Документация по информационной безопасности. Регламент по обеспечению информационной безопасности. Средства усиленной аутентификации

Неотъемлемым элементом защиты сети крупной организации от вторжения злоумышленников является корпоративный межсетевой экран (МЭ). Предложение на этом рынке представлено десятками компаний, готовых предоставить решения для любых сред: настольных систем, малого и домашнего офиса (SOHO), среднего и малого бизнеса, телекоммуникационных компаний и т. д.

Поэтому для принятия правильного решения о выборе межсетевого экрана необходимо понимание потребностей бизнеса в обеспечении сетевой безопасности и принципов действия этих продуктов.

Межсетевой экран (firewall, брандмауэр) — это комплекс аппаратных и/или программных средств, предназначенный для контроля и фильтрации проходящего через него сетевого трафика в соответствии с заданными правилами. Основной задачей этого класса продуктов является защита компьютерных сетей (или их отдельных узлов) от несанкционированного доступа.

В общем случае, межсетевой экран использует один или несколько наборов правил для проверки сетевых пакетов входящего и/или исходящего трафика. Правила межсетевого экрана могут проверять одну или более характеристик пакетов, включая тип протокола, адрес хоста, источник, порт и т. д. Существует два основных способа создания наборов правил: «включающий» и «исключающий».

Правила, созданные первым способом, позволяют проходить лишь соответствующему правилам трафику и блокируют все остальное. Правила на основе исключающего способа, напротив, пропускают весь трафик, кроме запрещенного.

Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.

Использование межсетевых экранов может быть эффективно при решении следующих задач:

• Защита и изоляция приложений, сервисов и устройств во внутренней сети от нежелательного трафика, приходящего из интернета (разделение сетей);
• Ограничение или запрет доступа к сервисам сети для определенных устройств или пользователей;
• Поддержка преобразования сетевых адресов, что позволяет использовать во внутренней сети частные IP-адреса либо автоматически присваиваемые публичные адреса.

Одна из главных тенденций на рынке межсетевых экранов — увеличение функционала и стремление к универсальности. Кроме непосредственного контроля трафика и разделения сетей функционал современных решений включает в себя:

• Глубокий анализ пропускаемого трафика (deep packet inspection);
• Шифрование трафика;
• Организацию удаленного доступа пользователей к ресурсам локальной сети (VPN);
• Аутентификацию пользователей.

Современные МЭ предоставляют возможность построения виртуальных частных сетей, которые позволяют компаниям создавать безопасные каналы передачи данных через публичные сети, предотвращая тем самым перехват и искажение передаваемой информации, а также обеспечивая контроль целостности передаваемых данных. При организации VPN-сетей могут применяться различные методы аутентификации, в том числе сертификаты PKI X.509, одноразовые пароли, протоколы RADIUS, TACACS+.

В настоящее время межсетевые экраны все чаще предлагаются не в виде отдельных решений, а как компоненты более сложных систем защиты.

Потребности рынка продуктов для малых и средних предприятий и удаленных офисов послужили стимулом к созданию специализированных аппаратных устройств с функциями межсетевых экранов.

Такие устройства, как правило, представляют собой выделенные серверы с предварительно установленным и сконфигурированным на них программным обеспечением межсетевого экрана, виртуальной частной сети и операционной системой.

С появлением технологий беспроводных ЛВС понятие «защищаемого периметра» теряет свое значение. В этой связи наиболее уязвимым местом корпоративной сети становятся мобильные рабочие станции. Для защиты от подобного рода угроз производители разрабатывают технологии типа Network Access Protection (Microsoft), Network Admission Control (Cisco), Total Access Protection (Check Point).

На сегодняшний день на рынке представлено значительное количество межсетевых экранов различной функциональности. Однако при выборе того или иного решения в первую очередь стоит обратить внимание на управление подобной системой.

Так или иначе, качество работы межсетевого экрана напрямую зависит от качества установленного системным администратором набора правил.

Кроме того, следует понимать, что межсетевой экран — не панацея от всех угроз и его использование эффективно лишь в связке с другими продуктами, среди которых самое заметное место занимают антивирусы.

Антивирусы

Компьютерные вирусы остаются в настоящее время наиболее актуальной проблемой информационной безопасности корпоративных систем.

https://www.youtube.com/watch?v=24QQXONSClc

В связи с тем, что подавляющее большинство вредоносных программ распространяется посредством электронной почты, межсетевые экраны оказываются неэффективными. В арсенале решений этого типа нет средств анализа принимаемых почтовых сообщений.

Одним из методов, применяемых системными администраторами наряду с использованием антивирусного программного обеспечения, является фильтрация сообщений, содержащих вложения определенных форматов (чаще всего, исполняемые приложения).

