12.3. Організація захисту інформації у фінансових установах

Сучасні інформаційні технології потребують організації високого рівня захисту даних. Колективне користування інформаційними ресурсами вимагає чіткої постановки задачі захисту окремих папок та файлів та мережевих ресурсів взагалі від несанкціонованого втручання інфор­маційних зловмисників, вірусів та небезпечних програм. Найважливішим етапом на цьому рівні є фізичний захист самого інформаційного ресурсу. Якщо ж на такому ресурсі зберігаються конфіденційні дані, вони повинні знаходитися у безпечному місці.

Суть інформаційної безпеки - забезпечити безперебійну роботу організації і звести до мінімуму збиток від подій, що таять загрозу безпеки, за допомогою їхнього запобігання і зведення наслідків до мінімуму. Управління інформаційною безпекою дозволяє колективно використовувати інформацію, забезпечуючи при цьому її захист і захист обчислювальних ресурсів. Інформаційна безпека складається з трьох основних компонентів:

=> конфіденційність: захист конфіденційної інформації від несанкціонованого розкриття чи перехоплення;

■=> цілісність: забезпечення точності і повноти інформації і комп'ютерних програм;

<=> доступність: забезпечення доступності інформації і життєво важливих сервісів для користувачів, коли це потрібно.

Інформація існує в різних формах. її можна зберігати на комп'ютерах, передавати по обчислювальних мережах, роздруковувати чи записувати на папері, а також озвучувати в розмовах. З погляду безпеки усі види інформації, включаючи паперову документацію, бази даних, плівки, мікро­фільми, моделі, магнітні стрічки, дискети, розмови й інші способи, вико­ристовувані для передачі знань та ідей, вимагають належного захисту.

Інвентаризація ресурсів допомагає переконатися в тому, що забезпечується їхній ефективний захист, крім того, перелік ресурсів може знадобитися для інших виробничих цілей, наприклад, при вживанні заходів по охороні здоров'я і по техніці безпеки, для страхування чи фінансових цілей. Інвентаризацію необхідно провести для всіх основних ресурсів, зв'язаних з кожною інформаційною системою. Кожен ресурс повинний бути чітко ідентифікований, а його власник і категорія таємності погоджені і задокументовані-. Прикладами ресурсів, пов'язаних з інформаційними системами, є:

Ь інформаційні ресурси: бази даних і файли даних, системна документація, посібники користувача, навчальні матеріали, операційні процедури і процедури підтримки, плани забезпечення безперебійної роботи організації, процедури переходу на аварійний режим;

Ь програмні ресурси: прикладне програмне забезпечення, сис­темне програмне забезпечення, інструментальні засоби й утиліти;

Ь фізичні ресурси: комп 'ютери і комунікаційне устаткування, магнітні носії даних (стрічки і диски), інше технічне устаткування (блоки живлення, кондиціонери), меблі, приміщення;

Ь сервіси: обчислювальні і комунікаційні сервіси, інші технічні сервіси (опалення, освітлення, енергопостачання, кондиціонування повітря).

Секретна інформація і вихідні дані систем, що підтримують секретну інформацію, повинні мати відповідні грифи таємності. Однак часто інформація перестає бути конфіденційною через деякий проміжок часу, наприклад, коли вона стає загальнодоступною. Це варто взяти до уваги, тому що надмірне засекречування інформації може привести до невиправданих, додаткових витрат організації.

Вихідні дані інформаційних систем, що містять секретну інформацію, повинні мати відповідний гриф таємності. Цей гриф повинний відобра­жати категорію таємності найбільш уразливої інформації. Прикладами таких вихідних даних є друковані звіти, інформація, виведена на екрани дисплеїв, дані, збережені на магнітних носіях (стрічках, дисках, касетах), електронні повідомлення і передані файли.

Фізичні мітки є найбільш придатною формою маркування. Однак у деяких випадках, наприклад, для електронної передачі даних, можуть знадобитися інші засоби, такі, як процедури, чи контракти поштові повідомлення для виконання функцій маркування.

Безпека персоналу. Користувачі повинні бути навчені процедурам захисту і правильному поводженню з інформаційними ресурсами. Необхідно також офіційно, у письмовій формі, затвердити дозволений користувачам доступ до інформаційних ресурсів.

