Деякі зауваження щодо політики інформаційної безпеки (ПІБ), ПІБ для WEB-сервера

Політика інформаційної безпеки (ПІБ) має бути наочною. Це сприятиме її реалізації, усвідомленню і розумінню всіма співробітниками організації. Презентації, відеофільми, семінари, вечори запитань і відповідей, статті у внутрішніх виданнях організації збільшують наочність ПІБ. Про політику інформаційної безпеки користувачі можуть дізнатися з програми навчання в галузі комп’ютерної безпеки та через контрольні перевірки дій в тих чи інших ситуаціях. З нею слід ознайомити всіх нових співробітників організації.

ПІБ повинна мати гарантію підтримки з боку керівників відділів, особливо якщо співробітники постійно підпадають під вплив політичної інформації, директив, рекомендацій та наказів. Окрім того, ПІБ має бути узгоджена з іншими діючими директивами, законами, наказами, а також інтегрована в інші політики і узгоджена з ними, наприклад з політикою прийому на роботу. Одним із способів координації політик є їх узгодження з іншими відділами в ході розробки.

Існують ризики, пов’язані з застосуванням WWW-броузерів для пошуку і отримання інформації з Internet. Програми WEB-броузерів є надзвичайно складними і стануть ще складнішими. Чим складнішою є програма, тим вона менш безпечна. Помилки в ній дехто може використовувати для мережних атак. Програми для пошуку і перегляду інформації в Internet надаються співробітникам головним чином для більш ефективного виконання ними службових обов’язків. Усі програми, яким послуговуються для доступу до WWW, мають затверджуватися системним адміністратором і на них повинні встановлюватися всі доробки виробників (patch), пов’язані з безпекою. Усі файли, завантажені з допомогою WWW, треба перевіряти на віруси з допомогою затверджених керівництвом антивірусних програм. У всіх броузерах має бути заборонена обробка із застосуванням Java, JavaScript та ActiveX внаслідок небезпеки даних технологій. Можна застосовувати чи завантажувати тільки версії броузерів – це дозволено в організації, інші версії можуть містити віруси чи помилки. Всі WEB-броузери повинні мати таку конфігурацію, щоб застосовувати проксі-сервер для WWW із складу брандмауера. Доступ до Internet має здійснюватися тільки через HTTP-проксі. WEB-сторінки часто містять форми. Як і електронна пошта, дані, які надсилаються WEB-броузером на WEB-сервер, проходять через велику кількість проміжних комп’ютерів і мереж до того, як досягнуть свого кінцевого призначення. Будь-яка важлива інформація, яка надсилається з допомогою введення даних на WEB-сторінці, може бути перехоплена.

Велика кількість організацій підтримують зовнішні WWW-сайти, які описують їх компанію чи сервіси, – однією з форм створення іміджу та репутації компанії. З причин безпеки ці сервери часто розміщуються за брандмауером компанії. Крім того, внутрішні WEB-сайти компанії, розташовані в середині брандмауера організації, часто застосовуються для поширення внутрішньої інформації про проекти. При цьому вони є центром інформації для дослідницьких груп. Хоча такі WEB-сайти не є видимими, вони, так само, як і зовнішні сторінки, повинні адмініструватися з допомогою спеціально розроблених настанов і директив. За це повинні відповідати керівники груп. Незалежно від того, яким чином адмініструється WEB-сайт, всі користувачі, котрі виконують ці обов’язки, повинні втілювати в життя політику компанії, розроблену її керівництвом.

У рамках ПІБ існують такі правила:

- користувачам забороняється встановлювати чи запускати WEB- сервери;

- щодо WEB-сторінок треба дотримуватися встановленого в організації порядку затвердження документів, звітів, маркетингової інформації та ін.;

- WEB- сервер та будь-які дані, що є публічно доступними, мають бути розміщені за межами брандмауера організації;

- у WEB-серверів має бути така конфігурація, щоб користувачі не могли встановлювати CGI-скрипти;

- всі мережні додатки, окрім HTTP, треба відключити (SMTP, FTP тощо);

- інформаційні сервери треба помістити в захищеній підмережі для їх ізоляції від інших систем; організації, що зменшує імовірність того, що інформаційний сервер буде скомпрометовано і використано для атаки на інші системи організації;