Современные антивирусные программы, при всем их разнообразии, используют лишь два принципиально разных метода обнаружения вредоносных программ:

• Поиск по сигнатурам;
• Эвристический анализ.

Читать статью ” ПО для защиты информации”

Криптографическая защита

Средства криптографической защиты информации достаточно давно и широко используются в составе популярных сетевых технологий, таких как виртуальные частные сети (VPN) или Secure Shell (SSH). Однако в целях непосредственной защиты личной или корпоративной информации применение таких решений до сих пор очень ограниченно.

Так, частная и деловая переписка в большинстве случаев ведется открыто, шифрование файлов и дисков тоже мало распространено. В то же время шифрование данных — это один из главных и наиболее надежных способов предотвращения несанкционированного доступа к информации.

Далее будут приведены основные сферы применения криптографических средств защиты информации, а также рассмотрены их различные виды.

Пожалуй, самая широкая сфера потенциального применения криптографических средств — разграничение доступа к конфиденциальной информации и/или сокрытие существования такой информации от нелегитимных пользователей.

В масштабе корпоративной сети эта задача достаточно успешно решается средствами AAA (аутентификация, авторизация и администрирование). Однако при защите локальных устройств они чаще всего неэффективны.

Особенно острой эта проблема становится в связи с увеличением числа мобильных пользователей.

К сожалению, такое качество, как мобильность, преимущества которой для современного бизнеса сложно переоценить, на практике оказывается еще и недостатком.

Ноутбук, в отличие от стационарного компьютера, легко потерять, он может быть украден или выведен из строя. По данным Cnews, не менее 40% случаев утраты ноутбуков происходит вследствие их кражи.

До 93% всех украденных ноутбуков уже никогда не возвращаются к владельцу.

Понятно, что вся информация, которая хранится на ноутбуке, заключена в жестком диске. Извлечь его из ноутбука в спокойной обстановке — дело пяти минут. Именно поэтому следующие средства защиты от несанкционированного доступа будут бесполезны:

• Парольная защита BIOS;
• Парольная защита операционной системы;
• Средства аутентификации, работающие на уровне приложений.

В то же время применение стойких криптографических алгоритмов, таких как DES, AES, ГОСТ 28147-89, RC4 (с длиной ключа не менее 128 бит), RSA, — надежный способ сделать информацию бесполезной для злоумышленника на многие годы. На сегодняшний день на рынке существует множество компаний, реализующих эти алгоритмы как в программных продуктах, так и в виде отдельных устройств.

Средства защиты от несанкционированного доступа

Основная статья: Средства защиты информации от несанкционированного доступа (СЗИ от НСД)

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение

Информационная безопасность и киберпреступность

• Киберпреступность в мире
• Требования NIST
• Глобальный индекс кибербезопасности
• Кибервойны, Кибервойна России и США
• Киберпреступность и киберконфликты : Россия, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия
• Киберпреступность и киберконфликты : Украина
• Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
• Киберпреступность и киберконфликты : Европа, ENISA, ANSSI
• Tactical Edge Networking (военный интернет)
• Киберпреступность и киберконфликты : Израиль
• Киберпреступность и киберконфликты : Иран
• Киберпреступность и киберконфликты : Китай
• Как США шпионили за производством микросхем в СССР

• Системы видеонаблюдения
• аналитика

Источник: http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%98%D0%91:_%D1%81%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B2%D0%B0_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D1%8B

Создание системы информационной безопасности в компании требует принятия регламентов, которыми будут определяться действия пользователя как во время стандартных бизнес-процессов, так и в чрезвычайных ситуациях.

Такие регламенты и положения решают несколько задач – упорядочивают работу с информацией, ложатся в основу политик безопасности DLP-систем, а в случае их нарушения конкретным сотрудником факт ознакомления с ними станет безусловным основанием для привлечения к ответственности.

Чем обусловливается необходимость принятия регламента

Нормативные акты в России не настаивают на обязательном принятии регламента информационной безопасности, это решение является инициативой компании, желающей повысить степень сохранности данных в информационной системе. Для обеспечения корректной работы DLP-системы содержащиеся в ней политики безопасности должны отражать нормы регламента.

В рамках аудита перед установкой системы бизнес-процессы, описанные в регламенте, могут быть исследованы с точки зрения целесообразности и, возможно, частично оптимизированы, чтобы избежать лишних трансакций.

Так, получение письменного согласия руководства и службы безопасности на передачу информации по каналам электронной почты может быть заменено на нажатие одной кнопки в системе электронного документооборота.

