Разработка политики информационной безопасности для ДМЗ. ВКР ИБ. Гоу Приднестровский государственный университет им. Т. Г. Шевченко
Скачать 306.7 Kb.
|
2. РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАНОСТИ ДЛЯ ОБОРУДОВАНИЯ ПОГРАНИЧНОЙ ДЕМИЛИТАРИЗОВАННОЙ ЗОНЫ2.1. Цель и область действияЦель – определить стандарты, которым должны отвечать все собственное и/или используемое ГСУДА оборудование, находящееся за пределами МЭ, отделяющего внутреннюю сеть организации от внешних по отношению к ней сетей. Эти стандарты предназначены для снижения потенциального ущерба организации от потери важной или конфиденциальной информации и её имиджа, что может являться следствием несанкционированного использования ресурсов организации. Объектом политики является оборудование, установленное на границе с другими сетями за МЭ организации, рассматривается как часть пограничной демилитаризованной зоны. Это оборудование (сетевое и хосты) является потенциально уязвимым к атакам, исходящим из внешних сетей (типа «Интернет»). Политика определяется следующие стандарты: ответственность владельцев; требования защищенного конфигурирования; требования к работе; требования к изменению управления. Все оборудование или устройства, расположенные в ДМЗ, являющиеся собственностью или используемые организацией (включая хосты, маршрутизаторы, коммутаторы и т.п.) и/или зарегистрированные в принадлежащем ей домене, должно соответствовать данной политике. Эта политика также распространяется на любой хост которым управляет или владеет внешний сервис-провайдер или третье лицо, если это оборудование находится в домене организации или будет принадлежать ей. Все новое оборудование, которое попадает под действие данной политики, должно быть сконфигурировано в соответствии с её требованиями. Все существующее и позднее закупленное оборудование, размещаемое в не доверенных сетях организации, должно также соответствовать данной политике. 2.2. Основные положения2.2.1. Владение и ответственностьОборудование и приложения, являющиеся объектами данной политики, должны администрироваться группой поддержки, утвержденной департаментов ИБ для управления ДМЗ, приложениями и/или сетями. Группа поддержки несет ответственность за следующее. Оборудование должно быть зарегистрировано в корпоративной системе управления. Для этого как минимум требуется следующая информация: местонахождение хоста и контактное лицо; аппаратная платформа и ОС с версией; основные функции и приложения; парольные группы с привилегированными правами. Сетевые интерфейсы должны иметь соответствующие записи на DNS-сервере (минимально A- и PTR-записи). Парольные группы должны поддерживаться в соответствии с корпоративными системой/процессами управления паролями. Всем членам департамента ИБ по требованию должен предоставляться немедленный доступ к оборудованию и системным журналам. Об изменениях в текущем оборудовании и появлении нового оборудования требуется немедленно уведомить соответствующих лиц с целью изменения корпоративных процессов/процедур управления. Для проверки соблюдения данной политики департамента ИБ будет периодически проводить аудит оборудования ДМЗ. 2.2.2 Общая политика конфигурированияВсе оборудование должно соответствовать следующей конфигурационной политике. АО, ОС, сервисы и приложения должны быть одобрены департаментом ИБ на этапе предварительного анализа. Настройки ОС должны соответствовать стандартам инсталляции и конфигурирования для защищенных хостов и маршрутизаторов. Все обновления, рекомендуемые производителями или департаментом ИБ, должны быть установлены. Это относится ко всем инсталлированным сервисам, даже если они временно или постоянно отключены. Административная группа должны проверять это. Сервисы и приложения, не удовлетворяющие требованиям ИБ, должны быть отключены. Доверенные отношения между системами должны быть задокументированы и одобрены департаментом ИБ. Сервисы и приложения не для общего доступа должны быть внесены в соответствующие контрольные списки. Незащищенные сервисы или протоколы (по определению департамента ИБ) должны быть заменены на более защищенные аналоги, если таковые существуют. Удаленное администрирование должно осуществляться по защищенным каналам (например, шифрованным сетевым соединениям, использующим протоколы SSH или IPSec) или через консольный доступ, независимый от ДМЗ. Если среда защиты каналов не применимы, для всех уровней доступа должны использоваться одноразовые пароли. Все обновления контента (содержимого) хостов должны осуществляться по защищенным каналам. Все имеющие отношения к ИБ события должны регистрироваться и сохраняться в утвержденных департаментом ИБ журналах для последующего аудита ИБ. Эти события включают следующее: попытку неудачного входа пользователя; отказ в получении привилегированного доступа; нарушения политики доступа. Департамент ИБ рассматривает запросы на отказ в предоставлении доступа в порядке поступления и удостоверяет их, если на то есть основания. 2.2.3 Установка нового оборудования и изменение процедур управленияВсе новое установки и изменения конфигурации существующего оборудования и приложений должны соответствовать следующим политике/процедурам: все новые установки должны осуществляться по разработанной процедуре размещения оборудования в ДМЗ; изменения конфигурации должны соответствовать процедурам корпоративного управления изменениями; для осуществления аудита ИБ систем/приложений, заменяемых новыми сервисами, должен приглашаться департаментом ИБ; в одобрении размещения нового оборудования и изменения каких-либо конфигураций департамент ИБ должен участвовать непосредственно или через системы управления изменениями. 