Користувачі повинні одержати необхідні відомості про політику організації і прийнятих у ній процедурах, включаючи вимоги до безпеки й інших засобів контролю, а також навчитися правильно користуватися інформаційними ресурсами (наприклад, знати процедуру входу в систему, уміти користатися пакетами програм) перед тим, як вони одержать доступ до інформаційних систем. Ці міри необхідні для того, щоб гарантувати, що процедури захисту виконуються правильно, і для зведення ризику порушення конфіденційності, цілісності і доступності даних через помилку користувача до мінімуму.

Реагування на небезпечні події. Усі співробітники і підрядчики повинні бути ознайомлені з процедурою повідомлення про різні типи інцидентів (порушення безпеки, погроза, чи збій), що можуть уплинути на безпеку інформаційних ресурсів організації. Варто зобов'язати користувачів без зволікання повідомляти про усе що спостерігається чи підозрілих випадках такого роду у відповідну службу підтримки системи захисту. В організації повинна бути установлена формальна процедура накладення дисциплінарних стягнень на співробітників, що порушують режим безпеки.

Варто встановити формальну процедуру повідомлення, а також процедуру реагування на події, яка описує міри, що слід прийняти після одержання повідомлення про інцидент. Усі співробітники і підрядчики повинні бути ознайомлені з цією процедурою; вони зобов'язані повідомляти про такий рід подій у відповідну службу підтримки системи захисту.

Кінцеві користувачі інформаційних систем зобов'язані реєструвати усі випадки, коли функціонування програмного забезпечення представляється їм неправильним, тобто не відповідної специфікації. Про всі такі випадки вони повинні сповіщати про це в місцеву службу технічної підтримки інформаційних систем або безпосередньо постачальнику даних послуг.

Необхідно встановити технологічні процедури, які користувач повинний виконати у випадку підозри на різні збої у функціонуванні системи. При розробці таких процедур варто звернути особливу увагу на наступні моменти:

°> записати «симптоми» і всі повідомлення, що з'являються на екрані монітора;

& припинити роботу на комп 'ютері і, якщо можливо, відключити його. Негайно повідомити про інцидент у службу технічної підтримки інформаційних систем. Якщо устаткування підлягає огляду, то його необхідно від'єднати від мереж організації, перш ніж знову включити живлення. Не використовувати на інших комп'ютерах дискети, записані на цьому комп'ютері.

•=> негайно повідомити про подію в службу підтримки системи технічного захисту інформації.

Фізичний захист обладнання. Необхідно забезпечити фізичний захист устаткування від погроз порушення безпеки і небезпек, що представляються навколишнім середовищем. Захист устаткування інформаційних систем (включаючи устаткування, використовуване за межами організації) необхідний як для того, щоб зменшити ризик несанкціонованого доступу до даних, так і для того, щоб не допустити його втрату або ушкодження. Варто також приділити увагу проблемам розміщення устаткування і його утилізації. Можуть знадобитися спеціальні міри для захисту від несанкціонованого доступу й інших небезпек, а також для захисту допоміжного устаткування, наприклад, системи електроживлення і кабельного розведення.

Устаткування інформаційних систем повинне бути так розміщено і захищено, щоб зменшити ризик, зв'язаний із впливом навколишнього середовища і несанкціонованим доступом. Тому пропонуються наступні міроприємства:

• устаткування слід розміщати так, щоб по можливості звести до мінімуму зайвий доступ у робочі приміщення. Робочі станції, що підгримують конфіденційні дані, повинні бути розташовані так, щоб вони завжди були під візуальним контролем;

• необхідно розглянути можливість ізоляції областей, що вимагають
спеціального захисту, щоб понизити необхідний рівень загального
захисту;

• заборонити прийом їжі і паління в місцях розміщення комп'ютерного
устаткування;

•  розглянути можливість використання спеціального захисту,
наприклад, клавіатурних мембран, для устаткування в промислових
середовищах.

Засоби обчислювальної техніки необхідно захищати від збоїв у системі електроживлення й інших неполадках в електричній мережі. Джерело живлення повинне відповідати специфікаціям виробника устаткування. Доцільно розглянути необхідність використання резервного джерела живлення. Для устаткування, що підтримує критично важливі виробничі сервіси, рекомендується установити джерело безперебійного живлення. План дій у надзвичайних ситуаціях повинний включати міри, які необхідно прийняти по закінченні терміну придатності джерел безперебійного живлення. Устаткування, що працює з джерелами безперебійного живлення, необхідно регулярно тестувати відповідно до рекомендацій виробника.

