1 1 1 Учебный модуль: Основы информационной безопасности Лопухов Виталий Михайлович к.т.н., доцент 2013 Тема 3: Направления обеспечения информационной безопасности

2 Вопрос 3.1. Организационная защита информации Организационная защита – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает: организацию охраны, режима, работу с кадрами, с документами; использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

3 3 Организационные средства защиты: 1.Мероприятия, осуществляемые при создании системы обработки, накопления, хранения и передачи данных заключающиеся в учете требований защиты при: разработке общего проекта системы и ее структурных элементов; разработке математического, программного, информационного или лингвистического обеспечений; монтаже и наладке оборудования, испытаниях и приемке системы (особое значение на данном этапе придается определению действительных возможностей механизмов защиты, для чего целесообразно осуществить целый комплекс испытаний и проверок). 2.Мероприятия, осуществляемые в процессе эксплуатации систем обработки данных: организация автоматизированной обработки информации; распределение реквизитов разграничения доступа (паролей, полномочий и т.д.); организация пропускного режима; организация ведения протоколов и контроль выполнения требований служебных инструкций и т.п. 3. Мероприятия общего характера, проводимые при внедрении ИС: учет требований защиты при подборе и подготовке кадров; организация проверок механизма защиты; планирование всех мероприятий по защите информации; обучение персонала; проведение занятий с привлечением ведущих организаций; участие в семинарах и конференциях по проблемам безопасности информации и т.п.

4 Важнейшая задача организационных средств защиты это создание службы безопасности (СБ). Предотвращение хищений имущества и ценностей фирмы обеспечивается, помимо работы с персоналом, контролем и защитой от несанкционированного проникновения в помещение, к грузам, ценностям, носителям информации. В связи с тем, что до 80 % случаев утечки информации и утраты документов совершается по вине персонала, служба безопасности (СБ) самым внимательным образом проводит работу по подбору и проверке сотрудников, обучает их работе с секретной информацией. СБ может иметь открытую и закрытую области деятельности. Работа открытого характера связана с поддержанием официальных контактов с представителями других предприятий, прессой, персоналом фирмы. Закрытая деятельность обычно не афишируется. Это, как правило, скрытая проверка персонала, выполнение различных конфиденциальных поручений руководства фирмы.

5 Общие функции службы безопасности предприятия : организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации; обеспечение пропускного и внутриобъектового режима на территории, в зданиях и помещениях, контроль соблюдения требований режима сотрудниками, смежниками, партнерами и посетителями; руководство работами по правовому и организационному регулированию отношений по защите информации; участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты информации, а также положений о подразделениях, трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих; разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими конфиденциальные сведения; организация и контроль выполнения требований «Инструкции по защите конфиденциальной информации»; изучение всех сторон производственной, коммерческой, финансовой и другой деятельности для выявления и последующего противодействия любым попыткам нанесения ущерба, ведения учета и анализа нарушений режима безопасности, накопление и анализ данных о злоумышленных устремлениях конкурентной и других организаций, о деятельности предприятия и его клиентов, партнеров, смежников; организация и проведение служебных расследований по фактам разглашения сведений, утрат документов, утечки конфиденциальной информации и других нарушений безопасности предприятия; разработка, ведение, обновление и пополнение «Перечня сведений конфиденциального характера» и других нормативных актов, регламентирующих порядок обеспечения безопасности и защиты информации; обеспечение строгого выполнения требований нормативных документов по защите производственных секретов предприятия; осуществление руководства службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и другими структурами в части оговоренных в договорах условий по защите конфиденциальной информации; организация и регулярное проведение учета сотрудников предприятия и службы безопасности по всем направлениям защиты информации и обеспечения безопасности производственной деятельности; ведение учета и строгого контроля выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникновения к источникам охраняемых секретов; обеспечение проведения всех необходимых мероприятий по пресечению попыток нанесения морального и материального ущерба со стороны внутренних и внешних угроз; поддержание контактов с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе (зоне) и оказания взаимной помощи в кризисных ситуациях.

