Настоящий План определяет организацию, порядок осуществления работ, основные требования и рекомендации, способы и средства защиты информации, циркулирующей в ИС, технических средствах и помещениях Компании, и является основным руководящим документом для сотрудников Компании (в части их касающейся).
План разработан на основании действующих законодательных актов и руководящих документов.
ИС подвергаются различным видам рисков, начиная с потери данных в результате ошибок пользователей и кончая стихийными бедствиями. Наиболее серьезные угрозы, вызывающие прекращение работы системы, такие как стихийные бедствия, обычно рассматриваются в плане ликвидации последствий аварии. Другие угрозы безопасности связаны со злонамеренной технической активностью (такой как компьютерные вирусы или действия нарушителей информационной безопасности).
Назначением настоящего Плана является документирование согласованных решений по предотвращению, выявлению, реагированию и ликвидации последствий нарушения режима информационной безопасности. Комплексный подход реализуется за счет охвата всех уровней управления: административного, процедурного и программно-технического.
Подготовка Плана защиты информационных ресурсов Компании от НСД и контроль его исполнения осуществляется ОИБ. Внесение изменений и дополнений в настоящий План осуществляется по инициативе заинтересованных подразделений после согласования и утверждения руководителем ОИБ. Ответственность за исполнение положений Плана возлагается на пользователей и обслуживающий персонал ИС Компании (в части, их касающейся).
План состоит из пяти частей. Первая часть Плана определяет состав и последовательность административных мероприятий, проводимых с целью организации защиты от НСД к информации. Ее цель – создать условия и подготовить сотрудников ОИТ и ОИБ к проведению работ по предотвращению, выявлению и реагированию на нарушения безопасности, а также по ликвидации последствий нарушений безопасности. Для успешного проведения этих мероприятий необходимо, чтобы была правильно распределена ответственность между должностными лицами, отвечающими за обеспечение информационной безопасности, и чтобы каждый сотрудник знал свои должностные обязанности. Кроме того, необходимо разработать, протестировать и распространить среди персонала инструкции и регламенты по обеспечению информационной безопасности, провести работу с пользователями и проверить наличие необходимых ресурсов, в том числе и специализированных СЗИ от НСД.
Во второй части Плана описывается состав мероприятий и порядок действий по предотвращению нарушений безопасности. Необходим непрерывный контроль состояния ИС, действий пользователей, своевременное выявление и ликвидация уязвимостей в системе защиты. Этим целям служат мониторинг и аудит безопасности. Под мониторингом понимается отслеживание опасных состояний системы и подозрительных действий пользователей, производимое в реальном времени, либо строго периодически. Аудит предполагает проведение регулярных проверок процесса функционирования ИС посредством анализа журналов регистрации событий системного и прикладного ПО.
Третья часть Плана содержит пошаговые инструкции по анализу нарушений безопасности. Анализ позволяет установить, действительно ли нарушение имеет (имело) место, была ли попытка НСД успешной, а также насколько серьезно система была скомпрометирована.
Четвертая часть Плана определяет действия по реагированию на нарушения безопасности, предусматривающие применение мер процедурного и программно-технического уровня.
Пятая часть Плана определяет систему мероприятий по ликвидации последствий нарушений безопасности. Она содержит рекомендации по организации восстановительных работ, переводу системы в защищенное состояние, анализу и ликвидации уязвимостей системы защиты.
В данном разделе определяются обязанности руководителя и сотрудников ОИБ по предупреждению, реагированию и ликвидации последствий нарушений безопасности.
Организация режима информационной безопасности и эксплуатация СЗИ ИС Компании осуществляется ОИБ, выполняющим следующие задачи:
В соответствии с должностными инструкциями руководителя и сотрудников ОИБ для выполнения ими своих обязанностей по обеспечению информационной безопасности они наделяются следующими правами:
Руководитель ОИБ вправе:
Специалист по защите информации имеет право:
Согласно регламентам проведения административных мероприятий различают пять областей администрирования:
1. Системный администратор производит настройку системного ПО, осуществляет мониторинг состояния вычислительных систем, входящих в состав ИС, выполняет анализ производительности сети, настройку средств защиты информации, встроенных в системное ПО, резервное копирование информации и ее восстановление после сбоев.
Деятельность системного администратора включает в себя:
Системный администратор производит диагностику и поиск ошибок:
Системный администратор выполняет добавление устройств и драйверов в систему, форматирование дисков и разделение их на разделы. Производит установку нового системного программного обеспечения и пакетов программных коррекций для ОС.
Совместно с другими администраторами проводит анализ случаев НСД к ресурсам ИС.
В обязанности системного администратора входит сопровождение и поддержка в актуальном состоянии документации на ИС (структурная схема ИС, планы размещения серверов и АРМ пользователей, перечень установленного системного программного обеспечения, сведения о функциональном назначении ИС, общие сведения о задачах, решаемых в системе и т.п.).
2. Сетевой администратор отвечает за выполнение административных мероприятий по конфигурированию активного сетевого оборудования и СКС.