Кабелі електроживлення і мережеві кабелі для передачі даних необхідно захищати від розкриття з метою перехоплення інформації й ушкодження. Для зменшення такого ризику в приміщеннях організації пропонується реалізувати наступні захисні міри:

^> Кабелі електроживлення і лінії зв'язку, що йдуть до інформаційних систем, повинні бути проведені під землею (по можливості) чи захищені належним чином за допомогою інших засобів.

^ Необхідно розглянути заходи для захисту мережевих кабелів від їхнього несанкціонованого розкриття з метою перехоплення даних і від ушкодження, наприклад, скориставшись екранами або проклавши ці лінії так, щоб вони не проходили через загальнодоступні місця.

^ Для винятково уразливих чи критично важливих систем, наприклад таких як банківські, варто розглянути необхідність вживання додаткових заходів, таких, як: шифрування даних; установка броньованих екранів і використання приміщень, що замикаються; використання інших маршрутів або середовищ передачі даних.

Необхідно здійснювати належне технічне обслуговування устатку­вання, щоб забезпечити його постійну доступність і цілісність. Технічне обслуговування устаткування повинне здійснюватися через проміжки часу, що рекомендуються постачальником, і відповідно до інструкцій. Ремонт і обслуговування устаткування повинен виконувати тільки персонал підтримки, що має відповідні повноваження.

Використання устаткування інформаційних систем (незалежно від того, хто їм володіє), що підтримують виробничі процеси, за межами організації повинно бути санкціоновано керівництвом. Рівень захисту такого устаткування повинний бути таким же, як і для устаткування, розташованого на території організації. Співробітникам забороняється використовувати персональні комп'ютери для продов­ження роботи вдома, якщо не встановлена процедура перевірки на наявність вірусів. Під час поїздок забороняється залишати устаткування і носії інформації в загальнодоступних місцях без догляду. Портативні комп'ютери варто провозити як ручний багаж. Під час поїздок портативні комп'ютери уразливі стосовно крадіжок, втрати і несанкціонованого доступу. Для таких комп'ютерів варто забезпечити належний захист доступу, щоб запобігти несанкціонованому доступу до інформації, що зберігається в них. Необхідно завжди дотримуватися інструкції виробника, що стосуються захисту устаткування, наприклад, захищати устаткування від впливу сильних електромагнітних полів.

Перед утилізацією устаткування всі його компоненти, включаючи носії інформації, наприклад, жорсткі диски, необхідно перевіряти, щоб гарантувати, що конфіденційні дані і ліцензоване програмне забезпечення було вилучено. Ушкоджені запам'ятовуючі пристрої, що містять особливо коштовні дані, можуть вимагати оцінки ризиків для того, щоб визначити, чи можна їх знищувати, ремонтувати або позбутися від них.

Створення захищених зон. Інформаційні системи, що підтримують критично важливі сервіси організації, повинні бути розміщені в захищених областях. Такі системи повинні бути також захищені фізично від несанкціонованого доступу, ушкодження і перешкод. їх варто розмістити в захищених областях, обмежених визначеним периметром безпеки, з належним контролем доступу в приміщення і захисні бар'єри. Для зменшення ризику несанкціонованого доступу або ушкодження паперової документації і носіїв інформації, рекомендується задати чіткі правила використання робочого столу.

Захист обладнання. Необхідно забезпечити фізичний захист устаткування від погроз порушення безпеки і небезпек, що представляються навколишнім середовищем. Захист устаткування інформаційних систем (включаючи устаткування, використовуване за межами організації) необхідний як для того, щоб зменшити ризик несанкціонованого доступу до даних, так і для того, щоб не допустити його втрат або ушкодження. Необхідно приділити увагу проблемам розміщення устаткування і його утилізації. Можуть знадобитися спеціальні міри для захисту від несанкціонованого доступу й інших небезпек, а також для захисту допоміжного устаткування, наприклад, системи електроживлення і кабельного розведення.