Структура регламента

Разрабатывая регламент информационной безопасности, каждая компания учитывает особенности процессов производства и информационной инфраструктуры, архитектуры системы.

У банка, внутренняя система которого не может иметь выход в Интернет и правила работы сотрудников которого устанавливаются стандартами Центрального банка РФ, и теплоэлектростанции, где основная задача информационной системы – поддержание безопасности, по-разному будет устроена модель взаимодействия сотрудников с рабочими станциями и сетями.

Будут различаться и регламенты. Для небольшой фирмы, работающей в торговле или сфере услуг, разрабатываемый ими регламент информационной безопасности будет иметь стандартизированную структуру.

Общие положения и основные обязанности пользователя

В этом разделе раскрываются основные понятия, используемые в документе, нормативно-правовые акты, на которые опирались разработчики, готовя документ, обязанности сотрудников по обеспечению безопасности.

Обычно именно в этом разделе прописана ответственность за соблюдение норм регламента и за обеспечение сохранности конфиденциальной информации.

Это крайне важно, так как работники, не уведомленные об обязанности по защите коммерческой тайны, конфиденциальной информации и иных сведений, имеющих особый режим доступа, могут передавать ее третьим лицам как намеренно, так и нет, оказавшись жертвой специалистов по социальной инженерии.

Требования информационной безопасности не могут быть выполнены, если работники не уведомлены о них под роспись. 

Среди иных возможных обязанностей сотрудников компаний и работников IT-подразделений:

• исключать возможность доступа третьих лиц к документам, содержащим конфиденциальную информацию;
• не использовать чужие средства идентификации и не передавать никому свои, не входить в систему под чужим логином;
• соблюдать установленные уровни допуска к информации;
• не переписывать на съемные носители конфиденциальные данные без санкции руководителя, не передавать их по любым каналам связи, не раскрывать лицам, не имеющим соответствующего уровня доступа; 
• соблюдать требования и правила по работе со средствами технической защиты, в том числе со средствами криптографической защиты;
• контролировать состояние автоматизированного рабочего места, сообщать СБ обо всех ситуациях, имеющих характер инцидентов информационной безопасности, а именно: нарушении целостности пломб, свидетельствующем о попытке проникнуть в охраняемую зону, некорректном срабатывании антивирусной защиты, нарушениях в работе программного обеспечения, выявленных изменениях файлов, выходе из строя периферийных устройств;
• обеспечивать отсутствие на своем АРМ самостоятельно установленных программ;
• исключать копирование любых файлов или текстовой информации в любых целях без получения санкции руководителя.

Этот перечень правил не является исчерпывающим. Часто в целях обеспечения информационной безопасности эти нормы выносят в отдельную инструкцию по работе с компьютерами и носителями информации, оставляя в регламенте только общие положения. 

Обеспечение антивирусной безопасности

Утечки информации благодаря целенаправленным хакерским атакам менее часты, чем ее хищение в целях осуществления конкурентной разведки, направленной на получение ценной информации о бизнесе компании. Но наиболее часто информация утрачивается, теряет целостность или попадает в руки третьих лиц благодаря действию вредоносных компьютерных программ – вирусов, троянов, логических бомб.

Поэтому целесообразно посвятить отдельный раздел регламента обеспечению антивирусной защиты.

В этом разделе необходимо рассмотреть:

• основные пути и способы попадания зараженной вирусом информации в систему компании;
• случаи, в которых пользователь вправе или обязан самостоятельно использовать антивирусную защиту и в которых он обязан сообщить об инциденте IT-подразделению, чтобы они могли принять решение в сфере своей компетенции;
• действия, которые запрещены пользователю при работе со средствами антивирусной защиты, в частности, ее отключение.

Безопасность персональных данных

Если организация обрабатывает персональные данные сотрудников, клиентов или иных третьих лиц, нормативно-правовое регулирование такой обработки является достаточно строгим.

Выделение в регламенте по обеспечению информационной безопасности специального раздела, с одной стороны, окажется дублированием Положение об обработке персональных данных, с другой стороны, еще раз напомнит пользователю о серьезности задачи по сохранению их конфиденциальности.

В разделе могут содержаться следующие положения: 

• основания доступа к информационным ресурсам и к обработке файлов, содержащих персональные данные. Обычно таким основанием является включение сотрудника в перечень лиц, имеющих право работать с персональными данными. Обеспечение ограничения допуска облегчает контроль за сотрудниками, которые могут удалять, изменять или разглашать информацию; 
• обязанность работника изучать нормативно-правовые акты, посвященные вопросам защиты персональных данных, а также направленные на решение этой задачи технические средства и регламенты;
• действия, которые запрещены сотруднику, допущенному к обработке ПД. Вносить изменения в конфигурацию компьютера или в программные продукты, обрабатывать персональные данные в присутствии третьих лиц, оставлять на рабочем месте документы или электронные носители информации, содержащие ПД, использовать ошибки в программах для распространения или изменения ПД;
• меры ответственности, применяемые к лицам, допущенным к обработке персональных данных и благодаря действиям которых произошло их разглашение.

