КР 3121ТмЗ Иванов вар 11. Модель угроз и нарушителя информационной безопасности объекта информатизации

управление доступом к Информационным Ресурсам АВТОМАТИЗИРОВАННЫХ СИСТЕМ

Управление доступом пользователей

Регистрация пользователей

Регистрация и подключение пользователей к информационной системе Налоговой инспекции происходит только с разрешения руководящего персонала Налоговой инспекции.

Идентификация и аутентификация пользователей

Идентификация и аутентификация пользователей в информационной системе компании проводится при включении рабочей станции – штатными средствами защиты операционной системы, либо использованием функций сертифицированных средств защиты от несанкционированного доступа, установленных на рабочей станции;

Управление привилегиями

Администратором информационной системы Налоговой инспекции для каждого пользователя определяются и устанавливаются полномочия для доступа к информационной системе.

Каждому пользователю разрешено выполнение только тех функций и работа с теми объектами системы, на которые он имеет полномочия в соответствии со своими должностными обязанностями при работе в информационной системе Налоговой инспекции, зафиксированными в служебных записках на подключение к информационной системе Налоговой инспекции.

Аудит и протоколирование в информационной системе Налоговой инспекции

Аудит и протоколирование в информационной системе Налоговой инспекции необходимы для удовлетворения правовых требований в случае возникновения спорных ситуаций, мониторинга защиты системы и отслеживания событий безопасности.

Аудит и протоколирование могут осуществляться штатными средствами операционных систем, прикладного программного обеспечения или специализированными программами.

При осуществлении данных процедур учитывается категория защищаемого ресурса, важность и значимость регистрируемого события, особенности используемого программного обеспечения, требований Стандарта ЦБР СТО БР ИББС-1.0-2010, договорных отношений, регламентирующих и инструктивных документов Налоговой инспекции.

Журналы аудита и протоколирования подлежат периодическому архивированию и хранению в соответствии с требованиями нормативных документов. Доступ к этим журналам определяется системой полномочий.

Обязанности пользователей

Использование паролей

Пароли должны держаться в тайне, то есть запрещается сообщать их другим людям или вставлять в тексты программ.

При несоблюдении правил использования паролей, пользователи несут административную ответственность.

Обеспечение антивирусной защиты

На всех рабочих станциях пользователей информационной системы Налоговой инспекции устанавливаются средства антивирусной защиты.

Производится постоянный антивирусный контроль программ и файлов данных на рабочих станциях информационной системы Налоговой инспекции.

Обновления антивирусных баз производится постоянно, в автоматическом режиме.

Сотрудники должны немедленно информировать службу информационной безопасности Налоговой инспекции об обнаруженных вирусах, изменениях в конфигурации или сбоях при работе компьютера или приложений.

10. администрирование

Разделение обязанностей

Администрирование информационной системы Налоговой инспекции (регистрация пользователей, назначение прав доступа и проч.) осуществляют сотрудники отдела информационных технологий Налоговой инспекции, наделенные функциональными правами администраторов соответствующих подсистем.

Контрольные уровня доступа пользователей к информационной системе Налоговой инспекции и аудит возлагаются на службу информационной безопасности.

Администраторы информационной системы Налоговой инспекции имеют полномочия только на выполнение администраторских задач в системе.

Защита баз данных

За защиту данных на уровне базы данных отвечает специалист отдела информационных технологий, ответственный за администрирование СУБД.

Для доступа к базе данных используются только встроенные средства информационной системы Налоговой инспекции.

Для доступа к базе данных запрещено пользоваться стандартной учетной записью пользователя информационной системы Налоговой инспекции. Для прямого доступа к базе данных необходимо создать специальных пользователей с соответствующими правами доступа.

Сервера приложений в тестовой системе не имеют прямого доступа к продуктивным данным.

Резервное копирование и архивирование данных
Для бесперебойной работы информационной системы Налоговой инспекции и возможности восстановления ее функционирования после аварийных ситуаций, обеспечивается сохранность архивов базы данных и системных журналов.