6 Состав службы безопасности

7

8 Нормативно-методические документы по обеспечению безопасности информации предназначены для регламентации процесса обеспечения безопасности предприятия, в том числе при работе персонала с конфиденциальной информацией. Организационно-методические документы: Положение о службе безопасности; Положение о службе конфиденциальной документации; Должностные инструкции сотрудников эти служб. Основополагающие документы: Устав организации; Типовые соглашения и контракты. Технологические документы: Перечень сведений. В нем отражается: –Общая методическая часть по способу составления перечня и правилам работы с ним; –Списки конфиденциальных сведений по структурным подразделениям; –Список видов конфиденциальных документов и способов их хранения; –Сроки конфиденциальности;

9 Инструкция по обеспечению безопасности конфиденциальной информации. Должна содержать: –Обязанности сотрудника фирмы при работе с конфиденциальной информацией; –Порядок доступа сотрудников к конфиденциальным документам, оформление доступа; –Обеспечение сохранности документов на всех видах носителей при работе с ними; –Порядок сохранения тайны при проведении совещаний, заседаний и переговоров; –Требования к помещению для работы с конфиденциальной информацией; –Порядок охраны территории, зданий, помещений, транспортных средств и персонала; –Пропускной режим помещений, учет и порядок выдачи пропусков и удостоверений; –Порядок приема, учета и контроля деятельности посетителей; –Требования по защите информации в рекламной и публикаторской деятельности; –Организационное обеспечение защиты информации в ПЭВМ и линиях связи; –Ответственность сотрудников за разглашение ценной информации и утрату документов. Технологические документы:

10 Технологические документы: Инструкция по обработке, хранению и движению конфиденциальных документов содержит: –Структура защищенного документооборота; –Установление изменения и снятия грифа конфиденциального документа; –Порядок составления, учета, изготовления, издания конфиденциальных документов; –Копирование и размножение документов; –Прием и распределение поступивших документов; –Учет поступивших документов; –Отправка и рассылка документов; –Порядок передачи документов в процессе их рассмотрения и исполнения; –Контроль исполнения документов; –Порядок систематизации документов и формирования дел; –Порядок передачи документов и дел в архив. Уничтожение документов с истекшим сроком хранения; –Текущее и архивное хранение документов; –Проверка наличия документов и носителей информации; –Правила хранения бланков, печатей и штампов; Инструктивный материал, который детализирует эти технологические процессы.

11 Особенности приема и перевода сотрудников на работу, связанную с владением конфиденциальной информацией Этапы подготовки приема сотрудников: »Предварительно сформулировать, какие функции должен выполнять сотрудник. Каков его круг ответственности. Какие качества, знания и уровень квалификации он должен иметь. »Составить перечень конфиденциальных сведений, с которыми будет иметь дело этот специалист. »Составить список форм поощрения и стимулирования, которые может получать сотрудник. »Составить другие перечни вопросов, которые необходимо будет решать специалисту. Перечни его личных качеств, возрастных, профессиональных и иных характеристик. »Составить описание должности. Способы поисков сотрудников: »По резюме »Поиск кандидатов внутри фирмы »Среди студентов и выпускников вузов »Обращение в организации по найму Технологическая цепочка отбора кандидатов: Подбор предполагаемого кандидата Изучение резюме или личного дела, руководителем структурного подразделения и службы безопасности. Информирование кандидатов, об их будущих обязанностях, связанных с владением конфиденциальной информации Обновление материалов личного дела, работающего в фирме сотрудника. Получение представления на новую должность от руководителя структурного подразделения. Знакомство (предварительное собеседование) руководства фирмы, структурного подразделения с кандидатами, не работающими в фирме. Беседа с ними. Уточнение отдельных положений резюме. Ответы на вопросы о будущей работе. Изучение от полученных от кандидата рекомендательных писем. Заполнение кандидатами, не работающими в фирме, в отдел кадров заявление о приеме на работу, личного листка по учету кадров, автобиографии, копии документов об образовании и прочем. Собеседование кандидата с работником отдела кадров, по представленным документам. По необходимости подтверждение тех или иных сведений. Опрос работником отдела кадров, авторитетных лиц, лично знающих кандидата. Собеседование экспертов с кандидатами, на предмет выявления их личных или моральных качеств, а для неработающих в фирме – профессиональных задний. Рассмотрение медицинских справок, тестирование и анкетирование кандидатов. Принятие решения единственного кандидата, и получение от него принципиального согласия на работу с конфиденциальной информацией.