Деятельность сетевого администратора включает в себя:
3. Администратор приложений отвечает за выполнение административных мероприятий по установке, настройке и поддержанию в работоспособном состоянии прикладного программного обеспечения, эксплуатируемого в организации.
Деятельность администратора приложений включает в себя:
4. Администратор безопасности отвечает за выполнение административных мероприятий по установке, настройке, поддержке в работоспособном состоянии средств защиты информации, эксплуатируемых в ИС Компании.
Деятельность администратора безопасности включает в себя:
5. Администратор аудита отвечает за выполнение административных мероприятий по установке, настройке, поддержке в работоспособном состоянии средств аудита, эксплуатируемых в ИС Компании.
Средства аудита предназначены для контроля и обнаружения различных угроз, которым подвергается ИС и ее информационные ресурсы, а также для реагирования на эти угрозы в реальном масштабе времени.
Деятельность администратора аудита включает в себя:
На этапе настройки системы аудита безопасности предприятия определяются рабочие профили пользователей ИС.
Рабочий профиль пользователя – это набор характеристик, позволяющих администратору безопасности и системам автоматического выявления нарушений безопасности отождествлять пользователей системы с производимыми ими действиями и выявлять подозрительную активность, несвойственную данным пользователям. Рабочий профиль включает следующие характеристики:
Процедуры по предупреждению компьютерного мошенничества выполняются регулярно сотрудниками ОИБ. Они включают в себя фиксацию и анализ критических отклонений в поведении пользователей ИС Компании от стандартных параметров, определяющих их типичное поведение и содержащихся в профилях пользователей. Выявление критических отклонений в поведении пользователей осуществляется по результатам анализа данных аудита безопасности.
Пользователями ИС являются сотрудники Компании, зарегистрированные соответствующим образом в системе и получившие права на доступ к ресурсам ЛВС в соответствии с функциональными обязанностями.
Все пользователи ИС должны быть ознакомлены с содержанием данного Плана и других документов, регламентирующих работу в ИС, в части, их касающейся. За нарушение установленных правил работы в ИС Компании пользователи несут персональную ответственность.
Всем пользователям ИС присваивается уникальное имя и предлагается выбрать пароль. При регистрации в системе пользователю необходимо ввести свое уникальное имя. Пароль служит доказательством того, что пользователь является именно тем, за кого себя выдает. Имя и пароль пользователи обязаны держать в секрете, никому не сообщать и нигде не записывать.
При выборе пароля пользователь должен руководствоваться следующими основными правилами:
Установку системного и прикладного программного обеспечения на рабочем месте пользователя, его конфигурирование выполняет администратор. Пользователю запрещается самостоятельно устанавливать любое ПО на свое рабочее место. В случае необходимости установки дополнительных программных средств пользователь подает письменную заявку своему непосредственному начальнику. После рассмотрения заявки и в случае положительного решения администратор производит установку необходимых программ. Конфигурация рабочего места каждого пользователя фиксируется в документации, хранимой у администратора.
Пользователю запрещается самостоятельно вскрывать компьютер, производить замену или установку аппаратной части. Пользователь несет персональную ответственность за сохранность защитных знаков, которыми опечатан компьютер. В случае необходимости замены вышедшего из строя аппаратного обеспечения либо установки дополнительного пользователь обращается с письменной заявкой к непосредственному начальнику. После рассмотрения заявки производятся работы в соответствии с правилами, принятыми в организации.
Пользователь ИС обязан использовать АРМ и предоставленные ему сервисы только для выполнения своих функциональных обязанностей. Не допускается выполнение посторонних работ, обмен информацией с сетью Интернет в обход принятой в Компании технологии. Категорически запрещается создавать дополнительные каналы выхода в сеть Интернет (устанавливать внешние модемы, подключаться через стороннего провайдера и т.п.).
При работе в сети Интернет запрещена загрузка и установка на свой компьютер программного обеспечения. Не разрешается использование почтовых ящиков, предоставляемых сторонними провайдерами.
Пользовать не имеет права сообщать посторонним лицам техническую информацию по конфигурации и настройке ИС (состав ЛВС, количество компьютеров, их модели, используемые средства защиты, IP-адреса, имена доменов, почтовых ящиков и т.д.).
Передача вышеупомянутой информации допускается в связи с производственной необходимостью партнерам Компании с личного разрешения непосредственного начальника. Непосредственный начальник, с ведома которого произошла передача информации, обязан сообщить об этом в ОИБ.
Пользователь обязан знать правила и уметь работать с антивирусными программами, установленными на компьютер. Вся входящая информация перед открытием должна проверятся на наличие вирусов. Пользователь обязан проводить периодическое тестирование своего АРМ. Периодичность тестирования программного обеспечения устанавливается в соответствии с антивирусной политикой. В случае обнаружения компьютерного вируса, необычной работы компьютера либо приложения пользователь обязан сообщить об этом непосредственному начальнику и администратору, и действовать в соответствии с их указаниями.
