6. ОПИСНИЕ ПОЛИТИКИ
БЕЗОПАСНОСТИ
Политика безопасности определяется
на основе изучения анализа рисков. Когда
проведен анализ рисков и определена стратегия
защиты, составляется программа, реализация
которой должна обеспечить информационную
безопасность.
Во всех отделениях банка должна
быть разработана инструкция по обеспечению
безопасности информации. В целях обеспечения
санкционированного доступа к информационному
ресурсу, любой вход в систему должен осуществляться
с использованием имени пользователя
и пароля.
Основное внимание должно быть
уделено злоумышленным действиям со стороны
нарушителей.
- Защита территории банка
Защита территории должна проводиться
отделом охраны. Вся территория и помещения
банка находится под видеонаблюдением.
Сигналы с камер должны просматриваться
в режиме реального времени сотрудниками
охраны для быстрого реагирования на какие-либо
происшествия.
Записи видеокамер хранятся
на жестком диске для обеспечения возможности
дальнейшего просмотра событий требуемого
времени. По истечению определенного времени
более поздние видеозаписи, в которых
больше не нуждаются, будут удаляться
для очищения памяти
- Доступ к сети Интернет
Доступ к сети Интернет обеспечивается
только в рабочих целях и не может использоваться
для какой-либо другой, незаконной деятельности.
Администратор контролирует
содержание всего потока информации, проходящей
через канал связи к сети Интернет в обоих
направлениях.
- Защита программно-аппаратных
средств
Сотрудники банка должны постоянно
помнить о необходимости обеспечения
физической безопасности оборудования,
на котором хранится вся потоковая информация.
Сотрудникам запрещено самостоятельно
изменять конфигурацию программно-аппаратных
средств. Все изменения производит непосредственно
администратор.
Все компьютеры должны защищаться
паролем при загрузке системы. Данные
должны быть скопированы в случае халатности
или небрежности приведшей к потере оборудования.
Все компьютеры, подключенные
к локальной сети, должны быть оснащены
средствами антивирусной защиты.
- Организационно-правовые средства
защиты
Регламентируют весь технологический
цикл работы банка, от методики подбора
кадров до положений о функциональных
обязанностях любого банковского сотрудника.
- Оперативно-технические средства
Предназначены для скрытого,
конспиративного контроля за действиями
людей и за информацией, оказывающие существенное
влияние на безопасность банка.
- Морально-психологические средства
Включают в себя мероприятия
СБ по работе как с персоналом и посетителями
банка, так и с категорией лиц вне банка,
сведения и действия которых могут оказать
существенное влияние на безопасность
банка.
- Специальные средства и методы
Используются для получения,
сбора и анализа информации о конкурентах
и фирмах, представляющих источник опасности
для банка.
7. КОНЦЕПЦИЯ СИСТЕМЫ
Система защиты АС должна реализовывать
следующие задачи:
- Идентификацию и аутентификацию
пользователей при входе вАС (ввод логина и пароля в регистрационном окне при входе в систему);
- Предоставления пользователю
права доступа к данным АС (в зависимости
от регистрации пользователь имеет доступ
только к той информации, на которую ему
назначены права);
- Обеспечение целостности данных
(проверка таблиц системы на изменение
хранимой в них информации, в целях выявления
несанкционированного доступа к информации);
- Разграничение полномочий пользователей
(каждый пользователь имеет определенный
набор прав доступа к информации, содержащейся в АС).
Эти задачи были реализованы
при помощи различных подсистем, каждая
из которых реализует свои задачи:
- Подсистема управления доступом
предназначена для обеспечения идентификации,
проверки подлинности и контроля доступа
субъектов при входе в систему;
- Подсистема регистрации и учета
предназначена для обеспечения регистрации
и учета входа/выхода субъектов доступа
в/из систему/ы;
- Подсистема обеспечения целостности
предназначена для обеспечения целостности
информации при передаче данных.
8.РЕАЛИЗАЦИЯ ПОЛИТИКИ
БЕЗОПАСНОСТИ
Значительное внимание в политике
безопасности уделяется вопросам обеспечения
безопасности информации при ее обработке
в автоматизированных системах: автономно
работающих компьютерах и локальных сетях.
Необходимо установить, как должны быть
защищены серверы, маршрутизаторы и другие
устройства сети, порядок использования
сменных носителей информации, их маркировки,
хранения, порядок внесения изменений
в программное обеспечение.
Приведены следующие общие
рекомендации:
- в системе должен быть администратор
безопасности;
- за каждое устройство должен
быть назначен ответственный за его эксплуатацию;
- системный блок компьютера
надо опечатывать печатями ответственного
и работника IT-службы (или службы безопасности)
- жесткие диски лучше использовать
съемные, а по окончании рабочего дня убирать
их в сейф;
- если нет необходимости в эксплуатации
CD-ROM, дисководов, они должны быть сняты
с компьютеров;
- установка любого программного
обеспечения должна производиться только
работником IT-службы;
- для разграничения доступа
сотрудников лучше всего использовать
сочетание паролей и смарт-карт (токенов). Пароли должны генерироваться администратором безопасности, выдаваться пользователю под роспись и храниться им также как и другая конфиденциальная информация;
- должно быть запрещено использование
неучтенных носителей информации. На учтенных
носителях выполняется маркировка, например,
гриф, номер, должность и фамилия сотрудника.
