 | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|
| | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|
Замечание об авторских правах. На представленный ниже текст распространяется действие Закона РФ N 5351-I "Об авторском праве и смежных правах" (с изменениями и дополнениями на текущий момент). Удаление размещённых на этой странице знаков охраны авторских прав либо замещение их иными при копировании данного текста и последующем его воспроизведении в электронных сетях является грубейшим нарушением статьи 9 упомянутого Федерального Закона. Использование данного текста в качестве содержательного контента при изготовлении разного рода печатной продукции (антологий, альманахов, хрестоматий и пр.), подготовке документов, текстов речей и выступлений, использование в аудиовизуальных произведениях без указания источника его происхождения (то есть данного сайта) является грубейшим нарушением статьи 11 упомянутого Федерального Закона РФ. Напоминаем, что раздел V упомянутого Федерального Закона, а также действующее гражданское, административное и уголовное законодательство Российской Федерации предоставляют авторам широкие возможности как по преследованию плагиаторов, так и по защите своих имущественных интересов, в том числе позволяют добиваться, помимо наложения предусмотренного законом наказания, также получения с ответчиков компенсации, возмещения морального вреда и упущенной выгоды на протяжении 70 лет с момента возникновения их авторского права.
Добросовестное некоммерческое использование данного текста без согласия или уведомления автора предполагает наличие ссылки на источник его происхождения (данный сайт), для коммерческого использования в любой форме необходимо прямое и явно выраженное согласие автора.
© П.М.Корявцев, П.Г.Шабанов, 2000 г.
© "Теория антисистем. Источники и документы", 2005 г.
Корявцев
П.М.
(Раздел 4 написан в соавторстве
с Шабановым П.Г.)
Общий комплекс мер по обеспечению информационной безопасности. Методические рекомендации.
//Вестник МВД РФ. М.: 2000.
Раздел 1.
Угрозы информационной безопасности.
Возникающие в процессе деятельности
предприятия
(организации)
угрозы разделяются по характеру источника на
два базовых
класса - внешние и внутренние. К первому
относятся следующе
виды угроз:
а) угрозы физического проникновения посторонних лиц с
целью хищения критичной
информации на различных носителях;
б) угрозы проникновения в корпоративную сеть с целью
получения разового
или постоянного доступа к критичной
информации;
в) угрозы различных
внешних воздействий на
корпоративную
сеть с целью дезорганизации ее работы,
нанесения материального
ущерба разнообразными способами;
г) угрозы внедрения в корпоративную сеть извне с целью
использования ее
ресурсов в личных целях;
д) угрозы снятия информации с работающих компьютеров
путем
визуального наблюдения и
сканирования их
электромагнитных
или сонарных сигнатур.
Ко второму классу относятся следующие виды угроз:
а) угроза нелояльного поведения персонала по корыстным
или личным
мотивам, приводящего к утечке критичной
информации
или нарушениям режима обеспечения
общей
безопасности;
б) угрозы нарушения защиты от несанкционированного
доступа к
корпоративной сети вследствие халатности или
низкого профессионального
уровня персонала;
в) угрозы проведения прямых диверсионных действий или
саботажа со
стороны персонала, склоненного к сотрудничеству
сторонними лицами
или организациями;
г) угрозы появления (применения) в процессе увольнения
(в
особенности вследствие возникновения
конфликта)
персонала,
имевшего отношение к обеспечению
общей
безопасности
или защите корпоративной
сети от
несанкционированного
доступа, устройств или программ,
нарушающих режим
обеспечения информационной безопасности;
д) угрозы использования
персоналом ресурсов
корпоративной
сети и обрабатываемой в ней информации в
личных целях;
е) угрозы нелегального физического
подключения
дополнительного
рабочего места к кабельным
линиям
корпоративной
сети с целью получения доступа к сети
и
циркулирующей по
ней информации.
Раздел 2.
Методы противодействия внешним и внутренним угрозам
информационной безопасности.