Пользователи должны обеспечить надлежащую защиту оборудования, оставленного без присмотра. Оборудование, установленное на рабочих местах пользователей (например, рабочие станции или файловые серверы), может потребовать организации защиты от НСД.
Пользователи должны знать процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты. Предлагаются следующие рекомендации:
По окончании работы с компьютером пользователь должен выключить его в соответствии с процедурой, предусмотренной в техническом описании.
Процесс контроля за внесением изменений, распространением версий и изменением конфигурации ПО касается всех сотрудников ОИТ, ответственных за его эксплуатацию и администрирование. Наблюдение за соблюдением правил внесения изменений возлагается на сотрудников ОИБ.
Политика безопасности должна определять процедуры для взаимодействия с другими организациями, в число которых входят правоохранительные органы, а также другие организации, затронутые инцидентом.
Должны быть назначены сотрудники, ответственные за связь с этими организациями. Во избежание ситуаций, когда невозможно связаться с ответственным сотрудником, необходимо иметь более одного человека для каждой области ответственности.
Политика безопасности должна определять также следующие вопросы:
Помимо определения того, с какими организациями нужно установить связь в случае нарушения безопасности, политикой безопасности также определяются сотрудники (назначаемые из числа администраторов ИС), ответственные за проведение мониторинга внешних источников информации с тем, чтобы оставаться в курсе текущих исследований в этой области, актуальных вопросов и проблем.
Ответственные сотрудники должны использовать списки рассылки и группы новостей для участия в обсуждении представляющих интерес вопросов информационной безопасности, используя ресурсы сети Интернет.
В данном разделе определяются обязанности руководителя и координаторов работ по восстановлению целостности и/или доступности ресурсов ИС, нарушенных в результате осуществления НСД к информации.
Персонал, принимающий участие в восстановительных работах, назначается из состава ОИТ.
В обязанности руководителя восстановительных работ входит:
Предоставление прав доступа пользователей к сетевым ресурсам осуществляется в соответствии с политикой управления доступом к ресурсам корпоративной сети Компании.
При предоставлении доступа к ресурсам ИС реализуется дискреционный принцип контроля доступа.
Для ИС Компании разрабатывается матрица доступа, в которой для каждого субъекта доступа (пользователя) и каждого объекта (ресурса) в явном виде указываются типы доступа. Данная матрица служит основой дискреционной политики управления доступом.
Внесение изменений в системное ПО проводится в случаях установки программных коррекций используемого ПО, установки новых версий ОС и СУБД.
Допускается эксплуатация только лицензионного ПО, приобретенного непосредственно у разработчика, либо его официального представителя. Перед установкой ПО на действующую ИС необходимо провести тестовые испытания ПО на стенде. Факт внесения изменений документируется для каждого СВТ, эксплуатируемого в ИС, с указанием конфигурационных параметров установленного ПО.
Ведение журналов по внесению изменений в системное и прикладное ПО ИС Компании возлагается на сотрудников ОИТ.
Необходимо спланировать процесс обучения администраторов и пользователей ИС действиям по предотвращению и реагированию на нарушения безопасности, а также обсудить с ответственными сотрудниками отдельные аспекты политики безопасности. Для этого необходимо:
Квалификация персонала должна быть подтверждена соответствующими сертификатами и периодически проверяться при проведении плановых аттестаций сотрудников ОИБ.
Мероприятия по восстановлению работоспособности ИС в случае аварии предусматривают возможность замены пришедших в негодность технических средств, восстановление или переустановку ПО, восстановление информации с архивных копий, либо носителей резервного копирования в соответствии с регламентом резервного копирования и восстановления данных.
Необходимо подготовить и распространить среди пользователей ИС и ответственных лиц списки контактных лиц (телефоны, факсы, адреса электронной почты, номера пейджеров и т.п.) для связи в случае выявления фактов нарушения информационной безопасности.
Необходимо распространить среди пользователей ИС и ответственных лиц рекомендации по обеспечению информационной безопасности в части:
1. Использования лицензионного и только проверенного ПО.
2. Предотвращения и ликвидации последствий действия компьютерных вирусов
3. Требований и рекомендаций по выбору паролей и использованию другой аутентификационной информации
4. Правил пользования сетевыми сервисами
Необходимо тщательно протестировать отдельные процедуры и регламенты, предусмотренные настоящим Планом, отработать последовательность действий персонала, администраторов ИС и ОИБ при реагировании на нарушения безопасности. При тестировании следует обращать особое внимание на подготовленность ответственных сотрудников к выполнению регламентов и процедур, наличие необходимого инструментария для обслуживания системы и других программно-аппаратных ресурсов, а также соответствие настоящего Плана, процедур и регламентов реальному положению дел.
Необходимо проверить наличие и работоспособность специализированных программно-технических средств защиты информации, таких как средства мониторинга, аудита безопасности, межсетевые экраны, антивирусные средства и т.п.
В случае необходимости должны быть заключены стратегические союзы, соглашения и договора с другими предприятиями или организациями (поставщиками, сервисными центрами, консалтинговыми фирмами и т.п.) с целью проведения мероприятий по восстановлению работоспособности ИС с привлечением дополнительных средств союзников и расследования нарушений безопасности.