Подключение к Интернету преследует
следующие цели:
- получение информации из Интернета;
- размещение в Интернете своей
информации о предоставляемых услугах,
продаваемых товарах и т.д.
- организация совместной работы
удаленных офисов или работников на дому.
На компьютере должны быть обязательно
установлены антивирусные средства защиты
с актуальной базой, а также правильно
настроенныйFirewall. При этом особый контроль
надо уделить работе на этом компьютере
со сменными носителями информации, а
также перлюстрации исходящей почты. В
некоторых организациях вся исходящая
почта попадает вначале в руки администратора
безопасности, который контролирует ее
и пересылает дальше.
Политика безопасности предусматривает
меры ликвидации этих последствий, восстановления
нормальной работоспособности фирмы,
минимизации причиненного ущерба. Большое
значение имеет применение средств резервирования
электропитания, вычислительных средств,
данных, а также правильная организация
документооборота.
Программный комплекс SecretNetобеспечивает
такие подсистемы как:
- Подсистема управления доступом
- Подсистема регистрации и учёта
- Подсистема обеспечения целостности
- Подсистема управления
доступом
- Входной информацией в этой
подсистеме являются логин и пароль, которые при добавлении нового пользователя хранятся в таблице кодов паролей. При успешной регистрации пользователь может работать с той информацией и теми таблицами, к которым имеет доступ.
- Выходной информацией в этой
подсистеме являются главная экранная
форма, при вводе определенного логина
и пароля переходит на назначенную этому пользователю форму
Управление доступом пользователей
Рисунок 8
После ввода пароля пользователь
попадает в свою учетную запись.
- Подсистема регистрации
и учета
Входной информацией в этой
подсистеме является логин и пароль, которые
при добавлении нового пользователя хранятся
в ТКП. При вводе информации (логина и пароля)
в экранную форму регистрации, она сравнивается
с информацией, хранящейся в таблице (паролей),
при совпадении этой информации происходит
регистрация пользователя в системе.
Выходной информацией в этой
подсистеме является таблица регистрации.
Администратор может просматривать
все события, происходящие в системе.
Проверка событий в SecretNet
Рисунок 9
А так же проверять журнал входа\выхода
пользователей
Журнал событий в SecretNet
Рисунок 10
- При попытке НСД в систему,
администратору придет сообщение о нарушении
целостности на одном из устройств. После
3-х неудачных попыток входа система заблокирует
данного пользователя. Сообщение о блокировке
сразу же придет администратору.
Блокирование доступа
Рисунок 11
- Подсистема обеспечения
целостности
Для защиты целостности на логическом
уровне в банке установлена система SecretNet,
которая обеспечивает разграничение доступа
пользователей в зависимости от их допуска
к различным видам тайн.
Для сохранности паролей в системе
используется шифрование MD5
MD5 – это 128-битная система вычисления
контрольной суммы.После того, как пользователь
введет свой пароль, от пароля вычисляется
хэш-функция MD5. Результат сравнивается
со значением, хранящимся в базе. Если
значения равны, то пароль верен.
Для обработки MD5 получает некоторую
строку. Эта строка преобразуется в последовательность
из нулей и единиц. К получившейся последовательности
приписывается 1. В результате длина последовательности
увеличивается на 1. Затем к последовательности
приписываются нули, пока длина не станет
по модулю 512 равна 448 (lengthmod 512=448). Далее
к последовательности дописываются младшие
32 бита числа равного длине первоначальной
последовательности, а затем — старшие.
Длина последовательности становится
кратной 512. Для подсчета результата используются
четыре двойных слова (32 бита). Эти двойные
слова инициализируются шестнадцатеричными
значениями, где первым следует самый
младший байт.
Подсчет контрольной суммы
в MD5
Рисунок 12
9.ОРГАНИЗАЦИОННЫЙ
КОМПОНЕНТ
Инструкция администратора:
Регистрация. После запуска
приложения необходимо безошибочно ввести
свои регистрационные данные (имя и пароль)ю
При вводе данных необходимо учесть язык
ввода и делать различия между прописными
и печатными буквами. После ввода данных
нажать кнопку ОК. При загрузке формы главного
меню появится сообщение о целостности
данных. Если целостность данных нарушена,
необходимо вызвать администратора системы.
Если пользователь, вошедший
в программу, не является администратором,
то перед ним появится экранная форма
в соответствии с должностными обязанностями.
Если пользователь, зарегистрировавшийся
в программе, является администратором,
то перед ним появится экранная форма,
которая содержит:
Журналы. Просмотр журналов
регистрации пользователей и событий
с возможностью их очищения. Для удаления
записей необходимо пометить записи на
удаление и нажать кнопку удалить.
Разграничение доступа. Просмотр
и назначение прав пользователям. Для
назначения прав необходимо выбрать должность,
пометить галочкой права предоставляемые
пользователю и нажать кнопку Назначить.
Целостность. Предоставляет
возможность считать контрольную сумму
таблицы кодов паролей, журнала регистрации
и журнала событий, а так же пересчитывать
эталонную контрольную сумму.
Добавление пользователей.
Предоставляет возможность добавления
нового пользователя и генерации пароля
для уже существующего пользователя. Для
создания нового пользователя необходимо
ввести данные (имя, учетный номер, должность,
длину пароля) и выбрать один или несколько
наборов данных (установить галочки), после
чего нажать кнопку Создать.
При возникновении нестандартной
ситуации необходимо вызвать администратора
системы.
Администратор обязан: