Разграничение прав доступа к сетевым ресурсам, программному обеспечению и системам хранения данных

· Для входа в компьютерную сеть «Ин Техно» сотрудник должен ввести имя и пароль. Не допускается режимы беcпарольного (гостевого) доступа к какой-либо информации

· Разграничение прав доступа к сетевым ресурсам, программному обеспечению и системам хранения данных решается с использованием сетевой операционной системы и механизма безопасности Active Directory:

· Пользователи разделены на группы.

· Каждой группе присвоен свой уровень доступа к ресурсам.

· Подключения пользователей к локальной сети ООО «Ин Техно» заносятся в журнал событий операционной системы, причем при входе в сеть записывается IP-адрес рабочей станции, с которой произведен этот вход

· Если пользователь отлучается с рабочего места, его экран блокируется.

· Для доступа в АС требуется дополнительно имя пользователя и пароль, которые устанавливаются администратором АС.

· При работе с АС имя пользователя и пароль должны быть отличны от имени пользователя и пароля при входе в общую компьютерную сеть «Ин Техно». Пароль должен быть не менее шести символов. Категорически запрещается сообщать свой пароль другим лицам, а также пользоваться чужими паролями. Все действия пользователя, работающего с АС протоколируются. Журнал операций хранится не менее трех месяцев

· Для доступа к Diasoft Custody 5NT и другим прикладным системам производится дополнительная аутентификация по имени пользователя и паролю

· Защищенность внутренних ресурсов сети от вмешательства извне

· Внутренняя сеть ООО «Ин Техно» представляет собой физически изолированный сегмент. Подключение USB-устройств контролируется на уровне драйвера путем привязки к конкретному устройству через его серийный номер.

· Защищенность Интернет-сегмента сети ООО «Ин Техно» базируется на системе межсетевого экрана (CheckPoint Firewall):

· Правила и политики, которые разрешают или запрещают прохождение запросов извне в Интернет-сегмент ООО «Ин Техно» и наоборот.

· Маршрутизация, позволяющая направлять и перенаправлять необходимые запросы на требуемые узлы в сети или Интернете.

· Средства мониторинга, анализирующие весь входящий трафик и имеющие в себе информацию об известных уже вредоносных атаках, прерывающие такие попытки.

· Вся информация о входящих и исходящих запросах, работе правил, политик и маршрутизации заносятся в журнал, где подвергаются еженедельному контролю ответственным лицом

· Управление доступом и регистрацией в АС

· Система управления доступом в АС построена на распределении пользователей по группам. Используются следующие группы (в порядке уменьшения прав учетной записи на объекты системы):

· Заместитель генерального директора

· Главный бухгалтер

· Начальник отдела

· Каждому пользователю на основании внутренних документов, утвержденных и подписанных руководством ООО «Ин Техно», присваивается учетная запись и выдаются реквизиты доступа к АС - имя пользователя и пароль. Эти реквизиты сотрудник обязан сохранять в тайне.

· Все действия пользователей в АС журналируются. На основе записей в журнале при необходимости восстанавливается информация о действиях пользователя в системе.

· Все изменения, вносимые в АС персоналом ИТ-департамента, ответственным за поддержку системы, документируются путем составления комментариев в коде в соответствии с принятым RS Softlab стандартом.

· Действия по созданию учетной записи пользователя АС выполняются независимо специалистами двух отделов – специалиста департамента информационных технологий и специалиста отдела сопровождения продукции. Не существует сотрудника, который мог бы единолично все действия по регистрации новой учетной записи.

· Управление доступом и регистрацией в Diasoft 5NT

· Система управления доступом в Diasoft Custody 5NT построена на распределении пользователей по группам. Используются следующие группы (в порядке уменьшения прав учетной записи на объекты системы):

· Администратор

· Начальник отдела

· Пользователь

· Каждому пользователю на основании внутренних документов, подписанных руководством ООО «Ин Техно», присваивается учетная запись и выдаются реквизиты доступа - имя пользователя и пароль. Эти реквизиты сотрудник обязан сохранять в тайне.