Мониторинг состояния ИС проводится администраторами регулярно в соответствии с планом.
В соответствии с утвержденным регламентом должен систематически проводиться мониторинг работоспособности аппаратных компонентов ИС. Наиболее существенные компоненты системы, имеющие встроенные средства контроля работоспособности (серверы ЛВС, активное сетевое оборудование) должны контролироваться постоянно в рамках работы дежурных администраторов.
Пароль является одним из основных средств аутентификации в ИС Компании. Зарегистрировавшись на сервере под конкретным паролем, пользователь получает доступ к тем ресурсам, к которым ему предоставлены права доступа в соответствии с выполняемыми функциями. Узнав имя пользователя и его пароль, злоумышленник может выполнять действия и просматривать информационные ресурсы от имени легального пользователя. В данной ситуации возможны как финансовые потери от действий злоумышленника, так и потеря доверия со стороны клиентов и партнеров Компании.
Возможно использование двух схем выработки паролей:
В первой схеме, с использованием специализированного ПО, гарантируется необходимая стойкость пароля (длина, уникальность, необходимая мощность алфавита, невозможность подбора методом полного перебора и т.д.). Но возникают трудности для пользователей с запоминанием сгенерированных паролей.
Кроме того, используя данную схему, необходимо решить ряд организационных вопросов:
Данную схему целесообразно применять при наличии отлаженных механизмов режимного делопроизводства.
Вторая схема лишена перечисленных недостатков, но при ее реализации не гарантирована необходимая стойкость пароля (по статистике около 80% пользователей используют очень простые, легко ассоциируемые с самим пользователем пароли).
Ниже приведены общие правила работы с паролями, обязательные для использования в ИС Компании.
Пользователи, в результате действий (ненадлежащим образом выбран пароль) которых произошло раскрытие критичной информации, несут ответственность в соответствии с правилами, установленными в Компании.
Контроль за выполнением настоящих рекомендаций возлагается на администратора безопасности. Для усиления политики управления паролями и контроля надежности пользовательских паролей администратору безопасности необходимо:
Для выполнения своих функциональных обязанностей по управлению паролями и контролю надежности пользовательских паролей администратору безопасности должны быть предоставлены соответствующие полномочия, позволяющие осуществлять доступ к системным файлам, содержащим пользовательские пароли.
Мониторинг целостности и анализ защищенности ИС включает в себя следующее:
Для предупреждения и своевременного выявления попыток несанкционированного входа в систему используются средства активного аудита, которые осуществляют:
Косвенной причиной уменьшения производительности системы может являться нарушение безопасности. Мониторинг производительности проводится регулярно в соответствии с планом.
Каждый компонент сети должен иметь контрольно-измерительные средства. Если они отсутствуют, обеспечить бесперебойную работу или даже выяснить причину снижения производительности невозможно.
Если приложение в сети работает недостаточно производительно, то в первую очередь необходимо выявить причину проблемы.
При определении причины недостаточной производительности первоначально нужно выяснить, является ли она постоянной или временной. Например, всегда ли приложение работает непроизводительно или только в период пиковой нагрузки. Если верно первое, то имеет место статическое снижение производительности, если второе – динамическое.
Для того чтобы собрать требуемую информацию, необходимо встретиться с пользователями и выяснить природу возникновения проблемы.
Как только определено, является ли падение производительности статическим или динамическим, можно начинать поиск возможных причин. Динамическое снижение производительности обычно указывает на недостаток ресурсов, к примеру, пропускной способности разделяемой сети или недостаточной производительности процессора хоста, и проблемы, с ними связанные, возникают, как правило, в разделяемых областях инфраструктуры: в сети или на серверах. Сетевые проблемы проявляются в сегментах сети или, что происходит заметно чаще, на промежуточных маршрутизаторах, коммутаторах или шлюзах. Серверные проблемы связаны с нехваткой таких ресурсов, как емкость памяти, мощность процессора или скорость обмена с диском. Динамическое падение производительности происходит в тех случаях, когда потребности в ресурсах превосходят возможности имеющихся ресурсов.
Правильное размещение в сети контрольно-измерительных средств позволит диагностировать и установить причину возникновения динамического снижения производительности, поскольку оно связано с очевидным недостатком ресурсов.
Статическое снижение производительности устранить сложнее, так как очевидных ограничений на ресурсы в этом случае нет. Данные проблемы вызваны в основном недостатками архитектуры. К примеру, сеть не имеет необходимой пропускной способности, клиенты и серверы обладают недостаточной памятью, мощности процессора не хватает, а скорость внутренней шины обмена с диском низка. Неправильное размещение приложений и чрезмерный объем кода графического интерфейса, элементов данных и исполняемых модулей также относятся к изъянам архитектуры.
