В. Н. Ясенев Информационная безопасность в экономических системах
| Вид материала | Учебное пособие |
- Рабочая программа По дисциплине «Метрология и электрорадиоизмерения в телекоммуникационных, 122.77kb.
- Язык программирования, 22.23kb.
- Информационная безопасность специальных технических зданий при электромагнитных воздействиях, 489.59kb.
- Нейрокомпьютерные системы, 22.98kb.
- К рабочей программе учебной дисциплины «Безопасность систем баз данных», 28.21kb.
- 090303. 65 Информационная безопасность автоматизированных систем, 33.45kb.
- Учебная программа Дисциплины б19 «Измерения в телекоммуникационных системах» по специальности, 112.09kb.
- Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных, 3940.4kb.
- Программа вступительного испытания (собеседование/устный экзамен) по дисциплинам «Информационная, 30.7kb.
- Государственный образовательный стандарт высшего профессионального образования специальность:, 571.04kb.
Приложение 9
Инструкция о порядке действий в нештатных ситуациях
Общие положения
[min] Настоящая инструкция предназначена для организации порядка действий при возникновении нештатных ситуаций.
[min] Инструкция регламентирует действия персонала подразделений при возникновении нештатных ситуаций.
Инструкция разработана на основе (указать документы, в том числе по пожарной безопасности и гражданской обороне, соответственно включить оттуда разделы).
Общий порядок действий при возникновении нештатных ситуаций
[min] При возникновении нештатных ситуаций во время работы ЭВМ сотрудник, обнаруживший нештатную ситуацию немедленно ставит в известность своего администратора информационной безопасности.
[min] Администратор информационной безопасности проводит предварительный анализ ситуации и, в случае невозможности исправить положение, ставит в известность своего начальника и вызывает сотрудника (указать, например, отдела информатизации или отдела технической зашиты информации) подразделения банка для дальнейших действий.
[MAX] По факту возникновения нештатной ситуации составляется акт, с описанием ситуации. К акту прилагаются, если есть, поясняющие материалы (копии экрана, распечатка журнала событий и др.)
[MAX] При необходимости, проводится служебное расследование по факту возникновения нештатной ситуации и выяснению ее причин.
[MAX] Особенности действий при возникновении наиболее распространенных нештатных ситуаций.
Сбой программного обеспечения. Администратор информационной безопасности совместно с сотрудником (указать) отдела выясняют причину сбоя ПО. Если исправить ошибку своими силами (в том числе после консультации с разработчиками ПО) не удалось, копия акта и сопроводительных материалов (а так же файлов, если это необходимо) направляются разработчику ПО.
Отключение электричества. Администратор информационной безопасности совместно с сотрудником (указать) отдела проводят анализ на наличие потерь и (или) разрушения данных и ПО, а так же проверяют работоспособность оборудования. В случае необходимости, производится восстановление ПО и данных из последней резервной копии с составлением акта.
Сбой в локальной вычислительной сети (ЛВС). Администратор информационной безопасности совместно с сотрудником (указать) отдела проводят анализ на наличие потерь и (или) разрушения данных и ПО. В случае необходимости, производится восстановление ПО и данных из последней резервной копии с составлением акта.
Выход из строя сервера. Сотрудник, ответственный за эксплуатацию сервера, совместно с (указать) проводит меры по немедленному вводу в действие резервного сервера для обеспечения непрерывной работы банка. При необходимости производятся работы по восстановлению ПО и данных из резервных копий с составлением акта.
Потеря данных. При обнаружении потери данных администратор информационной безопасности совместно с (указать) проводят мероприятия по поиску и устранению причин потери данных (антивирусная проверка, целостность и работоспособность ПО, целостность и работоспособность оборудования и др.). При необходимости, производится восстановление ПО и данных из резервных копий с составлением акта.
Обнаружен вирус. При обнаружении вируса производится локализация вируса с целью предотвращения его дальнейшего распространения, для чего следует физически отсоединить «зараженный» компьютер от ЛВС и провести анализ состояния компьютера. Анализ проводится компетентным в этой области сотрудником. Результатом анализа может быть попытка сохранения (спасения данных), так как после перезагрузки ЭВМ данные могут быть уже потеряны. После успешной ликвидации вируса, сохраненные данные также необходимо подвергнуть проверке на наличие вируса. При обнаружении вируса следует руководствоваться «Инструкцией по организации антивирусной защиты», инструкцией по эксплуатации применяемого антивирусного ПО. После ликвидации вируса необходимо провести внеочередную антивирусную проверку на всех ЭВМ банка с применением обновленных антивирусных баз. При необходимости производится восстановление ПО и данных из резервных копий с составлением акта. Проводится служебное расследование по факту появления вируса в ЭВМ (ЛВС) банка.
Обнаружена утечка информации (дырка в системе защиты). При обнаружении утечки информации ставится в известность администратор информационной безопасности и начальник подразделения. Проводится служебное расследование. Если утечка информации произошла по техническим причинам, проводится анализ защищенности системы и, если необходимо, принимаются меры по устранению уязвимостей и предотвращению их возникновения.
Взлом системы (Web-сервера, файл-сервера и др.) или несанкционированный доступ (НСД). При обнаружении взлома сервера ставится в известность администратор информационной безопасности и начальник подразделения. Проводится, по возможности, временное отключение сервера от сети для проверки на вирусы и троянских закладок. Возможен временный переход на резервный сервер. Учитывая, что программные закладки могут быть не обнаружены антивирусным ПО, следует особенно тщательно проверить целостность исполняемых файлов в соответствии с хэш-функциями эталонного программного обеспечения, а также проанализировать состояние файлов-скриптов и журналы сервера. Необходимо сменить все пароли, которые имели отношение к данному серверу. В случае необходимости производится восстановление ПО и данных из эталонного архива и резервных копий с составлением акта. По результатам анализа ситуации следует проверить вероятность проникновения несанкционированных программ в ЛВС банка, после чего провести аналогичные работы по проверке и восстановлению ПО и данных на других ЭВМ банка. По факту взлома сервера проводится служебное расследование.
Попытка несанкционированного доступа (НСД). При попытке НСД проводится анализ ситуации на основе информации журналов регистрации попыток НСД и предыдущих попыток НСД. По результатам анализа, в случае необходимости, принимаются меры по предотвращению НСД, если есть реальная угроза НСД. Так же рекомендуется провести внеплановую смену паролей. В случае появления обновлений ПО, устраняющих уязвимости системы безопасности, следует применить такие обновления.
Компрометация ключей. При компрометации ключей следует руководствоваться инструкциями к применяемой системе криптозащиты.
Компрометация пароля. При компрометации пароля необходимо немедленно сменить пароль, проанализировать ситуацию на наличие последствий компрометации и принять необходимые меры по минимизации возможного (или нанесенного) ущерба (блокирование счетов пользователей и т.д.). При необходимости, проводится служебное расследование.
Физическое повреждение ЛВС или ПЭВМ. Ставится в известность администратор информационной безопасности. Проводится анализ на утечку или повреждение информации. Определяется причина повреждения ЛВС или ПЭВМ и возможные угрозы безопасности информации. В случае возникновения подозрения на целенаправленный вывод оборудования из строя проводится служебное расследование. Проводится проверка ПО на наличие вредоносных программ-закладок, целостность ПО и данных. Проводится анализ электронных журналов. При необходимости проводятся меры по восстановлению ПО и данных из резервных копий с составлением акта.
Стихийное бедствие. При возникновении стихийных бедствий следует руководствоваться документами (указать) для соответствующих подразделений банка.
Профилактика против возникновения нештатных ситуаций
[min] Отделом технической защиты информации (или указать) периодически, не реже (указать период), должен проводится анализ зарегистрированных нештатных ситуаций для выработки мероприятий по их предотвращению.
[min] В общем случае, для предотвращения нештатных ситуаций необходимо четкое соблюдение требований нормативных документов банка и инструкций по эксплуатации оборудования и ПО.
[MAX] Ниже приведены рекомендации по предотвращению некоторых типичных нештатных ситуаций.
Сбой программного обеспечения. Применять лицензионное ПО, регулярно проводить антивирусный контроль и профилактические работы на ЭВМ (проверка диска и др.)
Отключение электричества. Использовать источники бесперебойного питания на ответственных (а лучше - на всех) технологических участках банка. Разработать инструкцию по аварийному переходу на резервный источник питания (если такой имеется в наличии) или аварийному завершению работы и сохранению данных. Желательно иметь в наличии резервный источник электроэнергии (дизель-генератор и др.)
Сбой ЛВС. Обеспечение бесперебойной работы ЛВС путем применения надежных сетевых технологий и резервных систем.
Выход из строя сервера. Применять надежные программно-технические средства, продуманную политику администрирования. Допускать к работе с серверным оборудованием только квалифицированных специалистов.
Потеря данных. Периодически проводить анализ системных журналов работы ПО с целью выяснения «узких» мест в технологии и возможной утечки (или потери) информации. Проводить с администраторами информационной безопасности (и сотрудниками) разъяснительные и обучающие собрания. Обеспечить комплексную защиту информации в банке.
Обнаружен вирус. Соблюдать требования «Инструкции по организации антивирусной защиты».
Обнаружена утечка информации (дырка в системе защиты). Применять обновления ПО по устранению программных «дыр» в системе защиты по мере их появления (обнаружения). Построить комплексную систему защиты информации в банке. Регулярно проводить анализ журналов попыток НСД и совершенствование системы защиты информации. Также См. «Потеря данных»
Взлом системы (Web-сервера, файл-сервера и др.) или несанкционированный доступ (НСД). См. «Обнаружена утечка информации (дырка в системе защиты)».
Попытка несанкционированного доступа (НСД). По возможности, установить регистрацию попыток НСД на всех технологических участках, где возможен несанкционированный доступ, с оповещением Администратора информационной безопасности о попытках НСД.
Компрометация ключей. Соблюдать требования «Инструкции по обращению с ключевыми материалами шифрования и ЭЦП».
Компрометация паролей. Соблюдать требования «Инструкции по организации парольной защиты».
Физическое повреждение ЛВС или ПЭВМ. Физическая защита компонентов сети (серверов, маршрутизаторов и др.), ограничение доступа к ним. С также «Сбой ЛВС».
Стихийное бедствие. Проводить обучающие собрания и тренировки персонала банка по вопросам гражданской обороны.
Инструкция по работе с эталонным программным обеспечением (ПО)
Порядок получения ПО от разработчика
[min] Все программное обеспечение (ПО), получаемое от разработчика должно быть подвергнуто антивирусной проверке.
[min] С полученного ПО необходимо изготовить рабочие копии, которые будут использоваться для установки и работы ПО. Исключения составляют носители информации, с которых невозможно изготовить копии по причине их защиты от копирования или невозможности изготовления копии.
[min] Носители информации оригинала (эталона), и копий ПО должны быть маркированы и учтены в подразделении (указать) банка.
[MAX] С эталона ПО необходимо снять значения хеш-функций для контроля целостности информации и зафиксировать эти значения в акте приема-передачи и формуляре носителей ПО.
[MAX] Для получения хеш-функций применяется программа CRC.EXE из состава операционной системы PC DOS 7.0 (или указать программу).
[min] С поступающими обновлениями ПО, в процессе его сопровождения разработчиком, необходимо поступать так же, как и с первоначальной версией ПО.
Проверка целостности эталонного ПО
[MAX] Перед повторным созданием рабочих копий необходимо проверить значения хеш-функций эталонного ПО для подтверждения его целостности.
Хранение эталонного ПО
[min] Эталонное ПО должно храниться в специально предназначенном для этой цели месте. Место хранения эталонного ПО должно исключать возможность резких перепадов температур, влияние сильных электромагнитных полей, прямых солнечных лучей, а также других явлений, способных привести к разрушению эталонной информации и (или) ее носителей.
[MAX] Эталонное ПО должно храниться на маркированных учтенных носителях информации. На каждый носитель информации должен быть составлен формуляр с описанием содержимого носителя информации. Формуляр должен содержать следующую информацию: наименование ПО, состав ПО и его хеш-функции, ФИО лица, производящего проверку и регистрацию ПО, дату регистрации ПО.
[min] Носители информации, для хранения эталонного ПО должны быть переведены с состояние «только чтение» или «защита от записи», если иное не предусмотрено документацией на ПО.
[min] Документация по установке эталонного ПО должна храниться вместе с ним.
Установка ПО
[min] Установка и настройка ПО производится только с рабочих копий ПО, за исключением случаев, когда изготовление копий невозможно.
[MAX] Установка (изменение) программного обеспечения компьютеров и локальной вычислительной сети должна осуществляться только в присутствии и под контролем администратора информационной безопасности (АИБ) того технологического участка, в котором эксплуатируется данное программное обеспечение.
[MAX] Установка ПО производится с составлением акта установки.
Обновление ПО
[min] Обновление ПО производится в соответствии с сопроводительной документацией на пакет обновления и регистрируется в специальном журнале изменения ПО.
Положение об администраторах информационной безопасности (АИБ)
Общие положения
Настоящее Положение определяет задачи, функции, обязанности, права и ответственность администратора информационной безопасности (АИБ).
[MAX] АИБ назначается Приказом по банку из числа сотрудников, задействованных на данном технологическом участке (отдел информатизации, РКЦ, и др.). Технологический участок, на котором назначается АИБ должен быть четко определен в Приказе.
[MAX] АИБ подчиняется руководителю подразделения, в котором он состоит.
[min] АИБ в своей работе руководствуется настоящим Положением и другими нормативными документами банка (перечислить).
[min] Инструктивно-методическое руководство деятельностью АИБ осуществляется Отделом технической защиты информации (ОТЗИ) банка (или указать др.)
[min] АИБ в пределах своих функциональных обязанностей обеспечивает безопасность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники в своем подразделении.
[min] АИБ устанавливается надбавка к заработной плате в размере до (указать).
Основные задачи и функции администратора информационной безопасности
Основными задачами АИБ являются:
[min] Организация эксплуатации технических и программных средств защиты информации.
[min] Текущий контроль работы средств и систем защиты информации.
[MAX] Контроль за работой пользователей автоматизированных систем, выявление и регистрация попыток несанкционированного доступа (НСД) к автоматизированным системам и защищаемым информационным ресурсам.
[MAX] Организация и контроль резервного копирования в подразделении.
АИБ выполняет следующие основные функции:
[min] Обеспечение функционирования средств и систем защиты информации в пределах инструктивно-методических документов (указать).
[min] Обучение персонала и пользователей вычислительной техники правилам безопасной обработки информации и правилам работы со средствами защиты информации.
[MAX] Обучение персонала и пользователей вычислительной техники правилам безопасной обработки, передачи и хранения информации при помощи автоматизированных систем.
[min] Участие в проведении служебных расследований, фактов нарушения или угрозы нарушения безопасности защищаемой информации.
[min] Организация антивирусного контроля магнитных носителей информации и файлов электронной почты, поступающих из других подразделений и сторонних организаций.
[min] Текущий контроль работоспособности и эффективности функционирования эксплуатируемых программных и технических средств защиты информации.
[MAX] Текущий контроль технологического процесса автоматизированной обработки информации ограниченного распространения и электронных платежных документов.
[min] Организация учета и хранения носителей электронных ключей с грифом "Для служебного пользования", используемых в технологии обработки защищаемой информации.
[min] Текущий контроль за соблюдением требований инструкций и положений при эксплуатации средств и систем защиты информации.
[MAX] Контроль целостности эксплуатируемого на средствах вычислительной техники программного обеспечения с целью выявления несанкционированных изменений в нем.
[min] Контроль за санкционированным изменением ПО, заменой и ремонтом средств вычислительной техники на своем технологическом участке.
Обязанности администратора информационной безопасности
[min] Обеспечивать функционирование и поддерживать работоспособность средств и систем защиты информации в пределах возложенных на него обязанностей.
[min] Немедленно докладывать непосредственному начальнику, а в его отсутствии начальнику (указать), о выявленных нарушениях и несанкционированных действиях пользователей и персонала, а также принимать необходимые меры по устранению нарушений.
[min] Совместно со специалистами ОТЗИ принимать меры по восстановлению работоспособности средств и систем защиты информации.
[min] Проводить инструктаж обслуживающего персонала и пользователей средств вычислительной техники по правилам работы с используемыми средствами и системами защиты информации.
Права администратора информационной безопасности
[min] Требовать от пользователей банковских автоматизированных систем безусловного соблюдения установленной технологии и выполнения инструкций по обеспечению безопасности и защиты информации, содержащей сведения ограниченного распространения и электронных платежей.
[min] Вносить предложения и требовать прекращения обработки информации в случаях нарушения установленной технологии обработки защищаемой информации или нарушения функционирования средств и систем защиты информации.
[MAX] Обращаться в ОТЗИ с просьбой об оказании технической и методической помощи в работе по обеспечению технической защиты информации.
[MAX] Готовить предложения в ОТЗИ по совершенствованию используемых систем защиты информации и отдельных их компонентов.
Ответственность администратора информационной безопасности
[min] На АИБ возлагается персональная ответственность за качество проводимых им работ по обеспечению защиты информации в соответствии с функциональными обязанностями, определенными в настоящем Положении.
[MAX] АИБ несет ответственность по действующему законодательству за разглашение сведений, составляющих государственную тайну и сведения ограниченного распространения, ставших известными ему в соответствии с родом работы.
Инструкция о резервном копировании информации
Периодичность резервного копирования данных
[min] Резервное копирование данных должно производиться в соответствии с графиком резервного копирования.
[min] График резервного копирования должен быть составлен для каждого вида информации, подлежащей периодическому резервному копированию и утвержден (начальником структурного подразделения).
[min] Для каждого вида информации в соответствии с графиком резервного копирования должны быть назначены лица, ответственные за резервное копирование данной информации.
Порядок резервного копирования данных
[min] Резервное копирование информации производится в соответствии с документацией на используемое программное обеспечение.
[MAX] (дописать свои пункты).
Хранение резервных копий данных
[min] Резервные копии данных должны храниться вместе с инструкцией по восстановлению данных из резервных копий.
[min] Хранение резервных копий должно быть организовано в отдельном помещении (или комнате) от используемых данных.
[MAX] (дописать свои пункты).
Восстановления ПО и данных после сбоя
[min] Восстановление ПО из резервной копии производится в соответствии с документацией на используемое программное обеспечение с составлением акта.
[MAX] (дописать свои пункты).