Захист від шкідливого програмного забезпечення. Для запобігання і виявлення випадків впровадження шкідливого програмного забезпечення, потрібно вживання належних заходів обережності. В даний час існує цілий ряд шкідливих методів, що дозволяють використовувати уразливість комп'ютерних програм стосовно їх несанкціонованої модифікації, з такими іменами, як «комп'ютерні віруси», "мережеві хробаки", "троянські коні" і "логічні бомби". Адміністратори інформаційних систем повинні бути завжди готові до небезпеки проникнення шкідливого програмного забезпечення в системи і по необхідності вживати спеціальних заходів по запобіганню або виявленню його впровадження. Зокрема украй важливо вжити заходів обережності для запобігання і виявлення комп'ютерних вірусів на персональних комп'ютерах.

Необхідно реалізувати заходи для виявлення і запобігання проникнення вірусів у системи і процедури інформування користувачів про їхню шкоду. Користувачам варто нагадати, що запобігання вірусів краще, ніж ліквідація наслідків від їхнього проникнення. В основі захисту від вірусів повинні лежати високі знання і розуміння правил безпеки, належні засоби управління доступом до систем і наступні конкретні рекомендації:

•=> Організація повинна визначити формальну політику, що вимагає дотримання умов ліцензій на використання програмного забезпечення і заборонити використання несанкціонованих програм.

•=> Противірусні програмні засоби, розроблені постачальником з доброю репутацією, варто використовувати в такий спосіб:

• програмні засоби виявлення конкретних вірусів (які повинні регулярно оновлятися і використовуватися відповідно до інструкцій постачальника)

варто застосовувати для перевірки комп'ютерів і носіїв інформації на наявність відомих вірусів або як запобіжний захід, або як повсякденна процедура;

•  програмні засоби виявлення змін, внесених у дані, повинні бути по
необхідності інстальовані на комп'ютерах для виявлення змін у виконуваних
програмах;

•  програмні засоби нейтралізації вірусів варто використовувати з
обережністю і тільки в тих випадках, коли характеристики вірусів цілком
вивчені, а наслідки від їхньої нейтралізації передбачувані.

■=> Необхідно проводити регулярну перевірку програм і даних у системах, що підтримують критично важливі виробничі процеси. Наявність випадкових файлів і несанкціонованих виправлень повинна бути виявлена за допомогою формальних процедур.

•=> Дискети невідомого походження варто перевіряти на наявність вірусів до їхнього використання.

Обслуговування систем. Заходи для обслуговування систем вимагаються для підтримки цілісності і доступності сервісів. Необхідно визначити повсякденні технологічні процеси для зняття резервних копій з даних, реєстрації подій і збоїв, а також для спостереження за середовищем, у якій функціонує устаткування.

Резервні копії з критично важливих виробничих даних і програм повинні зніматися регулярно. Для забезпечення можливості відновлення всіх критично важливих виробничих даних і програм після виходу з ладу комп'ютера або відмови носія інформації, необхідно мати належні засоби резервного копіювання. Процедури резервного копіювання для окремих систем повинні задовольняти вимогам планів забезпечення безпере­бійної роботи організації. З цією метоюпропонуються наступні рекомендації:

•=> Мінімальну дублюючу інформацію разом з точними і повними записами про резервні копії варто зберігати у вилученому місці на достатній відстані для того, щоб уникнути наслідків від аварії на основному робочому місці. Необхідно створити принаймі три поко­ління резервних копій даних для важливих виробничих додатків.

<^> Резервні копії повинні бути належним чином захищені фізично від впливу навколишнього середовища у відповідності зі стан­дартами, прийнятими на основному робочому місці. Засоби захисту носіїв інформації, прийняті на основному робочому місці, варто поширити на місце збереження резервних копій.

о Резервні копії необхідно регулярно тестувати, щоб бути упевненим, що на них можна буде покластися у випадку аварії.

Зберігання копій актуально важливих баз даних для кожної АІС має регламентуватись відповідними нормативними документами в яких зазначені терміни зберігання даних, а також вимоги до постійного збереження архівних копій.