Зачастую для определения источника статических или архитектурных недостатков необходим сложный анализ, поскольку установленные датчики не всегда правильно указывают причину низкой производительности. В частности, с одной стороны, мониторы производительности, отслеживающие сетевой трафик или загрузку процессора на сервере, не обнаруживают перегрузки, а с другой – приложение не отвечает требованиям пользователей к производительности. Приложение, например, может производить слишком большое число обменов по сети в рамках одной транзакции или чересчур много небольших транзакций, связанных с чтением/записью на диск.
Как только будет определено, в чем состоит проблема, необходимо решить, производить ли модернизацию оборудования или придется изменить архитектуру приложения.
Классификация причин снижения производительности приведена ниже.
Проблемы производительности:
Синхронизация системных часов производится регулярно при помощи соответствующих сетевых программных средств (программных агентов) и является важным условием правильного функционирования системы аутентификации пользователей сети и обеспечения точности записей журналов аудита.
Целесообразно использовать антивирусные программные средства для защиты от вирусов рабочих станций, а также серверов:
План проведения антивирусных мероприятий состоит из трех основных частей:
Вероятность заражения вирусами пропорциональна частоте появления новых файлов или приложений на компьютере. Изменения в конфигурации для работы в Интернете, для чтения электронной почты и загрузка файлов из внешних источников – все это увеличивает риск заражения вирусами.
Вирусы обычно появляются в системе из-за действий пользователя (например, установки приложения, получения файла по FTP, чтения электронного письма и т.п.). Поэтому в плане проведения антивирусных мероприятий особое внимание обращено на ограничения по загрузке потенциально зараженных программ и файлов.
Чем выше критичность приложения, обрабатываемого на компьютере, или данных, хранящихся в нем, тем более строгие мероприятия необходимо проводить для предотвращения заражения вирусами.
Все серверы и АРМ пользователей в соответствии с данным критерием (критичность информации) разбиваются на три группы:
Результаты проведенной классификации СВТ оформляются документально и утверждаются руководителем ОИБ.
Низкий риск
Мероприятия по антивирусной защите СВТ с низким риском содержат шаги по доведению до пользователей их обязанностей по регулярной проверке АРМ на наличие вирусов.
Предотвращение
Пользователи должны знать о возможных путях заражения вирусами и о том, как использовать антивирусные средства.
Обнаружение
Антивирусные средства должны использоваться для еженедельной проверки на вирусы. Ведение журналов проверки СВТ на наличие вирусов не является необходимым.
Сотрудники должны информировать администратора ЛВС о любом обнаруженном вирусе, изменении конфигурации или необычном поведении компьютера или программы. После получения информации об обнаружении вируса администратор должен информировать всех пользователей, имеющих доступ к программам или файлам данных, которые могли быть заражены вирусом, что, возможно, вирус заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы. Пользователи должны сообщить о результатах проверки на вирусы и удаления вируса администратору.
Администратор обязан доложить о факте заражения вирусом своему непосредственному начальнику.
Удаление
Любая система, которая подозревается в заражении вирусом, должна быть немедленно отключена от сети. Система не должна подключаться к сети до тех пор, пока администратор не удостоверится в том, что вирус удален.
Средний риск
Мероприятия по антивирусной защите СВТ со средним риском предполагают проведение более частых проверок на вирусы, а также использование антивирусных средств для проверки серверов, связанных с данным СВТ, и электронной почты.
Предотвращение
Программы, инсталлированные на СВТ, должны устанавливаться только администратором (который проверяет их на вирусы и тестирует).
На файловые сервера должны быть установлены антивирусные программы для ограничения распространения вирусов в сети. Должна производиться ежедневная проверка всех программ и файлов данных на серверах на наличие вирусов. АРМы пользователей должны иметь резидентные антивирусные программы, сконфигурированные так, что все файлы проверяются на вирусы при загрузке на компьютер. Все приходящие электронные письма должны проверяться на вирусы. Запрещается запускать программы и открывать файлы с помощью приложений, уязвимых к макровирусам, до проведения проверки этих файлов на вирусы.
С сотрудниками компании должны проводиться периодические семинары, содержащие следующую информацию о риске заражения вирусами:
Антивирусные программы могут обнаружить только те вирусы, которые уже были кем-то обнаружены раньше. Постоянно разрабатываются новые, более изощренные вирусы. Антивирусные программы должны регулярно (еженедельно) обновляться для того, чтобы можно было обнаружить самые новые вирусы. Важно сообщать администратору о любом необычном поведении компьютера или приложений. Важно сразу же отсоединить компьютер, который заражен или подозревается в заражении, от сети, чтобы уменьшить риск распространения вируса.
Обнаружение
Должны использоваться лицензионные антивирусные программы для ежедневных проверок на вирусы. Антивирусные программы (базы сигнатур) должны обновляться каждую неделю. Все программы или данные, импортируемые в компьютер (с дискет, электронной почты и т.д.), должны перед использованием проверяться на вирусы.
Должны вестись журналы проверки АРМ на наличие вирусов. Данные журналы должны просматриваться администратором.
Сотрудники должны информировать администратора об обнаруженных вирусах, изменениях в конфигурации или странном поведении компьютера или приложений.
