Политика информационной безопасности предприятия

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 09:47, 7 апреля 2015.

Это совокупность норм и правил, определяющих состояние защищенности информационных ресурсов предприятия.

ГГБЗИ ЦБ РФ - первая разработка ПИБ, 1999г.

Содержала перечни:

  • средства вычислительной техники, обрабатывающие информацию;
  • операционные системы, установленные на СВТ;
  • конфигурация локальных сетей в центральном офисе и филиалах;
  • принципы доступа к информациооным ресурсам;
  • полномочия должностных лиц по администрированию программно-аппаратных средст.

Цель ПИБ - адекватный выбор СЗИ, обеспечивающий доступность, конфиденциальность, целостность информационных ресурсов.

В случаях защиты секретной информации - только сертифицированные программно-аппартаные средства и криптографические комплексы. (Необходимость их использования указывается в нормативных документах: законах, приказах, постановлениях и др.).

В случаях конфиденциальной информации - СЗИ и меры защиты определяет владелец информации.

Если перечень задач обозначить как , цель ПИБ как , то множество технических решений по выбору СЗИ М:

Моделирование защищенной информационной системы: аналитическое и имитационное. Моделирование отвечает на вопрос о характеристиках СЗИ при реализации заданных угроз в течение заданного времени. Выбирается СЗИ с наилучшими модельными характеристиками.

Пример типовой ПИБ организации:

  • организация располагает корпоративной сетью, состоящей из 3-х локальных сетей;
  • необходим управляемый доступ из вне.
Рис. 1. КС - корпоративная сеть, SW - свитч(переклбчатель потоков КС), ЛС - локальные сети.
  1. Сетевая безопасность
    1. Основной МЭ
      • Администрирование МЭ ведется с обязательным шифрованием трафика, только из внутренней сети с фиксированного адреса администратора;
      • из ОС экрана удаляются все программные средства, не относящиеся к фильтрации трафика;
      • пользователь МЭ - единственный (администратор ИБ);
      • доступ к МЭ из вне запрещен;
      • фильтрация внешнего трафика осущетсвляется в соответсвии с выбраным МЭ.
    2. Веб-сервер организации
      • анонимный доступ из Интернета разрешен к 80-му порту.
      • авторизованный доступ по протоколу FTP на порт 20.
      • имеет смысл поместить сервер в DMZ (демилитаризованную зону)
    3. Почтовый сервер
      • авторизованный доступ из внутренней сети к сервису POP3 через порт 40.
      • функционирует по протоколу SMTP
  2. Требования к свитчу
    1. Досутп только администратора ИБ и лиц, им назначенных. Доступ технического персонала и пользователей ЛС - запрещен
    2. Технические требования - производительность, обеспечивающая своеврменность выполнения внутренних и внешних информационных процессов. При углубленном анализе - строятся модели информационно-вычислительного взаимодействия ЛС, а также КС и МЭ.
  3. Антивирусная защита (AVP) и система противодействия вторжений (IDS)
    1. Открытость структур, возможность внесения новых сигнатур
    2. AVP - устанавливаетсяна МЭ. Подсистема обнаружения на МЭ, остальные средства IDS - на свитче.
  4. Контроль и управление доступом
    1. управление парами логин - пароль
    2. биометрический доступ к информационным ресурсам, имеющим гриф
    3. мониторинг попыток неудачного доступа к информационным ресурсам. Ведение соответсвующего журнала
    4. защита от несанкционированного копирования
  5. Создание резервных копий информационных ресурсов
    1. выделение специального резервного сервера данных компании
    2. еженедельное копирование информационных ресурсов на специальные носители (согласно, списку, утвержденному руководством)
  6. Физическая безопасность помещений
    1. МЭ, веб-сервер, телекоммуникационое оборудование должны находится в специальных подготовленных помещениях.
      • наличие ключей только у лиц, имеющих доступ в указанные помещения
      • вход в прочие помещения, имеющие телекоммуникационное оборудование, СВТ и т.п. по персональным магнитным картам.
      • видеооборудование в помещениях, имеющих ИТ устройства.