- при застосуванні засобів адміністрування з допомогою WWW, слід обмежувати доступ до нього тільки авторизованих систем з допомогою IP- адрес, а не імен хостів; слід завжди змінювати паролі за умовчанням;

- користувачам заборонено завантажувати, встановлювати чи запускати програми WEB-серверів;

- обов’язковим є контроль мережного трафіку для виявлення неавторизованих WEB- серверів; оператори яких підлягають дисциплінарним покаранням;

- керівництво організації повинно дати в письмовій формі дозвіл на роботу WEB- сервера, підключеного до Інтернет;

- вміст WEB- серверів компанії, приєднаних до Internet, має бути затверджений і встановлений WEB- майстром;

- конфіденційна інформація не має бути доступною шляхом WEB- сайту;

- до інформації, розміщеної на WEB-сервері, можна застосувати всі закони про її захист; тому, перш ніж розміщувати інформацію в Internet, її треба переглянути й затвердити так само, як затверджуються офіційні документи організації; необхідно захистити авторські права та отримати дозвіл на публікацію інформації на WEB- сайті;

- всі публічно доступні WEB-сайти необхідно регулярно тестувати на предмет коректності посилань і не переводити їх в стан «under construction», під час реконструкції областей вони мають ставати недоступними;

- не має бути засобів віддаленого управління WEB- сервером, тобто місць, відмінних від консолі; усі дії адміністратор повинен виконувати тільки з консолі; вхід до системи з віддаленого терміналу з правами суперкористувача треба заборонити;

- програми WEB- серверів та операційної системи, під управлінням якої працює WEB- сервер, мають містити всі виправлення, рекомендовані виробником для цієї версії;

- вхідний трафік HTTP слід сканувати, а про випадки появи неавторизованих серверів – доповідати;

- обмеження доступу до інформації користувачами, адреса яких закінчується на.GOV чи.COM, забезпечує мінімальний захист для інформації, дозволеної для спільного показу; можна використовувати окремий сервер чи окрему частину для інформації з обмеженим доступом;

- за всіма WEB-сайтами треба здійснювати контроль як складову частина адміністрування мережі; дії всіх користувачів, запідозрюваних у некоректному застосуванні Internet, можуть бути запротокольовані для обґрунтування застосування до них надалі адміністративних санкцій;

- на UNIX- системах WEB-сервери не треба запускати з правами суперкористувача;

- розробка та застосування CGI- скриптів підлягають контролю, CGI- скрипти не повинні обробляти дані без їх перевірки; будь-які зовнішні програми, які запускаються з параметрами в командній стрічці, не повинні містити мета-символів; розробники відповідають за застосування правильних регулярних виразів для сканування мета символів командного процесору та їх видалення перед передачею вхідних програм на сервері в операційній системі;

- усі WWW-сервери організації, підключені до Internet, мають міститися між брандмауером та внутрішньою мережею організації; будь-які внутрішні WWW- сервери організації, які забезпечують роботу критичних додатків організації, мають бути захищені внутрішніми брандмауерами; критична, конфіденційна і персональну інформацію не треба зберігати на зовнішньому WWW- сервері.

Концепція забезпечення інформаційної безпеки в ІС містить:

- загальну характеристику об’єкта захисту, опис складу, функцій та існуючої технології обробки даних у типовій ІС;

- формулювання цілей створення системи захисту, основних завдань забезпечення інформаційної безпеки та шляхів досягнення цілей і розв’язання завдань;

- перелік типових загроз інформаційній безпеці та можливих шляхів їх реалізації, неформальна модель імовірних порушників;

- основні принципи і підходи до побудови системи забезпечення інформаційної безпеки, заходи, методи й засоби досягнення цілей захисту.

«План захисту» від несанкціонованого доступу до інформації та незаконного втручання в процес функціонування ІС містить:

- визначення цілей, завдань захисту інформації в ІС та основних шляхів їх досягнення і розв’язання;

- вимоги до організації та проведення робіт із захисту інформації в ІС;

- опис заходів і вживаних засобів захисту від загроз, що розглядаються, загальних вимог до надбудов застосовуваних засобів захисту інформації від НСД;

- розподіл відповідальності за реалізацію «Плану захисту ІС» між посадовими особами та структурними підрозділами організації.