· Управление доступом к телекоммуникационному оборудованию и УПАТС

· Физический доступ к специальным помещениям, в которых установлено телекоммуникационное оборудование, защищен с помощью системы контроля доступа на основе пропусков, находящейся в ведении Альба Секьюрити

· Разрешение на внесение в пропуск данных с разрешением на доступ к АТС дает Президент ООО «Ин Техно». Технически программирование пропусков осуществляет Альба Секьюрити

· Разграничение прав доступа на разделяемые сетевые ресурсы

· Права доступа на разделяемые сетевые ресурсы устанавливает системный администратор (сотрудник департамента информационных технологий) в соответствии с заявкой или служебной запиской, подписанной президентом ООО «Ин Техно».

· При необходимости на определенные разделяемые сетевые ресурсы устанавливается дополнительный аудит.

· В системе прав доступа Windows 2003 AD владельцем ресурсов является пользователь Администратор так, что сотрудник не может создать файл, к которому будут иметь доступ только он

· Если возникает необходимость иметь файлы, к которым не должен иметь доступ администратор, применяются внешние носители с разрешения руководства «Ин Техно».

· Использование ресурсов Интернет

· Ресурсы сети Интернет в ООО «Ин Техно» используются в следующих целях:

· для ведения дистанционного банковского обслуживания

· для получения и распространения информации

· для информационно-аналитической работы в интересах организации

· для обмена почтовыми сообщениями исключительно с внешними организациями

· ведения собственной хозяйственной деятельности

Иное использование ресурсов сети Интернет, решение о котором не принято руководством организации в установленном порядке, рассматривается как нарушение информационной безопасности.

При работе с сетью ИНТЕРНЕТ сотрудникам запрещено:

· Скачивать и устанавливать на компьютер программное обеспечение.

· Посещать ресурсы, не имеющие непосредственного отношения к работе и служебным обязанностям.

· Осуществлять подписку на рассылку информации непроизводственного характера.

· Сообщать адрес электронной почты в непроизводственных целях.

· Пользоваться различными Интернет-пейджерами.

· Использовать Интернет для получения материальной выгоды или непроизводственных целях, в том числе осуществляя торговлю через Интернет

В связи с повышенными рисками информационной безопасности при взаимодействии с сетью Интернет применяются соответствующие средства защиты информации (межсетевые экраны, антивирусные средства), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии. Локальная сеть организации, где функционирует АС и находятся основные документы, выделена физически и не подключена к сети Интернет.

· Полномочия пользователей на рабочих станциях, подключенных к сети Интернет, ограничены групповыми политиками безопасности домена

· Подробности технической реализации межсетевых экранов, антивирусных средств и групповых политик на рабочих станциях пользователей, описаны в отдельных документах

· Почтовый обмен через сеть Интернет должен осуществляться с использованием защитных мер.

· Электронная почта архивируется. Архив доступен только подразделению, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива ограничен..

· При взаимодействии с сетью Интернет обеспечивается противодействие атакам хакеров и распространению спама.

· Порядок подключения и использования ресурсов сети Интернет в ООО «Ин Техно» контролируется руководителем департамента информационных технологий. Для любого подключения и использования сети Интернет необходима санкция руководства функционального подразделения ООО «Ин Техно»

· Использование средств криптографической защиты информации

· Используемые в ООО «Ин Техно» средства криптографической защиты информации поставляются при установке внешних торговых и расчетных систем (депозитарии, SWIFT, МЦИ) с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней

· Правила хранения ключевых носителей и работы с ними установлены приказом Президента ООО «Ин Техно». Эти Правила устанавливают строгий регламент использования ключей, предполагающий контроль со стороны администратора информационной безопасности за действиями пользователя на всех этапах работы с ключевой информацией (получение ключевого носителя, ввод ключей, использование ключей и сдача ключевого носителя);

· Средства криптографической защиты информации, используемые в ООО «Ин Техно» реализованы на основе алгоритмов, соответствующих национальным стандартам РФ или условиям договора с контрагентом.

· Средства криптографической защиты информации, используемые в ООО «Ин Техно», не содержат требований к ЭВМ по специальной проверке на отсутствие закладных устройств и не требуют дополнительной защиты от утечки по побочным каналам электромагнитного излучения, за исключением отдельных оговоренных в технической документации и Договорах случаев.

· Информационная безопасность процесса изготовления ключевых носителей СКЗИ гарантируется владельцем систем, в которых используются эти СКЗИ

· Внутренний порядок применения СКЗИ в ООО «Ин Техно» определяется владельцем систем, в которых используются эти СКЗИ, и руководством организации и включает:

· порядок ввода в действие

· порядок эксплуатации

· порядок восстановления работоспособности в аварийных случаях

· порядок внесения изменений

· порядок снятия с эксплуатации

· порядок управления ключевой системой (осуществляется владельцем системы)

· порядок обращения с носителями ключевой информации

· Защита серверов и рабочих станций пользователей локальной сети от доступа извне и заражения вирусами

· Антивирусная защита строится на основе комплексного многоуровневого подхода. Комплексная антивирусная защита обеспечивается применением нескольких антивирусных пакетов на разных уровнях.

· Время обновления в зависимости от конфигурации составляет от 1 часа до 1-х суток.

· Самостоятельное удаление и отключение антивирусов пользователями технически невозможно.

· Антивирусная защита рабочих станций строится на основе комплексного подхода. Комплексная антивирусная защита рабочих станций обеспечивается

· применением антивирусного пакета на рабочих станциях конечных пользователей

· базы данных о вирусах обновляются ежедневно, причем пользователь не может отказаться от обновления антивирусных баз

· все файлы, к которым обращается операционная система при работе, проверяются антивирусным программным обеспечением «на лету»

· все файлы электронной почты перед попаданием на рабочую станцию предварительно проверяются потоковым антивирусом Trend Micro

· Антивирусная защита серверов строится на основе комплексного многоуровневого подхода. Комплексная антивирусная защита серверов обеспечивается применением антивирусного пакета

· Антивирусная защита межсетевых экранов, прокси-серверов и электронной почты строится на основе комплексного многоуровневого подхода. Комплексная антивирусная защита обеспечивается применением антивирусных пакетов Trend Micro

· Защита серверов от доступа извне осуществляется:

· Средствами ограничения доступа на маршрутизаторах

· Средствами защиты межсетевого экрана CheckPoint Express NG R55. Конфигурация межсетевого экрана выполнена в соответствии с международным стандартом безопасности информационных систем ISO 17799 и подробно документирована

· Средствами максимально подробного мониторинга трафика собственной разработки, позволяющими записать и проанализировать весь трафик взаимодействия между серверами и внешним Интернет-адресами

· Выделением наиболее важных серверов, включая АБС, в физически отдельную, не соединенную с Интернет локальную сеть

· Защита пользовательских станций от доступа извне осуществляется:

· Средствами ограничения доступа на маршрутизаторах

· Аппаратным включением DEP на рабочих станциях, поддерживающими такую функциональность

· Настройкой персонального межсетевого экрана

· Средствами доменных групповых политик, ограничивающих возможности пользователей по запуску приложений и построенных по принципу запрета запуска приложений из тех каталогов, куда пользователю разрешена запись

· Дублирование, резервирование и раздельное хранение конфиденциальной информации

· По расписанию ежедневно автоматически выполняются процедуры резервного копирования информации с дисков серверов, включая резервное копирование

· Резервные копии хранятся на отдельных устройствах не в помещении серверной, но в здании «Ин Техно».

· Доступ к резервным копиям имеет ограниченный список авторизованных лиц

· Изменения в резервных копиях не допускаются

· Обеспечение бесперебойного функционирования информационных систем «Ин Техно»

· Бесперебойность функционирования информационных систем «Ин Техно» обеспечивается дублированием ключевых систем, разработкой комплекса мероприятий по устранению аварийных ситуаций и тренингом ИТ-персонала по выполнению этих мер

· Резервированием ключевой информации и хранением ее в отдельных помещениях

· Резервированием каналов связи в ключевых системах

· Сопровождением фирм-разработчиков автоматизированных систем и приложений

· Наличием документации разработчика, содержащей описание защитных мер, предпринятых разработчиком АС, и их компонентов относительно безопасности разработки, безопасности поставки и эксплуатации, поддержки жизненного цикла, включая описание модели жизненного цикла, оценки уязвимости.

Заключение

Политика информационной безопасности описывает цели, задачи и определяет совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется «Ин Техно» в своей деятельности

Требования ИБ должны определять содержание и цели деятельности «Ин Техно» в рамках процессов управления ИБ

Детали реализации отдельных пунктов Политики содержатся во внутренних документах «Ин Техно»

Лица, ответственные за реализацию политики ИБ и поддержание ее в актуальном состоянии, назначаются приказом Генерального директора «Ин Техно».