При получении информации о заражении вирусом администратор должен информировать всех пользователей, имеющих доступ к программам и файлам данных, которые могли быть заражены вирусом, что вирус, возможно, заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы. Пользователи должны сообщить о результатах проверки на вирусы и удаления вируса администратору.
Администратор обязан доложить о факте заражения вирусом своему непосредственному начальнику.
Удаление
Любая система, которая подозревается в заражении вирусом, должна быть немедленно отключена от сети. Система не должна подключаться к сети до тех пор, пока администратор не удостоверится в том, что вирус удален.
Высокий риск
Системы с высоким уровнем риска содержат данные и приложения, которые являются критическими для деятельности Компании. Заражение вирусами может вызвать значительные потери времени, данных и нанести ущерб репутации Компании. Из-за заражения может пострадать большое число компьютеров. Следует принять все возможные меры для предотвращения заражения вирусами.
Предотвращение
Установка ПО на серверы и АРМ пользователей производится непосредственно администраторами. К эксплуатации в ИС допускается только лицензионное ПО, приобретенное непосредственно у производителя либо его официального представителя. Перед установкой ПО должно пройти тестовые испытания на стенде. Конфигурация ПО на АРМ пользователей должна проверяться еженедельно на предмет выявления программ, самостоятельно установленных пользователями.
С целью ограничения риска заражения ПО должно устанавливаться только с разрешенных внутренних серверов либо с лицензионных носителей. Запрещено загружать ПО из Интернета.
На серверах должны быть установлены антивирусные средства для предотвращения заражения и распространения вирусов в сети. Должна производиться ежедневная проверка всех программ и файлов данных на серверах на наличие вирусов.
На АРМ пользователей должны устанавливаться резидентные антивирусные средства, сконфигурированные так, что все файлы проверяются на вирусы при загрузке на компьютер. Запрещается запускать программы и открывать файлы с помощью приложений, уязвимых к макровирусам, до проведения проверки этих файлов на вирусы.
Все приходящие письма и файлы, полученные из сети, должны проверяться на вирусы при получении. Рекомендуется использование антивирусных средств, установленных на межсетевых экранах. Данные средства способны выполнять "на лету" проверку всего входящего и исходящего трафика сегмента сети.
С сотрудниками компании должны проводиться периодические семинары, содержащие следующую информацию о риске заражения вирусами:
Антивирусные программы могут обнаружить только те вирусы, которые уже были кем-то обнаружены ранее. Постоянно разрабатываются новые, более изощренные вирусы. Антивирусные программы должны регулярно (ежемесячно) обновляться для того, чтобы можно было обнаружить самые новые вирусы. Важно сообщать администратору о любом необычном поведении компьютера или приложений. Важно сразу же отсоединить компьютер, который заражен или подозревается в заражении, от сети, чтобы уменьшить риск распространения вируса.
Невыполнение данных мероприятий должно вести к наказанию сотрудника согласно правилам, принятым в Компании.
Обнаружение
Должны использоваться лицензионные антивирусные программы для ежедневных проверок на вирусы. Антивирусные программы (базы сигнатур) должны обновляться каждую неделю. Все данные, импортируемые в компьютер (с дискет, электронной почты и т.д.), должны перед использованием проверяться на вирусы.
Должны вестись журналы проверки АРМ пользователей на наличие вирусов. Данные журналы должны просматриваться и анализироваться администратором.
Проверка серверов должна производиться каждый день в обязательном порядке. Результаты проверок должны протоколироваться, автоматически собираться и анализироваться администраторами.
Сотрудники обязаны информировать администратора об обнаруженных вирусах, изменениях в конфигурации или странном поведении компьютера или приложений.
При получении информации о заражении вирусом администратор должен информировать всех пользователей, имеющих доступ к программам и файлам данных, которые могли быть заражены вирусом, что вирус, возможно, заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы.
Администратор обязан доложить о факте заражения вирусом своему непосредственному начальнику.
Удаление
Любая система, которая подозревается в заражении вирусом, должна быть немедленно отключена от сети. Система не должна подключаться к сети до тех пор, пока администратор не удостоверится в удалении вируса. Для удаления вируса должны использоваться только лицензионные программы, приобретенные непосредственно у разработчика либо его официального представителя.
Если используемые антивирусные средства не могут удалить вирус либо предупреждают о некорректном восстановлении поврежденной информации, то необходимо обратиться по телефону либо электронной почте к фирме-изготовителю с целью получения обновленной версии программы-антивируса. Также возможен вариант вызова специалиста из фирмы, оказывающей экстренную помощь при заражении компьютерными вирусами.
В крайнем случае допускается уничтожение вируса путем форматирования носителя информации (предварительно загрузившись с "чистой" операционной системы), с дальнейшим восстановлением программного обеспечения и данных с резервных копий.
После восстановления СВТ должно быть повторно проверено на наличие вирусов.
Каждый случай заражения сервера или АРМ пользователя должен тщательным образом анализироваться. На основе выводов должны быть сформулированы предложения и внесены изменения в технологическую цепочку обработки критичной информации.