Работа в сети Интернет

Обеспечение информационной безопасности невозможно без соблюдения норм и правил по работе с Интернетом, электронной почтой, мессенджерами, иными каналами связи и передачи информации. В этом разделе устанавливаются разрешенные в компании способы использования Интернета, среди которых:

• ведение сайта компании;
• раскрытие информации о деятельности фирмы в случаях, предусмотренных федеральными законами;
• информационно-аналитическая работа;
• отправление почтовых сообщений. Чаще всего в компании устанавливают почтовый клиент, который позволяет отслеживать переписку.

В большинстве случаев и компаний иные способы использования Интернета должны согласовываться со службой безопасности или руководителем подразделения в целях обеспечения информационной безопасности.

Некоторые компании формируют пакеты ресурсов Интернета, доступные пользователям в соответствии с их служебным статусом.

Здесь же оговаривается применение средств антивирусной и иной технической защиты, обязанности по архивации почтового трафика, запрет на использование на рабочем месте ноутбуков или смартфонов с самостоятельным выходом в Сеть.

Иные нормы

В этом разделе могут быть описаны правила работы с ключами электронно-цифровой подписи, со съемными носителями информации, средствами защиты информации, особенности использования корпоративных ноутбуков вне информационного периметра компании.

Внесенные в этот раздел правила зависят от особенностей информационной системы и бизнес-процессов, например, от наличия специального программного обеспечения, требующего соблюдения установленных в компании стандартов при администрировании и работе, например, такие правила могут касаться передачи информации из 1С в системы управленческого учета.

Регламент всегда утверждается на уровне руководства компании. Целесообразно включить ссылки на него и необходимость его неукоснительного выполнения в должностные инструкции и трудовые договоры. Это повысит исполнительскую дисциплину сотрудников, осознающих, что они могут быть привлечены к ответственности за неполное обеспечение и несоблюдение норм регламента информационной безопасности. 

Источник: https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/osnovnye-aspekty-informatsionnoj-bezopasnosti/osnovnye-printsipy-obespecheniya-informatsionnoj-bezopasnosti/reglament-po-obespecheniyu-informatsionnoj-bezopasnosti/

1. GTS 0001 Политика информационной безопасности
2. GTS 0002 Концепция обеспечения информационной безопасности
3. GTS 0003 Положение о службе информационной безопасности
4. GTS 0004 План защиты информационных активов от несанкционированного доступа
5. GTS 0005 Правила обеспечения безопасности при работе пользователей в корпоративной сети
6. GTS 0006 План обеспечения непрерывности бизнеса и Аварийные процедуры
7. GTS 0007 Политика резервного копирования и восстановления данных
8. GTS 0008 Политика управления доступом к ресурсам корпоративной сети
9. GTS 0009 Политика управления инцидентами информационной безопасности
10. GTS 0010 Политика обеспечения безопасности удаленного доступа
11. GTS 0011 Политика обеспечения безопасности при взаимодействии с сетью Интернет
12. GTS 0012 Политика антивирусной защиты
13. GTS 0013 Парольная политика
14. GTS 0014 Политика аудита информационной безопасности
15. GTS 0015 Политика контроля состояния СУИБ со стороны руководства
16. GTS 0016 Политика контроля эффективности СУИБ
17. GTS 0017 Процедура планирования и реализации превентивных и корректирующих мер
18. GTS 0018 Политика обеспечения безопасности платежных систем организации
19. GTS 0019 Политика установки обновлений программного обеспечения
20. GTS 0020 Руководство по защите конфиденциальной информации
21. GTS 0021 Процедура управления документами и записями
22. GTS 0022 Регламент использования мобильных устройств
23. GTS 0023 Регламент работы с цифровыми носителями конфиденциальной информации
24. GTS 0024 Политика контроля защищенности корпоративной сети
25. GTS 0025 Политика инвентаризации информационных активов
26. GTS 0026 Политика обеспечения физической безопасности помещений и оборудования
27. GTS 0027 Политика обеспечения пропускного и внутриобъектового режима
28. GTS 0028 Политика в области обучения и повышения осведомленности персонала по ИБ
29. GTS 0029 Политика обеспечения ИБ при взаимодействии с третьими сторонами
30. GTS 0030 Политика предотвращения утечки информации по каналам связи
31. GTS 0031 Политика обеспечения безопасности электронного документооборота
32. GTS 0032 Политика обеспечения целостности информационных активов
33. GTS 0033 Технический стандарт безопасности ИТ-инфраструктуры
34. GTS 0034 Политика регистрации и мониторинга событий ИБ
35. GTS 0035 Политика обеспечения безопасности при разработке ПО
36. GTS 0036 Политика обеспечения безопасного хранения защищаемой информации
37. GTS 0037 Регламент администрирования сетевого оборудования