Оператори комп'ютерів повинні вести журнал реєстрації усіх виконуваних завдань. Журнали реєстрації подій повинні регулярно звірятися з операційними процедурами. Зафіксовані користувачами збої, що стосуються проблем з комп'ютерними і комунікаційними системами, варто заносити в журнал реєстрації. Повинні існувати чіткі правила обробки зареєстрованих збоїв, включаючи наступні:

>    аналіз журналу реєстрації збоїв для забезпечення їхнього
задовільного вирішення;

>    аналіз коригувальних мір, ціль яких складається в перевірці
того, чи не скомпрометовані засоби управління безпекою і чи є
почата міра санкціонованою.

Для визначення умов, що можуть несприятливо позначитися на роботі комп'ютерного устаткування і для вживання коригувальних заходів, необхідно постійно стежити за навколишнім середовищем, у тому числі за вологістю, температурою і якістю джерел електроживлення. Такі процедури варто реалізовувати відповідно до рекомендацій поста­чальників.

Носії інформації та їхній захист. Необхідно контролювати комп'ютерні носії даних і забезпечити їхній фізичний захист. Варто визначити належні операційні процедури для захисту комп'ютерних носіїв інформації (магнітні стрічки, диски, компакт-диски), вхідних та вихідних даних і системної документації від ушкодження, викрадення і несан­кціонованого доступу.

Усі процедури і рівні повноважень повинні бути чітко задокументовані. Щоб захистити конфіденційні дані від несанкціонованого розкриття або використання, необхідно визначити процедури оперування з такими даними. Повинні бути підготовлені процедури для безпечного оперування з усіма носіями вхідних і вихідних конфіденційних даних, наприклад, документів, телексів, магнітних стрічок, дисків, звітів, незаповнених чеків, рахунків та ін. З цією метою слід виконувати наступні облікові міроприємства:

> оперування з носіями вхідної і вихідної інформації і їхнє маркування,

>  формальна реєстрація одержувачів даних, що мають відповідні
повноваження,

> забезпечення повноти вхідних даних,

>підтвердження одержання переданих даних (по необхідності),

>  надання доступу до даних мінімальному числу осіб,

>  чітке маркування всіх копій даних для одержувача, що має відповідні
повноваження,

Рперевірка списків одержувачів із правом доступу до даних через регулярні проміжки часу

Системна документація може містити конфіденційну інформацію, наприклад, опис прикладних процесів, процедур, структури даних і процесів підтвердження повноважень Для захисту системної докумен­тації від несанкціонованого доступу, необхідно застосовувати наступні засоби контролю

> Системна документація повинна зберігатися в надійних шафах
під замком

>  Список осіб із правом доступу до системної документації
повинний бути максимально обмежений, а дозвіл на п використання
повинен видаватися власником додатка

> Документацію, створювану комп 'ютерами, варто зберігати
окремо від інших файлів додатків, і їй варто привласнити належний
рівень захисту доступу

Для видалення комп'ютерних носив інформації, що більше не потрібні, вимагаються надійні і перевірені процедури Конфіденційна інформація може просочитися за межі організації і потрапити в руки осіб, що не мають відповідних прав, унаслідок недбалого видалення комп'ютерних носив даних Для зведення такого ризику до мінімуму варто визначити чіткі процедури надійного видалення носив інформації Пропонуються наступні рекомендації

•=> Носи даних, що містять конфіденційну інформацію, необхідно надійно видаляти, наприклад, за допомогою їхнього спалювання або здрібнювання (дроблення), чи звільнення від даних для використання іншими додатками усередині організації

& Електронні документи на носіях, що можуть використо­вуватися в подальшому мають знищуватися відповідними програмами, які рекомендовані відповідними нормативними документами для таких цілей

<=> Носії конфіденційної або таємної інформації мають бути зареєстровані в журналах обліку та мати власні ідентифікаційні номери.

<=> Про кожен випадок видалення носіїв конфіденційної інформації має бути складений акт знищення даних та зроблена відповідна відмітка в журналі реєстрації носія.

Обмін даними і програмами. Обміни даними і програмами необхідно контролювати. Такі обміни варто здійснювати на основі формальних угод. Повинні бути встановлені процедури і стандарти для захисту носіїв інформації під час їхнього транспортування. Необхідно враховувати наслідки для виробничої діяльності і системи безпеки від використання електронного обміну даними і повідомленнями електронної пошти, а також вимоги до засобів управління безпекою.