12 Особенности приема и перевода сотрудников на работу, связанную с владением конфиденциальной информацией Технологическая цепочка оформления кандидата: В случае согласия, о том, что кандидат готов работать с конфиденциальной информацией – это подписание претендентом обязательства о неразглашении тайны фирмы. Информирование претендента о характере конфиденциальной информации, с которой он будет работать. О наличии системы защиты этой информации и о тех ограничениях, которые придется использовать работнику в служебной и неслужебной обстановке. Беседа-инструктаж работников структурного подразделения, службы персонала, службы безопасности с претендентом, ознакомление с должностной инструкцией, рабочими технологическими инструкциями, инструкция по обеспечению информационной безопасности, и другими технологичными инструкциями. Составление проекта контракта, содержащего пункта о неразглашении конфиденциальных сведений. Подписание контракта о временной работе, без права доступа к конфиденциальной информации. Составление и подписание приказа о приеме на работу с испытательным сроком (или на временную работу). Заведение личного дела на принятого сотрудника. Заполнение на сотрудника необходимых учетных форм. Внесение соответствующей записи в трудовую книжку. Изучение личных, моральных и профессиональных качеств сотрудника во время испытательного срока. Обучение сотрудника правилам работы с конфиденциальной информацией. Инструктажи, проверка знаний. Анализ результатов работы сотрудника за время испытательного срока. Составление контракта о длительной или постоянной работе, издание соответствующего приказа или отказ в дальнейшем предоставлении работы. Оформление допуска сотрудника к конфиденциальной информации и документам. Текущая работа с персоналом, владеющим конфиденциальной информацией: Обучение и систематическое инструктирование сотрудников; Проведение регулярной воспитательной работы с персоналом; Постоянный контроль за выполнением персоналом требований по защите конфиденциальной информации; Контрольную работу по изучению степени осведомленности персонала в области конфиденциальных работ фирмы; Проведение служебных расследований по фактам утечки информации и нарушений персоналом требований по защите информации; Совершенствование методики текущей работы с персоналом. Наряду с обучением проводятся совещания-инструктажи, в процессе которых доводятся изменения в приказах и т.д. и случаи изменения правил защиты информации. Контроль работы персонала с конфиденциальной информацией; Аттестация сотрудников; Отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации; Регулярные проверки руководителем фирмы или службой безопасности соблюдения сотрудниками требований по защите информации; Самоконтроль сотрудников. Увольнение сотрудников, владеющих конфиденциальной информацией: Написание сотрудником заявления с указанием причины увольнения; Передача заявления руководителю подразделения для дальнейшей передаче в отдел кадров; Прием служебной конфиденциальной документации всех числящихся за сотрудником документов; Сдача сотрудником пропуска для входа в рабочую зону, всех ключей и печатей; Проведение с сотрудниками беседы с целью напоминания ему об обязательстве сохранения тайны, а также выяснения истинной причины увольнения;

13 Использование «Интернет» является безопасным, если выполняются три основные правила: 1. Защитите свой компьютер Регулярно обновляйте операционную систему. Используйте антивирусную программу. Применяйте брандмауэр. Создавайте резервные копии важных файлов. Будьте осторожны при загрузке содержимого.