Сообразуясь с описанными видами
угроз возможны
следующие методы
противодействия им:
- для видов 1а, 2в - обеспечение
общего режима
безопасности
на территории и в помещениях предприятия
(организации);
- для видов 1б, 1в, 1г, 2е - применение
комплекса
программно-технических
и специальных режимных мероприятий по
защите корпоративной
сети и циркулирующей в ней информации,
по
результатам - проведение организационно-штатных
мероприятий;
- для видов 1д, 2а, 2б - проведение
необходимых
организационно-штатных
мероприятий, для вида
2б
дополнительно
- проведение
разъяснительной и
профилактической
работы;
- для видов 2г, 2д - координированное
проведение
специальных режимных
и технических мероприятий.
Таким образом, для решения проблемы
в комплексе
необходимо
планировать проведение программно-технических
мероприятий по защите
сети и циркулирующей по ней информации
от несанкционированного
доступа, закупку соответствующего
программного
и аппаратного обеспечения, разработать
мероприятия
по обеспечению общего режима безопасности, а
также специальные
мероприятия по обеспечению особого режима
использования критичной
информации и доступа к ней.
Раздел 3.
Организационно-технические
мероприятия по обеспечению режима
информационной безопасности.
Для обеспечения режима информационной безопасности в
рамках предприятия
(организации) целесообразно предпринять
следующие меры:
- взять под жесткий контроль все каналы
связи, по
которым корпоративная
сеть может сообщаться с внешним миром
(телефонные коммутируемые,
выделенные, цифровые, радиоканалы
и т.д.);
- организовать разделение доступа в сети к различным
информационным
ресурсам путем разбиения
сети на
изолированные
сегменты, для каждой группы пользователей
сети предоставить
строго только необходимые ресурсы;
- выделить эксплуатируемый WWW-сервер в
отдельный
изолированный
сегмент, а при необходимости и физически
изолировать его от
остальной сети;
- удалить (заблокировать) на эксплуатируемых в
сети
компьютерах
накопители на сменных носителях, удалить
или опечатать шлейфы
неиспользуемых коммуникационных портов,
для остальных
установить нестандартные внешние разъемы,
эксплуатация
которых без специального ключа (переходника)
невозможна,
при возможности использовать в качестве рабочих
мест терминалы вместо
персональных компьютеров;
- ключи для коммуникационных
портов хранить в
опечатанных
пеналах в металлическом хранилище и выдавать
строго определенным
сотрудникам;
- перенос любой информации с компьютера на компьютер
помимо сети осуществлять
только на одном внешнем накопителе,
при этом
заниматься этим должен один конкретный сотрудник,
несущий
персональную ответственность за сохранность
информации;
- носители, на которых физически размещается критически
важная информация,
поместить в контейнеры типа Mobil rack,
опечатывать
замки и переднюю панель контейнера
при
эксплуатации массива,
в нерабочее время помещать контейнер в
металлическое хранилище
(сейф);
- официально назначить
сотрудника, несущего
ответственность
за защиту информации на предприятии
(в организации),
определить круг его обязанностей;
- провести сплошную
проверку компьютеров,
эксплуатируемых
на предприятии (в организации) на предмет
нештатных вложений
либо подключений, после проверки корпуса
компьютеров опечатать;
- для пресечения попыток снятия информации с работающих
компьютеров
путем визуального наблюдения или сканирования
электромагнитной
сигнатуры оборудовать окна в помещениях, в
которых
размещаются компьютеры, внутренними
жесткими
металлическими
жалюзями, обязать персонал закрывать жалюзи
при обработке критической
информации;
- для сохранения наиболее критической информации как
хранящейся
на носителях, так и перемещающейся по сети,
применять
криптографическое программное обеспечение,
использующее современные
алгоритмы шифрования;
- постоянно сканировать пространство корпоративной сети
и поступающую
извне информацию антивирусными программами,
регулярно
обновлять базы данных антивирусов,
обязать
персонал
систематически проверять носители,
особенно
сменные, а также
входящую почту, на предмет наличия вирусов;