Комп'ютерні носії даних можуть бути уразливі стосовно несанкціоно­ваного доступу, використання й ушкодження під час транспортування. Для захисту комп'ютерних носіїв інформації, що транспортуються з однієї організації в іншу, пропонуються наступні засоби контролю:

>    Використання надійних кур'єрів і транспорт. Узгодження
списку кур'єрів, наділених відповідними повноваженнями, з
керівництвом і реалізація процедури ідентифікації кур 'єрів.

>    Забезпечення належного захисту вмісту упакування від
можливого фізичного ушкодження під час транспортування
відповідно до інструкцій виробників.

>    Вживання спеціальних заходів (по необхідності) для захисту
конфіденційної інформації від несанкціонованого розкриття або
модифікації.

Для зменшення ризику, якому піддаються виробничі процеси і система безпеки, зв'язана з використанням електронної пошти, варто засто­совувати відповідні засоби контролю. Електронна пошта відрізняється від традиційних видів зв'язку швидкістю, структурою повідомлень, ступенем формальності й уразливістю стосовно перехоплення. Для зменшення ризику, якому піддаються виробничі процеси і система безпеки, пов'язаного з застосуванням електронної пошти, необхідно використовувати наступні засоби контролю:

>    уразливість електронних повідомлень стосовно несанкціоно­
ваного перехоплення і модифікації;

>    уразливість даних, що пересилаються по електронній пошті,
стосовно помилок, наприклад, неправильна адресація чи напрямок

>    повідомлень не по призначенню, а також надійність і доступність системи в цілому;

> вплив зміни характеристик комунікаційного середовища на виробничі процеси, наприклад, вплив підвищеної швидкості передачі даних або зміни системи адресації між: організаціями й окремими особами;

> необхідність вживання захисних заходів для контролю вилученого доступу користувачів до електронної пошти.

Управління доступом користувачів. Для управління процесом надання прав доступу до інформаційних систем вимагаються формальні процедури. Ці процедури повинні містити в собі всі стадії життєвого циклу управління доступом користувачів - від початкової реєстрації нових користувачів до видалення облікових записів користувачів, що більше не мають потреби в доступі до інформаційних систем. Особливу увагу варто приділити необхідності управлання процесом надання привіле­йованих прав доступу, що дозволяють користувачам обійти засоби системного контролю.

Для управління доступом до всіх інформаційних систем масового використання повинна існувати формальна процедура реєстрації і видалення облікових записів користувачів. Доступ до таких інформа­ційних систем необхідно контролювати за допомогою формального процесу реєстрації користувачів, що повинний забезпечувати:

• перевірку, чи надано користувачу дозвіл на використання системи
адміністратором;

• перевіряти, чи достатній рівень доступу до системи, наданий
користувачу, для виконання покладених на нього посадових обов'язків і
чи не суперечить він політиці безпеки, прийнятої в організації, чи не
компрометує він принцип поділу обов'язків;

• надавати користувачам їх права доступу в письмовому виді;

• вимагати від користувачів підписання зобов'язання, щоб показати,
що вони розуміють умови доступу;

• вимагати від постачальників послуг, щоб вони не надавали доступ
до систем доти, поки не будуть закінчені процедури визначення
повноважень;

•  вести формальний облік усіх зареєстрованих осіб, що
використовують систему;

• негайно вилучати права доступу в тих користувачів, що змінили
роботу або залишили організацію;

•  періодично перевіряти і видаляти ідентифікатори й облікові записи
службовців, що більше не вимагаються;

•  перевіряти, чи не видані ідентифікатори користувачів, що більше не
використовуються, іншим службовцям.

В даний час паролі є основним засобом підтвердження повноважень доступу користувачів до комп'ютерних систем. Призначення паролів необхідно контролювати за допомогою формального процесу управління, що має задовольняти наступним вимогам-.

Ч> Вимагати від користувачів підписання зобов'язання по збереженню персональних паролів і паролів робочих груп у секреті.

^У тих випадках, коли користувачі повинні самі вибирати свої паролі, видати їм надійні тимчасові паролі, які вони зобов'язані негайно змінити. Тимчасові паролі також видаються у випадку, коли користувачі забувають свої паролі. Тимчасові паролі повинні видаватися тільки після позитивної ідентифікації користувача.

Ч> Передавати тимчасові паролі користувачам надійним способом. Варто уникати передачу паролів через посередників або за допомогою незахищених (незашифрованих) повідомлень електронної пошти. Користувачі повинні підтвердити одержання паролів.