2.3 ОтветственностьЛюбой сотрудник, нарушивший политику, может быть привлечен к дисциплинарному наказанию, вплоть до увольнения с работы. Внешние сервис-провайдеры, уличенные в несоблюдении данной политики, будут обязаны выплатить штрафы, вплоть до прерывания действия контракта. ЗАКЛЮЧЕНИЕВ процессе выполнения выпускной квалификационной работы была разработана политика информационной безопасности для оборудования пограничной демилитаризованной зоны Государственной службы управления документацией и архивами Приднестровской Молдавской Республики. На основании анализа основных положений теории защиты информации было установлено, что для создания политики информационной безопасности необходимо разработать целый ряд документов и инструкций, направленных на защиту информации. И ни в коем случае нельзя останавливаться на одном методе защиты информации, иначе защита данных будет под угрозой. Защита данных должна быть комплексной. Комплексная политика информационной безопасности включает в себя разработку, производство и установку технических средств защиты, а также регулярное проведение проверок используемого информационного оборудования. Использование современных информационных технологий позволяет существенно повысить эффективность производственных и управленческих процессов. Но вместе с применением этих технологий возникает проблема обеспечения комплексной защиты информации, которая может быть отнесена к конфиденциальной. На основании анализа основных методов и средств защиты информации было установлено, что организационно-правовые методы и средства защиты информации должны быть направлены на противодействие угрозам информационной безопасности, снижать риски и эффективно обрабатывать инциденты с целью длительного обеспечения достаточного уровня защиты данных. Политика информационной безопасности разработана и её эффективность доказана. Оценка эффективности предложенных мероприятий показала их целесообразность внедрения в организации. Учитывая, что все поставленные задачи полностью решены, можно обоснованно утверждать, что главная цель исследования – достигнута. ПЕРЕЧЕНЬ УСЛОВНЫХ ОБОЗНАЧЕНИЙ,СИМВОЛОВ И ТЕРМИНОВДМЗ – демилитаризованная зона. ИБ – информационная безопасность. ОС – операционная система. АО – аппаратное обеспечение. МЭ – межсетевой экран. СПИСОК ИСТОЧНИКОВАдигеев М.Г. Введение в криптографию. Часть 1. Основные понятия, задачи и методы криптографии. - Ростов-на-Дону: Изд-во РГУ, 2002. - 35 с. Бабаш А.В. История криптографии. Ч. 1 / А. В. Бабаш, Г. Н. Шанкин. - М. : Гелиос АРВ, 2012. - 240 с. Баричев С.Г, Серов Р.Е. Основы современной криптографии: Учебное пособие. - М.: Горячая линия - Телеком, 2008. Беломойцев Д. А. Основные методы криптографической обработки данных: учеб. пособие / Д. А. Беломойцев, Т. М. Волосатов, С. В. Родионов. – М.: Московский государственный технический университет им. Н. Э. Баумана, 2014. – 80 с БудкоВ.Н. Информационная безопасность и защита информации: Конспект лекций. - Воронеж: Изд-во ВГУ, 2013. - 86 с. Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы защиты информации: Учебное пособие. - Владивосток: Изд-во ДВГТУ, 2007. - 318 с. Государственный стандарт РФ «Аспекты безопасности. Правила включения в стандарты» (ГОСТ Р 51898-2002) ГрушоА.А., Тимонина Е.Е. Теоретические основы защиты информации. - М.: Изд-во "Яхтсмен", 1996. - 187 с. Железняк В.К. Защита информации от утечки по техническим каналам: Учебное пособие. - СПб.: ГУАП, 2006. - 188 с. Зубов А.Ю. Совершенные шифры. - М.: Гелиос АРВ, 2003. - 160 с. Казарин О.В. Безопасность программного обеспечения компьютерных систем. - М.: МГУЛ, 2013. - 212 с. Козлов В.Е. К вопросу об инженерно-техническом обеспечении компьютерной безопасности: Научная статья Краковский, Ю.М. Информационная безопасность и защита информации : учеб.пособие/ Ю. М. Краковский. - М. ; Ростов н/Д : МарТ, 2008.- 287 с. Куприянов, А.И. Основы защиты информации : учеб.пособие/ А. И. Куприянов, А. В. Сахаров, В. А. Шевцов. - 3-е изд., стер. - М. :Academia, 2008. - 256 с. Мельников В.П. Информационная безопасность и защита информации : учеб.пособиедля вузов / В. П. Мельников, С. А. Клейменов, А. М. Петраков ; под ред. С. А. Клейменова. - 2-е изд., стер. - М. :Academia, 2014. - 330 с. Мордвинов В.А., Фомина А.Б. Защита информации и информационная безопасность. - М.: МГДД(Ю)Т, МИРЭА, ГНИИ ИТТ "Информика", 2010. - 69 с. Пазизин С.В. Основы защиты информации в компьютерных системах (учебное пособие). - М.: ТВП/ОПиПМ, 2003. - 178 с. Расторгуев С.П. Основы информационной безопасности: учебное пособие для вузов, 2010. – 186 с. Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации» (Р 50.1.053-2005). Рекомендации по стандартизации «Техническая защита информации. Основные термины и определения» (Р 50.1.056-2005). Ржавский К.В. Информационная безопасность: практическая защита информационных технологий и телекоммуникационных систем: Учебное пособие. - Волгоград: Изд-во ВолГУ, 2002. - 122 с. Яковлев А.В., Безбогов А.А., Родин В.В., Шамкин В.Н. Криптографическая защита информации: Учебное пособие. - Тамбов: Издательство ТГТУ, 2006. - 140 с. |