Комплекс программно-аппаратных средств системы информационной системы Налоговой инспекции поддерживает функции ежедневного резервного копирования данных и хранения недельного объема накопленных изменений данных. Максимально допустимый объем потери данных при авариях и сбоях не должен превышать дневного объема изменений данных на каждом рабочем месте системы.

Формирование, хранение и распределение ключевой информации

Система формирования, хранения и распределения ключевой информации решает задачи надежной аутентификации данных и пользователей, закрытие данных, гарантирование их целостности при транспортировке по сети передачи данных.

Организация учета и хранения защищаемых носителей информации

При организации учета и хранения защищаемых носителей информации, в том числе, электронных носителей информации с архивами баз данных, должен проводиться учет всех защищаемых носителей информации с помощью их маркировки.

Учет защищаемых носителей информации должен проводиться в журнале с регистрацией их выдачи/приема.

Электронные носители информации с архивами баз данных хранятся в защищаемых помещениях для исключения возможности бесконтрольного или несанкционированного проникновения посторонних лиц.

11. планирование бесперебойной работы

Доступность системы

После введения информационной системы Налоговой инспекции в эксплуатацию, все компоненты системы должны работать в нормальном режиме, обеспечивающем возможность функционирования Налоговой инспекции в полном объеме.

Резервное копирование систем осуществляется ежедневно.

Время восстановления после сбоя в системе 4 часа.

Максимальное время недоступности базы данных в штатном режиме функционирования не должно превышать 20 минут.

Для обеспечения бесперебойного функционирования информационной системы Налоговой инспекции предусмотрено резервирование систем обработки и хранения данных, а также возможность сбора данных аудита о трафике в сети и его анализа.

Резервное оборудование и процедуры перехода на аварийный режим работы необходимо тестировать ежегодно.

12. Этапы создания системы защиты информации

Реализация системы защиты информации в информационной системе Налоговой инспекции строится на использовании организационно-распорядительных и программно-технических мер. К организационно-распорядительным мерам можно отнести:

построение схемы взаимодействия подразделений банка по вопросам информационной безопасности;

разработку и/или совершенствование нормативно-методических и организационно-распорядительных документов по вопросам защиты информации;

назначение лиц, ответственных за информационную безопасность;

категорирование защищаемых ресурсов;

разработку эксплуатационной документации на объект информатизации и средства защиты информации;

подготовку и обучение персонала правилам работы со средствами защиты информации;

аттестацию объекта информатизации на соответствие требованиям безопасности информации.

Техническая реализация системы защиты информационной системы Налоговой инспекции состоит из следующих основных этапов:

Построение защищенной сети серверного сегмента информационной системы Налоговой инспекции и настройки штатных средств защиты операционных систем серверов и СУБД на предмет сетевой безопасности.

Защита рабочих станций пользователей информационной системы Налоговой инспекции с применением программно-аппаратных средств защиты информации от несанкционированного доступа.

13. ответственность за нарушение Политики информационной безопасности

Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией.

Уголовным Кодексом РФ установлена ответственность за незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (ст.183 УК РФ), за неправомерный доступ к компьютерной информации (ст.272 УК РФ), за создание, использование и распространение вредоносных программ для ЭВМ (ст.273 УК РФ), за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст.274 УК РФ).

В соответствии со ст. 139 Гражданского кодекса работники, разгласившие служебную или коммерческую тайну вопреки трудовому договору, обязаны возместить причиненные убытки.

14. Перечень используемой ЛИТЕРАТУРЫ

1. Положение Налоговой инспекции России “Об организации внутреннего контроля в кредитных организациях и банковских группах” от 16 декабря 2003 № 242-П.

2. Стандарт Налоговой инспекции России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” СТО БР ИББС-1.0-2010 (Принят и введен в действие Распоряжением Налоговой инспекции России от 21 июня 2010 года №Р_705).

3. http://securitypolicy.ru - Документы по информационной безопасности.

4. http://dehack.ru/razrab_szi/politika_inf_bezop/ - Разработка системы защиты информации.

5. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

6. Методические указания к курсовой работе по дисциплине «Информационная безопасность и защита информации» для студентов специальности 230201 "Информационные системы и технологии" очной формы обучения С. А. Асанов Кемерово 2009.

1^ Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации

1   2   3   4   5