Пользователи ИС, в результате действий которых произошло искажение (уничтожение) критичной информации, подлежат наказанию в соответствии с правилами, принятыми в Компании.
Мониторинг внешних источников информации производится администратором безопасности регулярно в соответствии с планом и включает в себя получение информации об уязвимостях используемых ОС и МЭ, выпуске пакетов программных коррекций и других вопросах безопасности.
Аудит безопасности производится администратором аудита регулярно, а также в ситуациях, требующих проведения расследования инцидента, связанного с нарушением информационной безопасности ИС.
Обзоры безопасности проводятся с целью проверки соответствия текущего состояния ИС тому уровню защищенности, который удовлетворяет требованиям политики безопасности. Выделяют три уровня защищенности: низкий, средний и высокий. Для каждого из этих уровней описывается состояние системы в терминах неизменности системной конфигурации и целостности системных файлов (таблиц), системных программ, СУБД, приложений, сетевых сервисов и системных устройств. Обзоры безопасности проводятся с целью выявление всех несоответствий между текущим состоянием системы и состоянием, соответствующим специально составленному списку проверки (например, шаблоны значений параметров настройки ОС). Для проведения проверок и составления отчетов используются автоматизированные программные средства администратора безопасности, работающие либо в интерактивном, либо в фоновом режиме. Обзоры безопасности, как минимум, должны включать следующие пункты:
Активное тестирование – тестирование механизмов контроля доступа путем осуществления попыток проникновения в систему и других видов атак (с помощью автоматического инструментария или вручную).
Пассивное тестирование механизмов контроля доступа, в отличие от активного, осуществляется путем анализа конфигурационных файлов ОС, а также МЭ и прочих СЗИ НСД. Информация об известных уязвимостях извлекается из документации и внешних источников информации. Затем осуществляется проверка конфигурации системы с целью выявления опасных состояний, т.е. таких состояний, в которых могут проявлять себя известные уязвимости. Если система находится в опасном состоянии, то, с целью нейтрализации уязвимостей, необходимо либо изменить конфигурацию системы (для ликвидации условий проявления уязвимости), либо установить программные коррекции, либо установить другие версии программ, в которых данная уязвимость отсутствует, либо отказаться от использования системного сервиса, содержащего данную уязвимость.
Внесение изменений производится с уведомлением каждого, кого касается предлагаемое изменение. Контроль внесения изменений осуществляется периодическими проверками состава и конфигурации СВТ и сравнения его с данными, указанными в паспорте на СВТ (ИС).
Планирование конфигурации подсистемы аудита безопасности включает в себя следующие шаги:
Анализ больших объемов информации, содержащейся в журналах системного аудита, осуществляется с использованием специализированного программного инструментария.
В качестве исходных данных для анализа используется информация из следующих источников:
В отличие от внутреннего аудита, внешний аудит безопасности производится независимыми экспертами, не имеющими отношения к администрированию системы.
Внешний аудит безопасности входит в состав комплекса работ по аудиту ИС наряду с вопросами анализа надежности, производительности, разрешения проблемных ситуаций и т. д. Целями проведения аудита безопасности являются:
Для обеспечения конфиденциальности и целостности критичной информации при передаче ее по каналам связи, проходящим вне контролируемой зоны, а также при хранении информации на магнитных носителях, необходимо использовать криптографические методы защиты информации. Программные и/или аппаратные средства криптографической защиты информации выбираются исходя из необходимости обеспечить определенный уровень защиты в соответствии с требованиями политики безопасности. В целом, должно быть предусмотрено:
Если администратор безопасности системы подозревает или получил сообщение о том, что вверенная ему система подвергается атаке или уже была скомпрометирована, то он должен установить:
Для выявления нарушений безопасности, на серверах ЛВС, которые могли оказаться скомпрометированными в результате осуществления попытки НСД, системному администратору совместно с администратором безопасности необходимо провести следующие технические мероприятия:
Необходимо установить, какие пользователи в настоящее время работают в системе, способ входа пользователей в систему, на каких терминалах и какие процессы они выполняют. Выявить подозрительную активность пользователей:
Необходимо установить, какие процессы в настоящее время активны в системе, подвергающейся атаке. Выявить подозрительные процессы:
При анализе системных журналов администратору необходимо произвести следующие действия:
В ходе анализа журналов активного сетевого оборудования необходимо:
Необходимо проверить конфигурацию сетевых адаптеров с целью выявления установленных на скомпрометированных системах программ, используемых для просмотра и анализа сетевого трафика.
Для обнаружения в системе оставленных злоумышленником следов в виде файлов, вирусов, троянских программ, а также изменений системной конфигурации, необходимо провести антивирусное сканирование и проверку целостности файловых систем серверов ЛВС с использованием соответствующих антивирусных средств и средств контроля целостности.
Необходимо проанализировать журналы системного аудита согласно процедурам анализа при помощи специализированных и общесистемных программных средств:
Автоматическое выявление нарушений безопасности производится с помощью специализированных программных средств и методов для осуществления непрерывного мониторинга действий пользователей в реальном времени с целью обнаружения подозрительной активности. Можно выделить следующие программные средства и методы:
Базовый профиль нарушителя включает следующие сведения:
Необходимо опросить персонал с целью выяснения подробностей осуществления НСД к информации.