14 2. Защитите себя в Интернете С осторожностью разглашайте личную информацию. Думайте о том, с кем разговариваете. Помните, что в Интернете не вся информация надежна и не все пользователи откровенны. Использование «Интернет» является безопасным, если выполняются три основные правила:

15 3. Соблюдайте правила Закону необходимо подчиняться даже в Интернете. При работе в Интернете не забывайте заботиться об остальных так же, как о себе. Посетите сайт и узнайте о законах Использование «Интернет» является безопасным, если выполняются три основные правила:

16 Пять правил при работе с электронной почтой: 1. Никогда не открывайте подозрительные сообщения или вложения электронной почты, полученные от незнакомых людей. (Вместо этого сразу удалите их) 2. Никогда не отвечайте на спам. 3. Применяйте фильтр спама поставщика услуг Интернета или программы работы с электронной почтой (при наличии подключения к Интернету). 4. Создайте новый или используйте семейный адрес электронной почты для Интернет-запросов, дискуссионных форумов и т.д. 5. Никогда не пересылайте «письма счастья». Вместо этого сразу удаляйте их.

17 Дополнительные правила Закрывайте сомнительные всплывающие окна Всплывающие окна это небольшие окна с содержимым, побуждающим к переходу по ссылке. Остерегайтесь мошенничества В Интернете легко скрыть свою личность. Рекомендуется проверять личность человека, с которым происходит общение. Никогда не разглашайте в Интернете личную информацию, за исключением людей, которым вы доверяете. Обсуждайте использование Интернета Большая часть материалов, доступных в Интернете, является непригодной для несовершеннолетних. Обсудите с детьми, как правильно и безопасно использовать Интернет.

18

19 Основные понятия Системы мониторинга действий пользователя ПК - это программное обеспечение, призванное отслеживать, какие действия совершал пользователь во время работы на ПК. Аудит - один из сервисов безопасности в защищенных операционных системах. Политика аудита - совокупность правил, разработанных на основе политики безопасности организации и определяющих, какие события должны регистрироваться в журнале аудита.

20 Основные компоненты системы мониторинга действий пользователя ПК: Монитор клавиатуры; Монитор активности пользователя; Монитор сети; Монитор запуска приложений; Модуль создания автоскриншотов; Модуль обработки информации и интерфейса.

21 Security Curator Мониторинг и логирование всех действий пользователей за компьютером; Уведомление о нарушении политик безопасности, которые можно задавать самостоятельно; Блокирование использования программ, доступа к сайтам и файлам, подключения USB-устройств и другое.

22

23 Панель администрирования

24 Журнал событий – общая информация

25 Центр данных

26 Фильтрация данных по часам и дням недели

27 Пример сгенерированного отчета

28 StaffCop Standart – screenshots

29 StaffCop Standart – screenshots

30 Загрузка журнала снимков экрана

31 StaffCop Standart – монитор клавиатуры

32 Штатный аудит Категории, регистрируемых событий: аудит сеансов работы пользователя; доступ к объектам ОС; управление пользователями и группами; изменение групповой политики; применение привилегий; системные события; отслеживание процессов.

33 Политика аудита Отмеченные события будут фиксироваться в журнале безопасности. Пуск ПрограммыАдминистрирование Локальная политика безопасности

34 Журналы аудита Windows VistaWindows XP Пуск Настройка Панель управления Администрирование Просмотр событий Пуск

35 Основные виды журналов Журналы событий

36 Щелкаем правой кнопкой в журнал «Приложение» и выбираем пункт «Свойства» То же самое делаем с остальными журналами.

37 Настройка аудита файлов Пуск ПрограммыСтандартные Проводник

38 Настройка аудита файлов Щёлкаем правой кнопкой на интересующий нас файл и выбираем пункт «Свойства»

39 Настройка аудита файлов На вкладке «Безопасность» жмем кнопку «Дополнительно»

40 В появившем- ся окне на вкладке «Аудит» нажмем кнопку «Добавить», в выборе пользовате- ля пишем «Все» (для английского ядра пишем «Everyone»), жмем «Ок» Настройка аудита файлов

41 В появившемся окне отмечаем события, которые должны быть отмечены в журнале: Настройка аудита файлов

42 Ошибка Предупреждение Уведомление Аудит успехов Аудит отказов Окно «Просмотр событий»

43 А. Конан Дойл «Пляшущие человечки»

44 Спасибо за внимание!