«Положення про категоріювання ресурсів ІС» містить:

- формулювання цілей введення класифікації ресурсів (АРМ, завдань, інформації, каналів передачі) за ступенями (категоріями) захищеності;

- пропозиції щодо чисельності і назв категорій ресурсів, які підлягають захисту, та критерії класифікації ресурсів за потрібними ступенями захищеності (категоріям);

- визначення заходів і засобів захисту інформації, обов’язкових і рекомендованих до застосування на АРМ різних категорій;

- загальні положення, спеціальні терміни і визначення, які трапляються в документі;

- зразок формуляра ЕОМ (для обліку потрібного ступеня захищеності (категорії), комплектації, конфігурації та переліку розв’язуваних на ЕОМ задач);

- зразок формуляру розв’язуваних на ЕОМ функціональних завдань (для врахування їх характеристик, категорій користувачів завдань та їхніх прав доступу до інформаційних ресурсів цих задач).

«Порядок обходження з інформацією, яка підлягає захисту» містить:

- визначення основних типів відомостей, інформаційних ресурсів (конфіденційних), які підлягають захисту;

- загальні питання організації обліку, зберігання і знищення документів і магнітних носіїв конфіденційної інформації;

- порядок передачі (надання) конфіденційних відомостей третім особам;

- визначення відповідальності за порушення встановлених правил обходження з інформацією, які підлягають захисту;

- форму типової Угоди (зобов’язання) співробітника організації про дотримання вимог обходження з інформацією, яка підлягає захисту.

«План забезпечення безперервної роботи та поновлення» містить:

- загальні положення (призначення документа);

- класифікація можливих (значущих) кризових ситуацій і зазначення джерел отримання інформації про виникнення кризової ситуації;

- перелік основних заходів і засобів забезпечення неперервності процесу функціонування ІС та своєчасності поновлення її працездатності;

- загальні вимоги до підсистеми забезпечення неперервної роботи й поновлення;

- типові форми для планування резервування ресурсів підсистем ІС та визначення конкретних заходів і засобів забезпечення їх безперервної роботи та поновлення;

- порядок дій і обов’язки персоналу із забезпечення неперервної роботи і поновлення працездатності системи.

«Положення про відділ технічного захисту інформації» містить:

- загальні положення, про керівництво відділом;

- основні завдання та функції відділу;

- права і обов’язки начальника та співробітників відділу, відповідальність;

- типову організаційно-штатну структуру відділу.

«Обов’язки адміністратора інформаційної безпеки підрозділу» містять:

- основні права та обов’язки з підтримання потрібного режиму безпеки;

- відповідальність за реалізацію прийнятої політики безпеки в межах своєї компетенції.

«Пам’ятка користувачеві» визначає загальні обов’язки співробітників підрозділів у роботі із засобами ІС та відповідальність за порушення встановленого порядку.

«Інструкція із внесення змін до списків користувачів» визначає процедуру реєстрації, надання або зміни прав доступу користувачів до ресурсів ІС.

«Інструкція з модифікації технічних і програмних засобів» регламентує взаємодію підрозділів Організації із забезпечення безпеки інформації під час проведення модифікацій програмного забезпечення і технічного обслуговування засобів обчислювальної техніки.

«Інструкція з організації парольного захисту» регламентує організаційно-технічне забезпечення процесу генерації, зміни і припинення дій паролів (видалення облікових записів користувачів) в автоматизованій системі Організації, а також контроль за діями користувачів і обслуговуючого персоналу у роботі з паролями.

«Інструкція з організації антивірусного захисту» містить;

- вимоги до закупівлі, встановлення антивірусного програмного забезпечення;

- порядок застосування засобів антивірусного захисту, регламенти здійснення перевірок та дій персоналу в разі виявленні вірусів;

- розподіл відповідальності за організацію та здійснення антивірусного контролю

«Інструкція з роботи з ключовими дискетами (ключами шифрування)» містить:

- порядок виготовлення, роботи, зберігання ключових дискет та знищення ключової інформації;

- обов’язки і відповідальність співробітників з застосування та зберігання ключової інформації;

- форми журналів обліку ключових дискет;

- порядок дії персоналу в разі втрати, псування ключової дискети, компрометації ключової інформації.