Для забезпечення ефективного контролю за доступом до даних та інформаційних систем керівництво повинне реалізовувати формальний процес перегляду прав доступу користувачів через регулярні проміжки часу. Цей процес повинний забезпечувати перегляд повноважень доступу користувачів через регулярні проміжки часу, рекомендується період З місяці.

Обов'язки користувачів. Користувачі повинні знати свої обов'язки по забезпеченню ефективного контролю доступу, особливо що стосується використання паролів і захисту устаткування користувачів. Паролі є основним засобом підтвердження повноважень доступу користувачів до комп'ютерних систем. Необхідно виконувати наступні рекомендації з вибору і використання паролів:

•  Призначати індивідуальні паролі для забезпечення підзвітності.

•  Зберігати паролі в таємниці.

•  Не записувати паролі на папері, якщо не представляється можливим
їх збереження в захищеному місці.

 

•  Змінювати паролі всякий раз, коли є вказівки на можливу
компрометацію систем або паролів.

•  Вибирати паролі, що містять не менш шести символів.

•  При виборі паролів не слід використовувати: місяці року, дні тижня,
дати народження, прізвища, ініціали і реєстраційні номера автомобілів,
назви й ідентифікатори організацій, номера телефонів, більш двох
однакових символів або групи символів, що складаються з однакових
букв.

•  Змінювати паролі через регулярні проміжки часу (приблизно через
ЗО діб) і уникати повторного чи циклічного використання старих паролів.

•  Змінювати тимчасові паролі при першому вході в систему.

•  Не включати паролі в сценарії автоматичного входу в системи,
наприклад, у макроси або функціональні клавіші.

Якщо користувачам необхідний доступ до багатьох систем і платформ і від них потрібно підтримка декількох паролів, то їм варто рекомендувати використовувати один єдиний надійний пароль для входу в усі системи, що забезпечує мінімальний рівень захисту для збереження паролів. Функціонально система управління паролями повинна забезпечити:

>  примушувати користувачів до застосування індивідуальних та унікальних
паролів;

>  дозволяти користувачам вибирати і змінювати свої власні паролі, а також
включати процедуру їхнього підтвердження, щоб уникнути помилок при їхньому
наборі;

>  задавати та контролювати мінімальну кількість символів у паролях;

>  примушувати користувачів до зміни паролів через регулярні проміжки
часу в тих випадках, коли вони самі підтримують свої паролі;

>  змушувати користувачів змінювати тимчасові паролі при першому вході в
систему;

>  вести облік попередніх паролів користувача, наприклад, за останні 12 місяців
і запобігати їхньому повторному використанню;

>  не виводити паролі на екран при їхньому наборі на клавіатурі;

>  зберігати файли паролів окремо від основних даних прикладної системи;

>  зберігати паролі в зашифрованому виді, використовувати асиметричний
алгоритм шифрування;

>  змінювати паролі, задані постачальником програмного забезпечення за
замовчуванням, після його інсталяції;

>  в ідеалі перевіряти, чи вибрав користувач надійний пароль, наприклад, за
допомогою перевірки на повторні комбінації символів тощо.

Користувачі повинні забезпечити належний захист устаткування, залишеного без нагляду. Устаткування, установлене на робочих місцях користувачів, наприклад, робочі станції і файлові сервери, може потребувати спеціального захисту від несанкціонованого доступу в тих випадках, коли воно залишається без догляду на тривалий час. Усі користувачі повинні знати вимоги до безпеки і процедури захисту устаткування, залишеного без догляду, а також свої обов'язки по забезпеченню такого захисту. Для цього необхідно виконувати наступні рекомендації:

^> Завершити активні сеанси зв 'язку по закінченню роботи, якщо їх не можна захистити за допомогою відповідного блокування.

°> Вийти з мейнфреймів по закінченні сеансу зв'язку. Не обме­жуватися тільки вимиканням ПК чи термінала.

°> Захистити ПК чи термінали, що не використовуються, за допомогою блокування з ключем або еквівалентного засобу кон­тролю, наприклад, доступом по паролю.

