Библиотека сайта
Статьи и книги
Документы
Лирика
Полезные ссылки
Студентам и аспирантам
Внимание, розыск!
Гостевая книга
Форум
Блог
DokuWiki
AntiSysWiki

Поиск по сайту:


Режим: "И" "ИЛИ"
Общий поиск по сайту, вики-разделам и форуму:
Гугель-поиск:
Locations of visitors to this page
free counters

Замечание об авторских правах. На представленный ниже текст распространяется действие Закона РФ N 5351-I "Об авторском праве и смежных правах" (с изменениями и дополнениями на текущий момент). Удаление размещённых на этой странице знаков охраны авторских прав либо замещение их иными при копировании данного текста и последующем его воспроизведении в электронных сетях является грубейшим нарушением статьи 9 упомянутого Федерального Закона. Использование данного текста в качестве содержательного контента при изготовлении разного рода печатной продукции (антологий, альманахов, хрестоматий и пр.), подготовке документов, текстов речей и выступлений, использование в аудиовизуальных произведениях без указания источника его происхождения (то есть данного сайта) является грубейшим нарушением статьи 11 упомянутого Федерального Закона РФ. Напоминаем, что раздел V упомянутого Федерального Закона, а также действующее гражданское, административное и уголовное законодательство Российской Федерации предоставляют авторам широкие возможности как по преследованию плагиаторов, так и по защите своих имущественных интересов, в том числе позволяют добиваться, помимо наложения предусмотренного законом наказания, также получения с ответчиков компенсации, возмещения морального вреда и упущенной выгоды на протяжении 70 лет с момента возникновения их авторского права.

Добросовестное некоммерческое использование данного текста без согласия или уведомления автора предполагает наличие ссылки на источник его происхождения (данный сайт), для коммерческого использования в любой форме необходимо прямое и явно выраженное согласие автора.

© П.М.Корявцев, П.Г.Шабанов, 2000 г.

© "Теория антисистем. Источники и документы", 2005 г.

 

Корявцев П.М.
(Раздел 4 написан в соавторстве с Шабановым П.Г.)

Общий комплекс мер по обеспечению информационной безопасности. Методические рекомендации.

//Вестник МВД РФ. М.: 2000.
 

                           Раздел 1.
                 Угрозы информационной безопасности.

          Возникающие   в   процессе   деятельности   предприятия
     (организации)  угрозы  разделяются по характеру источника на
     два  базовых  класса  -  внешние и внутренние.  К  первому
     относятся следующе виды угроз:
          а) угрозы  физического  проникновения посторонних лиц с
     целью хищения критичной информации на различных носителях;
          б)  угрозы  проникновения  в корпоративную сеть с целью
     получения  разового  или  постоянного  доступа  к  критичной
     информации;
          в)    угрозы    различных    внешних   воздействий   на
     корпоративную   сеть   с  целью  дезорганизации  ее  работы,
     нанесения материального ущерба разнообразными способами;
          г)  угрозы внедрения в корпоративную сеть извне с целью
     использования ее ресурсов в личных целях;
          д)  угрозы  снятия  информации с работающих компьютеров
     путем    визуального    наблюдения    и    сканирования   их
     электромагнитных или сонарных сигнатур.
          Ко второму классу относятся следующие виды угроз:
          а)  угроза нелояльного поведения персонала по корыстным
     или   личным   мотивам,   приводящего   к  утечке  критичной
     информации   или   нарушениям   режима   обеспечения   общей
     безопасности;
          б)  угрозы  нарушения  защиты  от  несанкционированного
     доступа  к  корпоративной  сети  вследствие  халатности  или
     низкого профессионального уровня персонала;
          в)  угрозы  проведения прямых диверсионных действий или
     саботажа  со стороны персонала, склоненного к сотрудничеству
     сторонними лицами или организациями;
          г)  угрозы появления (применения) в процессе увольнения
     (в    особенности    вследствие   возникновения   конфликта)
     персонала,    имевшего   отношение   к   обеспечению   общей
     безопасности    или    защите    корпоративной    сети    от
     несанкционированного   доступа,   устройств   или  программ,
     нарушающих режим обеспечения информационной безопасности;
          д)    угрозы    использования    персоналом    ресурсов
     корпоративной  сети  и  обрабатываемой  в  ней  информации в
     личных целях;
          е)    угрозы   нелегального   физического   подключения
     дополнительного    рабочего   места   к   кабельным   линиям
     корпоративной  сети  с  целью  получения  доступа  к  сети и
     циркулирующей по ней информации.

                              Раздел 2.
         Методы противодействия внешним и внутренним угрозам
                     информационной безопасности.