- установить дисциплинарную ответственность персонала
за нарушение
режима информационной безопасности и халатное
отношение к
сохранности информации, каждый случай нарушения
режима и принятые
в отношении нарушителя дисциплинарные меры
доводить до
сведения коллектива, акцентировать внимание
персонала на
том, что распространение вредоносных программ
(вирусов) и
нарушение правил эксплуатации компьютеров и их
сетей,
повлекшее утрату (повреждение) информации,
в
настоящее время являются
уголовно наказуемыми деяниями;
- установить штатно предусмотренные пароли на доступ к
BIOS компьютеров,
на компьютерах содержащих критическую
информацию
дополнительно установить пароли на загрузку,
предусмотреть
систему парольной
идентификации
пользователей
в сети, ведение протоколов
работы
пользователей;
- установить в корпоративной сети внутренние POP, SMTP,
Proxy HTTP/FTP
сервера, все общение пользователей сети с
внешним миром
вести только через эти сервера, установить на
них программное
обеспечение для объективного контроля за
содержимым информации,
циркулирующей через них;
- установить на компьютерах, в
том числе и не
подключенных
к сети, средств объективного контроля за
деятельность персонала;
- установить программную систему мониторинга движения
пакетов
в корпоративной сети и доступа
к критичной
информации,
вести протоколирование доступа к подобной
информации;
- установить программную систему типа packet sniffer
для сканирования
сети, при возникновении риска нарушения
режима безопасности
переводить ее в режим перехвата пакетов;
- назначить конкретного сотрудника, который
будет
заниматься
анализом результатов работы средств объективного
контроля, контролировать
состояние безопасности сети и при
возникновении
нештатных ситуаций принимать меры
по
незамедлительному
реагированию;
- систематически проверять
соблюдение режима
информационной
безопасности - сохранность печатей
на
оборудовании,
ключей коммуникационных портов, внешних и
сменных
носителей, носителей в контейнерах,
наличие
нетабельных
коммуникационных устройств и носителей на
рабочих местах
персонала, наличие компьютеров, оставленных
персоналом во включенном
состоянии без присмотра.
Раздел 4.
Краткие рекомендации
по организации разделенного доступа в
сети для небольшой организации.
Исходные данные: имеется локальная сеть, объединяющая
несколько отделов
(или других структурных подразделений),
Web-сервер и доступ
к Интернет.
Требуется: разграничить права доступа
на уровне
отделов/подразделений
к ресурсам других подразделений и
обеспечение
безопасности при работе с Интернетом в плане
несанкционированного
доступа из Интернета к внутренней
сети организации.
Предлагается следующее решение: сеть
организации
разбивается
на сегменты посредством сбора сегментов сети на
РАЗНЫХ
концентраторах (хабах). Внутри одного сегмента
предполагается,
что все машины имеют одинаковый уровень
доступа.
В центре сети ставится
машина под ОС Linux с
настроенными
правилами фильтрации. Для каждого сегмента в
сервере предусматривается
отдельная сетевая плата.
Доступ из одного сегмента в другой может быть разрешен
или запрещен
полностью или частично. Под частичным
ограничением
доступа следует понимать следующие
виды
ограничений:
1. По IP-адресу источника и приемника пакета.
2. По протоколу TCP/UDP/ICMP.
3. По порту источника и приемника пакета.
4. По признаку SYN/ACK (инициатор/ответчик).
5. По интерфейсам главного маршрутизатора.
Кроме того, может быть выполнена жесткая
привязка
IP-адресов
к MAC- адресам сетевых плат на рабочих машиинах
при их работе
с/через главный маршрутизатор, что затрудняет
простую перестановку
IP адреса даже внутри одного сегмента с
машины на
машину для предотвращения представления одной
машины реквизитами
другой в сети. (Правда при этом не
исключается
перестановка сетевых плат физически с машины на
машину или,
при наличии у сетевой платы такой возможности,
перепрограммирования
ее MAC-адреса на аппаратном уровне.
Однако эти действия
требуют квалификации пользователя, легко
выявляются
при дубляже MAC-адресов в виде нарушения работы
двух рабочих машин
в сети).
