. Рекомендуется  настроить систему таким образом,  чтобы при первом входе пользователя с назначенным ему временным паролем система сразу же требовала его сменить.

7.6.3. Временные  пароли должны передаваться пользователям  безопасным образом.

7.14. Необходимо обеспечить контроль доступа в операционную систему, что означает:

7.14.4. При необходимости ограничить временные рамки доступа пользователя в систему и число одновременных подключений.

7.15. Процедура входа в систему (log on) должна:

7.15.7. После  успешного входа пользователя  в систему информировать его  о дате последнего входа в систему и любых неуспешных попытках

7.16. Система управления паролями

7.16.5. Обеспечить запись старых паролей пользователей (например, за предыдущие 12 месяцев), чтобы предотвратить их повторное использование

7.17. Использование системных утилит не должно нарушать информационную безопасность системы

7.17.4. Специальная  авторизация при использовании  системных утилит

7.17.6. Протоколирование использования системных утилит и способа авторизации для запуска

    Приложение  Б

Принятые  сокращения

    АС - Автоматизированная система;

    ИС - Информационная система;

    КСЗ - Комплекс средств защиты;

    ЛВС - Локальная вычислительная сеть;

    МЭ - Межсетевой экран;

    НСД - Несанкционированный доступ;

    ОС - Операционная система;

    ПЗ - Подсистема защиты;

    ПК - Персональный компьютер;

    ПО - Программное обеспечение;

    РД - Руководящий документ;

    PC - Рабочая станция;

    СЗИ - Система защиты информации;

    СЗИ НСД - Система защиты информации от несанкционированного доступа;

    СЗСИ - Система защиты секретной информации;

    СБ - Служба безопасности;

    СРД - Система разграничения доступа;

    СУД - Система управления доступом;

    СУБД - Система управления базами данных;

    ЭВМ - Электронно-вычислительная машина;

    ЭВТ - Электронно-вычислительная техника. 
 
 
 
 
 
 

    СПИСОК ИСПОЛЬЗОВАНЫХ ИСТОЧНИКОВ

1. Стандарт предприятия (колледжа). Требования по выполнению и оформлению дипломных и курсовых проектов (работ). СТП-УГК-5. ФГОУ СПО УГК им. Ползунова, 2005 г.
2. А. А. Садердинов, В.А. Трайнев, А.А. Федулов Информационная безопасность предприятия: Учебное пособие.-2-е изд.-М.: Издательско-торговая корпорация «Дашков и Ко», 2005. 336 с.
3. В.В, Домарев Безопасность информационных технологий. Системный подход. – К.: ООО «ТИД ДС», 2004.
4. Закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
5. Закон РФ от 27 июля 2006г. N 149 – ФЗ «Об информации, информационных технологиях и о защите информации».
6. Указ Президента 1997 года (с изменениями 2005 года) об утверждении сведений конфиденциального характера.