          Сообразуясь   с   описанными   видами   угроз  возможны
     следующие методы противодействия им:
          -   для  видов  1а,  2в  -  обеспечение  общего  режима
     безопасности   на  территории  и  в  помещениях  предприятия
     (организации);
          -  для  видов  1б,  1в,  1г,  2е - применение комплекса
     программно-технических и специальных режимных мероприятий по
     защите  корпоративной сети и циркулирующей в ней информации,
     по    результатам    -   проведение   организационно-штатных
     мероприятий;
          -  для  видов  1д,  2а,  2б  -  проведение  необходимых
     организационно-штатных     мероприятий,    для    вида    2б
     дополнительно       -      проведение      разъяснительной и
     профилактической работы;
          -  для  видов  2г,  2д  -  координированное  проведение
     специальных режимных и технических мероприятий.
          Таким   образом,   для  решения  проблемы  в  комплексе
     необходимо   планировать  проведение  программно-технических
     мероприятий по защите сети и циркулирующей по ней информации
     от  несанкционированного  доступа,  закупку соответствующего
     программного    и   аппаратного   обеспечения,   разработать
     мероприятия  по  обеспечению  общего  режима безопасности, а
     также  специальные мероприятия по обеспечению особого режима
     использования критичной информации и доступа к ней.

                              Раздел 3.
     Организационно-технические мероприятия по обеспечению режима
                     информационной безопасности.

          Для  обеспечения  режима  информационной безопасности в
     рамках  предприятия  (организации) целесообразно предпринять
     следующие меры:
          -  взять  под  жесткий  контроль  все  каналы связи, по
     которым  корпоративная сеть может сообщаться с внешним миром
     (телефонные коммутируемые, выделенные, цифровые, радиоканалы
     и т.д.);
          -  организовать  разделение  доступа в сети к различным
     информационным    ресурсам    путем    разбиения   сети   на
     изолированные  сегменты,  для  каждой  группы  пользователей
     сети предоставить строго только необходимые ресурсы;
          -   выделить  эксплуатируемый  WWW-сервер  в  отдельный
     изолированный  сегмент,  а  при  необходимости  и  физически
     изолировать его от остальной сети;
          -  удалить  (заблокировать)  на  эксплуатируемых в сети
     компьютерах   накопители   на   сменных  носителях,  удалить
     или опечатать шлейфы неиспользуемых коммуникационных портов,
     для  остальных  установить  нестандартные  внешние  разъемы,
     эксплуатация  которых  без  специального ключа (переходника)
     невозможна,  при возможности использовать в качестве рабочих
     мест терминалы вместо персональных компьютеров;
          -   ключи   для   коммуникационных   портов  хранить  в
     опечатанных  пеналах  в  металлическом  хранилище и выдавать
     строго определенным сотрудникам;
          -  перенос  любой  информации с компьютера на компьютер
     помимо сети осуществлять только на одном внешнем накопителе,
     при  этом  заниматься этим должен один конкретный сотрудник,
     несущий    персональную   ответственность   за   сохранность
     информации;
          - носители, на которых физически размещается критически
     важная  информация,  поместить в контейнеры типа Mobil rack,
     опечатывать   замки   и   переднюю   панель  контейнера  при
     эксплуатации массива, в нерабочее время помещать контейнер в
     металлическое хранилище (сейф);
          -    официально    назначить    сотрудника,    несущего
     ответственность   за   защиту   информации   на  предприятии
     (в организации), определить круг его обязанностей;
          -     провести     сплошную    проверку    компьютеров,
     эксплуатируемых  на  предприятии  (в организации) на предмет
     нештатных  вложений либо подключений, после проверки корпуса
     компьютеров опечатать;
          - для пресечения попыток снятия информации с работающих
     компьютеров  путем  визуального  наблюдения или сканирования
     электромагнитной  сигнатуры оборудовать окна в помещениях, в
     которых   размещаются   компьютеры,   внутренними   жесткими
     металлическими  жалюзями,  обязать персонал закрывать жалюзи
     при обработке критической информации;
          -  для  сохранения  наиболее критической информации как
     хранящейся  на  носителях,  так  и  перемещающейся  по сети,
     применять    криптографическое    программное   обеспечение,
     использующее современные алгоритмы шифрования;
          - постоянно сканировать пространство корпоративной сети
     и  поступающую  извне  информацию антивирусными программами,
     регулярно   обновлять   базы   данных  антивирусов,  обязать
     персонал   систематически   проверять   носители,   особенно
     сменные, а также входящую почту, на предмет наличия вирусов;
          -  установить  дисциплинарную ответственность персонала
     за  нарушение  режима информационной безопасности и халатное
     отношение  к сохранности информации, каждый случай нарушения
     режима и принятые в отношении нарушителя дисциплинарные меры
     доводить  до  сведения  коллектива,  акцентировать  внимание
     персонала  на  том, что распространение вредоносных программ
     (вирусов)  и  нарушение правил эксплуатации компьютеров и их
     сетей,    повлекшее   утрату   (повреждение)   информации, в
     настоящее время являются уголовно наказуемыми деяниями;
          -  установить штатно предусмотренные пароли на доступ к
     BIOS  компьютеров,  на  компьютерах  содержащих  критическую
     информацию  дополнительно  установить  пароли  на  загрузку,
     предусмотреть      систему      парольной      идентификации
     пользователей    в    сети,    ведение   протоколов   работы
     пользователей;
          - установить в корпоративной сети внутренние POP, SMTP,
     Proxy  HTTP/FTP  сервера,  все  общение пользователей сети с
     внешним  миром вести только через эти сервера, установить на
     них  программное  обеспечение  для  объективного контроля за
     содержимым информации, циркулирующей через них;
          -   установить   на  компьютерах,  в  том  числе  и  не
     подключенных   к  сети,  средств  объективного  контроля  за
     деятельность персонала;
          -  установить  программную систему мониторинга движения
     пакетов   в   корпоративной   сети  и  доступа  к  критичной
     информации,   вести   протоколирование  доступа  к  подобной
     информации;
          -  установить  программную  систему типа packet sniffer
     для  сканирования  сети,  при  возникновении риска нарушения
     режима безопасности переводить ее в режим перехвата пакетов;
          -   назначить  конкретного  сотрудника,  который  будет
     заниматься  анализом результатов работы средств объективного
     контроля,  контролировать  состояние безопасности сети и при
     возникновении   нештатных   ситуаций   принимать   меры   по
     незамедлительному реагированию;
          -    систематически    проверять    соблюдение   режима
     информационной   безопасности   -   сохранность  печатей  на
     оборудовании,   ключей  коммуникационных  портов,  внешних и
     сменных   носителей,   носителей   в   контейнерах,  наличие
     нетабельных   коммуникационных   устройств  и  носителей  на
     рабочих  местах  персонала, наличие компьютеров, оставленных
     персоналом во включенном состоянии без присмотра.
 

                              Раздел 4.
      Краткие рекомендации по организации разделенного доступа в
                   сети для небольшой организации.

          Исходные  данные:  имеется локальная сеть, объединяющая
     несколько  отделов  (или  других структурных подразделений),
     Web-сервер и доступ к Интернет.
          Требуется:   разграничить   права   доступа  на  уровне
     отделов/подразделений   к  ресурсам  других  подразделений и
     обеспечение  безопасности  при  работе  с Интернетом в плане
     несанкционированного   доступа  из  Интернета  к  внутренней
     сети организации.
          Предлагается   следующее   решение:   сеть  организации
     разбивается  на сегменты посредством сбора сегментов сети на
     РАЗНЫХ   концентраторах   (хабах).  Внутри  одного  сегмента
     предполагается,  что  все  машины  имеют  одинаковый уровень
     доступа.
          В   центре   сети   ставится   машина  под  ОС  Linux с
     настроенными  правилами  фильтрации.  Для каждого сегмента в
     сервере предусматривается отдельная сетевая плата.
          Доступ  из одного сегмента в другой может быть разрешен
     или   запрещен   полностью   или   частично.  Под  частичным
     ограничением   доступа   следует   понимать  следующие  виды
     ограничений:
         1. По IP-адресу источника и приемника пакета.
         2. По протоколу TCP/UDP/ICMP.
         3. По порту источника и приемника пакета.
         4. По признаку SYN/ACK (инициатор/ответчик).
         5. По интерфейсам главного маршрутизатора.
          Кроме  того,  может  быть  выполнена  жесткая  привязка
     IP-адресов  к  MAC- адресам сетевых плат на рабочих машиинах
     при  их работе с/через главный маршрутизатор, что затрудняет
     простую перестановку IP адреса даже внутри одного сегмента с
     машины  на  машину  для  предотвращения  представления одной
     машины  реквизитами  другой  в  сети.  (Правда  при  этом не
     исключается  перестановка сетевых плат физически с машины на
     машину  или,  при наличии у сетевой платы такой возможности,
     перепрограммирования  ее  MAC-адреса  на  аппаратном уровне.
     Однако эти действия требуют квалификации пользователя, легко
     выявляются  при  дубляже MAC-адресов в виде нарушения работы
     двух рабочих машин в сети).
          Пример схемы приведен ниже:

                                       ------ ------
                                  ГР.1 ¦     ¦ ¦     ¦
                                       L--T--- L--T---
                                  /-----T-+-------+-----/
 интернет-                              ¦    /T--------T-------/
     ------/         -----------       ¦     ¦     ---+--
подключ. /-----------+ основной +--------     ¦     ¦     ¦ ГР.2
                     ¦маршрутиз.+--------------     L------
                     ¦под Linux ¦                  -------
                     ¦          +--------------   ¦      ¦ ГР.3
                     ¦          ¦              ¦   L--T----
                     L------T----      /-------+------+------/
                            ¦
                        ----+---
                        ¦ WWW   ¦
                        L--------
          На   примере   показаны  3  подсети  для  организации 3
     раздельных  сегментов  внутренний  траффик  которых не может
     быть  прослушан  в  режиме сниффирования из другого сегмента
     сети.  WWW-сервер  в  указанном примере вынесен на отдельный
     сегмент  на  отдельную  машину. Это оправдано если требуется
     большая  закрытость  и  надежность машины под Linux. Хотя во
     многих  случаях  WWW  сервер  может  быть  размещен прямо на
     Linux-машине.  Доступ  при  этом к данному WWW серверу может
     быть  разграничен по описанным выше условиям вне зависимости
     от  того  на  отдельной  машине или на машине-маршрутизаторе
     находится WWW.
          Администрирование собственно Linux и WWW серверов может
     производиться  с  самого  сервера  или  с  любой  из рабочих
     станций.    Доступ    для   администрирования   может   быть
     дополнительно   защищен  от  прослушивания  траффика  внутри
     своего сегмента.
          Все  вышеперечисленные ограничения применимы и к выходу
     через  данный  Linux-сервер  в  интернет  и  для  блокировки
     несанкционированного    проникновения    из   интернета   во
     внутренние  сегменты.  Кроме  того  на  данном Linux-сервере
     могут быть установлены proxy-сервера для доступа к интернету
     в  том  числе  и  с  возможностью  фильтрации  запрашиваемых
     доменных  имен  при  серфинге  по  Интернету  для блокировки
     посещеня нежелательных сайтов.
          Кроме   того  может  быть  на  базе  Linux  организован
     почтовый сервер SMTP/POP3 и модемные подключения для доступа
     извне.
          Все  описанные  вещи  практически  независимы  и  могут
     добавляться постепенно по мере необходимости.
 

                              Раздел 5.
        Условная смета проведения работ по обеспечению режима
                     информационной безопасности.

          Технические средства и мероприятия:
          - приобретение контейнеров типа Mobil rack
                                          2-3 шт. по 10-15 УЕ

          -    изготовление    нестандартных   разъемов   внешних
     интерфейсов (LPT) и ключей к ним
                                          7-9 УЕ за комплект

          -   приобретение  компьютера-маршрутизатора  и  сетевых
     аппаратных средств к нему
                                          700-1000 УЕ

          - приобретение внешнего накопителя с интерфейсом LPT
                                          140-175 УЕ

          -  отключение накопителей на сменных носителях, внешних
     интерфейсных разъемов
                                          по потребности

          -   изготовление   и   установка   принадлежностей  для
     опечатывания    корпусов    компьютеров,    контейнеров    с
     винчестерами,  изготовление  (закупка)  пеналов для хранения
     ключей разъемов LPT
                                          по потребности

          -  установка  на  окнах  в  помещениях  с  компьютерами
     защитных жалюзей
                                          по потребности

          -   органолептический   контроль   наличия  посторонних
     вложений на рабочих станциях сети
                                          2-4 УЕ на рабочее место

          Программные средства:
          - установка и конфигурирование программного обеспечения
     маршрутизатора и брандмауэра
                                          200 УЕ

          -   разработка,   установка,  конфигурирование  средств
     объективного контроля рабочих мест сети
                                          4 УЕ на рабочее место

          - установка и конфигурирование POP/SMTP и HTTP серверов
     и средств объективного контроля на них
                                          100 УЕ

          -   конфигурирование   системы   разграничения  доступа
     пользователей
                                          50 УЕ

          -  установка  и  конфигурирование  системы  типа packet
     sniffer для работы в режиме сканирования сети
                                          150 УЕ

          -  установка  системы  мониторинга  движения  пакетов в
     корпоративной сети и доступа к критичной информации
                                          60 УЕ

          - приобретение антивируса AVP с годовой подпиской
                                          100 УЕ

          - приобретение антивируса DoctorWEB
                                          по потребности

          -   установка  и  конфигурирование  средств  шифрования
     данных
                                          по потребности