В случае необходимости следует связаться с независимыми консультантами или поставщиками ПО для получения помощи в диагностировании нарушений безопасности.
На основе произведенного анализа инцидента руководитель ОИБ принимает решение о целесообразности дальнейших действий. Если серьезность инцидента соответствует Уровню 5, то никаких действий предпринимать не требуется. Для Уровня 4 необходимо только задокументировать инцидент в соответствующем журнале. В случае, если серьезность инцидента соответствует Уровням 1 – 3, возможны две стратегии реагирования на нарушение безопасности. Первая стратегия заключается в том, чтобы немедленно прервать попытку НСД, защитить ИС от несанкционированных действий, ликвидировать нарушения и позволить пользователям продолжать работу с ИС. Вторая заключается в том, чтобы позволить нарушителю продолжать попытку НСД с целью осуществления мониторинга его действий.
Стратегия немедленной защиты и восстановления выбирается при следующих условиях:
Стратегия наблюдения за нарушителем и его преследования выбирается при следующих условиях:
Мониторинг действий нарушителя должен осуществляться незаметно для него. Все действия нарушителя должны регистрироваться в журнале попыток НСД с тем, чтобы собрать достаточное количество доказательств для привлечения его к ответственности.
Недостатком этого подхода является то, что нарушитель будет продолжать несанкционированные действия и существует возможность причинения ущерба и предъявления претензий со стороны клиентов Компании.
После того, как с помощью мониторинга попытки НСД будет собрано достаточное количество доказательств для привлечения нарушителя к ответственности, нужно прервать попытку НСД, оценить причиненный ущерб и, в случае необходимости, перейти к ликвидации последствий НСД, либо сразу приступить к принятию мер по привлечению нарушителя к ответственности.
Стратегия немедленного реагирования требует принятия решения относительно целесообразности временной остановки работы отдельных компонентов ИС с целью прекращения несанкционированных действий со стороны нарушителя. После того, как попытка НСД остановлена, следует переходить к ликвидации последствий инцидента.
Недостатком данного подхода является его вынужденность и связанная с этим недостаточная гибкость. Нарушитель узнает о том, что он обнаружен, и предпримет ответные действия с целью скрыть следы своей деятельности. Нарушитель также может изменить стратегию атаки на ресурсы ИС или продолжать попытку НСД к другим ресурсам, ранее не затронутым инцидентом.
Решение относительно целесообразности уведомления об инциденте пользователей ИС принимается на основании результатов анализа инцидента, исходя из политических и практических соображений, а также в зависимости от уровня серьезности инцидента. Объявление о факте удавшейся попытки НСД подрывает престиж Компании и вызывает у клиентов недоверие к ней. С другой стороны, в некоторых случаях полная ликвидация последствий НСД требует участия пользователей ИС.
В результате попытки НСД пользовательские пароли и файлы могут оказаться скомпрометированными, поэтому пользователи должны сменить свои пароли и проверить целостность своих личных файлов и каталогов. При этом им следует обратить внимание на появление новых файлов (каталогов), исчезновение старых, на изменение контрольных сумм и размеров бинарных файлов, а также на изменение содержимого текстовых файлов.
Если обнаружен компьютерный вирус, необходимо провести централизованное сканирование файловых систем на серверах ЛВС и рабочих местах пользователей в соответствии с планом проведения антивирусных мероприятий.
Восстановление данных, целостность которых была нарушена в результате осуществления несанкционированных действий, на серверах ЛВС осуществляется в соответствии с процедурой резервного копирования и восстановления данных.
Сменить все пароли на скомпрометированных системах и известить об этом пользователей.
При анализе уязвимости, ставшей причиной успешного осуществления НСД к ресурсам ИС, рассматриваются следующие вопросы:
Ликвидация уязвимостей ПО обычно осуществляется путем установки соответствующих пакетов программных коррекций либо путем перехода на другую версию ПО.
Установка пакетов программных коррекций, внесение изменений в ПО или в конфигурацию ИС осуществляются в соответствии с процедурой внесения изменений в ПО.
Необходимо воспроизвести картину осуществления НСД к ресурсам ИС и задокументировать последовательность событий.
Следует также задокументировать причину инцидента, уязвимости, которые были использованы для осуществления НСД, и последовательность мероприятий по восстановлению целостности данных и работоспособности ИС в журнале регистрации фактов нарушений информационной безопасности.
Решение этой задачи может оказаться невозможным без показаний самого нарушителя безопасности. Также может потребоваться помощь пользователей и персонала ИС.
БД - База данных
ОС - Операционная система
ПИБ - Подсистема информационной безопасности
ИС - Информационная система
ПО - Программное обеспечение
СВТ - Средства вычислительной техники
СЗИ - Средства защиты информации
НСД - Несанкционированный доступ
ОИБ - Отдел информационной безопасности
ОИТ - Отдел информационных технологий