Управління доступом до комп'ютерів. Доступ до інформаційних систем слід надавати тільки зареєстрованим користувачам. Комп'ю­терні системи, що обслуговують багатьох користувачів, мають задоволь­няти наступним вимогам:

•  ідентифікувати і перевіряти дійсність особистості користувачів, а
також по необхідності термінал або місцезнаходження кожного
зареєстрованого користувача;

•  фіксувати випадки успішного і безуспішного доступу до систем;

•  надати систему управління паролями, що забезпечує вибір надійних
паролів;

•  обмежити час підключення користувачів.

Доступ до інформаційних систем необхідно здійснювати за допомогою надійної процедури входу в систему. Процедура входу в комп'ютерну систему (login) повинна зводити ризик несанкціонованого доступу до мінімуму, тому вона повинна давати мінімум інформації про систему, щоб уникнути надання зайвої допомоги незареєстрованному користувачу. Процедура входу в систему повинна виконувати наступні функції:

Р не виводити на екран ідентифікатори системи або додатки доти, поки не завершиться процес входу в систему;

>   виводити на екран загальне попередження про те, що тільки
зареєстровані користувачі мають право доступу до комп 'ютера;

>   не надавати довідкову інформацію під час виконання процедури
входу в систему, що могла б зробити допомогу незареєстро­
ванному користувачу;

>   перевіряти вірогідність реєстраційної інформації тільки по
завершенні введення всіх даних. При виникненні збійної ситуації
система не повинна вказувати, яка частина введених даних
правильна чи неправильна;

>   обмежити кількість невдалих спроб входу в систему (рекомен­
дується три спроби), перш ніж розірвати канал зв'язку;

>   задати мінімальну і максимальну тривалість процедури входу
в систему. При її підвищенні система повинна перервати процедуру
входу.

Спостереження за доступом до систем і їхнім використанням. Для забезпечення відповідності політиці управління доступом і стандартам необхідно стежити за системами. Це необхідно для того, щоб визначити ефективність вжитих заходів і забезпечити відповідність моделі політики управління доступом.

Усі надзвичайні ситуації і події, пов'язані з порушенням режиму безпеки, необхідно реєструвати в контрольному журналі. Записи в такому журналі варто зберігати протягом заданого проміжку часу для надання допомоги в майбутніх розслідуваннях і здійсненні контролю за доступом. Крім відкинутих спроб входу в систему, доцільно також реєструвати випадки успішного доступу до неї. Контрольний журнал повинний включати наступні дані:

•=> ідентифікатори користувачів;

& дата і час входу і виходу із системи;

<=> ідентифікаційний код робочої станції та за ким вона закріплена.

Необхідно встановити процедури спостереження за використанням систем. Такі процедури вимагаються для забезпечення виконання користувачами тільки явно дозволених процесів. Рівень контролю, необхідний для окремих систем, варто визначити за допомогою незалежної оцінки ризиків. Усі дії, пов'язані зі спостереженням за системами, повинні бути формально дозволені керівництвом.

Для забезпечення точності контрольних журналів, що можуть знадобитися для розслідувань або як свідчення під час судових розглядів і при накладенні дисциплінарних стягнень, важливо правильно встановити системний годинник комп'ютерів. Неточні контрольні журнали можуть перешкодити таким розслідуванням і підірвати довіру до такого свідчення.

Аудит систем. Для зведення ризику виникнення збоїв у виробничих процесах до мінімуму вимоги до аудита і роботи, пов'язані з перевіркою робочих систем варто акуратно запланувати і погодити. З цією метою пропонуються наступні рекомендації:

& Вимоги до аудита систем повинні бути погоджені з відпо­відним керівництвом.

& Маштаб перевірок необхідно погодити і контролювати.

^> Перевірки повинні бути обмежені доступом до даних і програм тільки на читання.

<=> Інші типи доступу (відмінні від доступу тільки на читання) повинні бути дозволені для окремих копій системних даних, які необхідно стерти по завершенні процесу аудита.

^> Необхідно явно ідентифікувати інформаційні ресурси для проведення перевірок і зробити їх доступними.

•=> Необхідно визначити вимоги до спеціальної чи додаткової обробки і погодити їх з постачальниками послуг.

^> Усі випадки доступу необхідно відслідковувати і фіксувати в контрольному журналі для довідок.

Ефективний захист інформації є одним з найголовніших аспектів при побудові надійної інформаційної системи будь-якої організації.