Типовые документы для внедрения системы управления информационной безопасностью организации

В основе организационных мер защиты информации лежат политики безопасности. В современной практике термин «политика безопасности» может употребляться как в широком, так и в узком смысле слова.

В широком смысле, политика безопасности определяется как система документированных управленческих решений по обеспечению безопасности организации.

В узком смысле под политикой безопасности обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения безопасности. Примерами таких документов могут служить «Политика управления паролями», «Политика управления доступом к ресурсам корпоративной сети», «Политика обеспечения безопасности при взаимодействии с сетью Интернет» и т.п.

Разработка политик безопасности собственными силами – длительный и трудоемкий процесс, требующий высокого профессионализма, отличного знания нормативной базы в области безопасности и, помимо всего прочего, писательского таланта. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно.

Большинство организаций не располагают собственными людскими ресурсами, необходимыми для квалифицированной разработки и внедрения политик безопасности. Отыскать готовые политики безопасности, которые бы оказались применимыми в вашей организации, соответствовали бы ее структуре и требованиям безопасности нереально.

Несмотря на доступность соответствующих, в основном англоязычных, ресурсов в сети Интернет, они зачастую являются непригодными для практического использования.

Мы предоставляем набор регулярно обновляемых шаблонов типовых организационно-распорядительных документов в формате MS Word, которые могут использоваться для разработки локальной нормативной базы организации в области информационной безопасности (политик, инструкций, концепций, положений, стандартов, регламентов и т.п.). Все предлагаемые документы успешно прошли стадию практического внедрения.

Эти документы необходимы любой организации для разработки локальной нормативной базы в области информационной безопасности (политик, процедур, инструкций, концепций, положений, стандартов, регламентов, планов, протоколов и т.п.

) при внедрении системы управления информационной безопасностью, документировании процессов и требований безопасности, распределении ролей и назначении ответственных за безопасность.

Все разрабатываемые GlobalTrust документы в обязательном порядке проходят практическую апробацию и являются завершенными рабочими документами.

Особенности второй редакции комплекта GTS 1035 v2

Вторая редакция комплекта типовых документов по информационной безопасности GTS 1035 v2, доступная для приобретения с начала 2015 года, существенным образом усовершенствована и дополнена по сравнению с предыдущими редакциями, в том числе:

• Исправлены ошибки, улучшена структура и оформление документов
• Унифицирован понятийный и терминологический аппарат
• Актуализировано и дополнено содержание документов с целью приведения их в соответствие с современными нормативными документами и стандартами ИБ
• Добавлено более десятка новых современных политик безопасности и приложений к ним
• Учтены замечания и предложения, полученные от клиентов GlobalTrust

Приобретение комплектов документов

Приобрести комплект документов по информационной безопасности GTS 1035 v2, а также стандарты, руководства, книги, инструменты и методики, которые легли в основу его разработки, можно в интернет-магазине GTrust.ru. Поставка документов осуществляется в электронном виде в формате MS Word на CD-ROM или по e-mail.

Поддержка внедрения

Мы обеспечиваем полную поддержку внедрения системы управления информационной безопасностью (СУИБ) организации, предоставляя услуги по обучению, консалтингу, аудиту и аутсорсингу.

Онлайн поддержка внедрения и консультации по документам на форуме портала ISO27000.ru

Правила лицензирования

Лицензирование шаблонов типовых документов по информационной безопасности производится по количеству систем управления информационной безопасностью (СУИБ), в рамках которых производится использование этих шаблонов. Одна лицензия дает право использования шаблонов в одной организации в рамках одной СУИБ.

Компаниям, предполагающим использование шаблонов документов для оказания услуг другим организациям, требуется приобрести специальную консалтинговую лицензию, либо отдельно приобретать лицензии для каждой организации с учетом скидки на количество приобретаемых лицензий.

Источник: http://globaltrust.ru/ru/produkty/komplekty-dokumentov-po-informacionnoi-bezopasnosti/tipovye-organizacionno-rasporyaditelnye-dokumenty-po-informacionnoi-bezopasnosti