Пример схемы приведен ниже:
------ ------
ГР.1 ¦ ¦ ¦ ¦
L--T--- L--T---
/-----T-+-------+-----/
интернет-
¦ /T--------T-------/
------/
----------- ¦
¦ ---+--
подключ. /-----------+ основной +--------
¦ ¦ ¦ ГР.2
¦маршрутиз.+-------------- L------
¦под Linux ¦
-------
¦ +--------------
¦ ¦ ГР.3
¦ ¦
¦ L--T----
L------T---- /-------+------+------/
¦
----+---
¦ WWW ¦
L--------
На примере показаны 3 подсети
для организации 3
раздельных
сегментов внутренний траффик которых не может
быть прослушан
в режиме сниффирования из другого сегмента
сети. WWW-сервер
в указанном примере вынесен на отдельный
сегмент на
отдельную машину. Это оправдано если требуется
большая закрытость
и надежность машины под Linux. Хотя во
многих случаях
WWW сервер может быть размещен прямо на
Linux-машине.
Доступ при этом к данному WWW серверу может
быть разграничен
по описанным выше условиям вне зависимости
от того
на отдельной машине или на машине-маршрутизаторе
находится WWW.
Администрирование собственно Linux и WWW серверов может
производиться
с самого сервера или с любой из рабочих
станций.
Доступ для администрирования
может быть
дополнительно
защищен от прослушивания траффика внутри
своего сегмента.
Все вышеперечисленные ограничения применимы и к выходу
через данный
Linux-сервер в интернет и для блокировки
несанкционированного
проникновения из интернета во
внутренние
сегменты. Кроме того на данном Linux-сервере
могут быть установлены
proxy-сервера для доступа к интернету
в том
числе и с возможностью фильтрации запрашиваемых
доменных имен
при серфинге по Интернету для блокировки
посещеня нежелательных
сайтов.
Кроме того может быть на базе
Linux организован
почтовый сервер SMTP/POP3
и модемные подключения для доступа
извне.
Все описанные вещи практически независимы
и могут
добавляться постепенно
по мере необходимости.
Раздел 5.
Условная смета проведения работ по обеспечению режима
информационной безопасности.
Технические средства и мероприятия:
- приобретение контейнеров типа Mobil rack
2-3 шт. по 10-15 УЕ
- изготовление нестандартных
разъемов внешних
интерфейсов (LPT)
и ключей к ним
7-9 УЕ за комплект
- приобретение компьютера-маршрутизатора и
сетевых
аппаратных средств
к нему
700-1000 УЕ
- приобретение внешнего накопителя с интерфейсом LPT
140-175 УЕ
- отключение накопителей на сменных носителях, внешних
интерфейсных разъемов
по потребности
- изготовление и установка
принадлежностей для
опечатывания
корпусов компьютеров, контейнеров
с
винчестерами,
изготовление (закупка) пеналов для хранения
ключей разъемов LPT
по потребности
- установка на окнах в помещениях с
компьютерами
защитных жалюзей
по потребности
- органолептический контроль наличия
посторонних
вложений на рабочих
станциях сети
2-4 УЕ на рабочее место
Программные средства:
- установка и конфигурирование программного обеспечения
маршрутизатора и
брандмауэра
200 УЕ
- разработка, установка, конфигурирование
средств
объективного контроля
рабочих мест сети
4 УЕ на рабочее место
- установка и конфигурирование POP/SMTP и HTTP серверов
и средств объективного
контроля на них
100 УЕ
- конфигурирование системы разграничения
доступа
пользователей
50 УЕ
- установка и конфигурирование системы типа
packet
sniffer для работы
в режиме сканирования сети
150 УЕ
- установка системы мониторинга движения
пакетов в
корпоративной сети
и доступа к критичной информации
60 УЕ
- приобретение антивируса AVP с годовой подпиской
100 УЕ
- приобретение антивируса DoctorWEB
по потребности
- установка и конфигурирование средств
шифрования
данных
по потребности