Политика за мрежова сигурност – 2

Както вече споменах в статията от предишният брой, „Политиката за мрежова сигурност на корпоративната автоматизирана информационна система /АИС/ и мрежи” включва редица административни, организационни и технически мероприятия, които се налагат и реализират чрез общите правила и принципи за осигуряването на информационната сигурност в конкретната фирма.

Основната цел на вътрешните правила е от една страна да се дефинират правилата за правилното използване на компютърните ресурси, а от друга – да спомогнат за намаляване на риска по отношение на информационната сигурност.

В настоящата статия ще се опитам да обхвана структурата и съдържанието на политиката за мрежова сигурност на корпоративната автоматизирана информационна система /АИС/, както и на мероприятията, който трябва да се изпълнят за реализирането на тази политика.

По-долу е показана примерна струкура на „Политика за  сигурност на корпоративната автоматизирана информационна система /АИС/ и мрежи“, като в част от разделите са дадени применрни описания и параметри:

***********************************************************************************************************
ПОЛИТИКА ЗА  СИГУРНОСТ НА КОРПОРАТИВНАТА АВТОМАТИЗИРАНА ИНФОРМАЦИОННА СИСТЕМА /АИС/ И МРЕЖИ
СЪДЪРЖАНИЕ
ОБЩИ ПОЛОЖЕНИЯ

Потребители на компютърната среда  са всички служители по трудово правоотношение и лицата, работещи по проект към фирмата, ползващи компютърни ресурси на фирмата.

Данните, които се предават, съхраняват и обработват от информационната система  са собственост на фирмата.

Производствена информация са всички данни, както и тези които се изпращани, получавани или съхранявани в архива.

Информационен ресурс е всяка система от физически и / или логически свързани технически средства, програмни продукти и потребителски данни, осигуряващи информационно един или повече бизнес процеси. Информационният ресурс осигурява събиране, обработка, съхраняване и експортиране на информацията. Информацията е основния обект на дейността на информационния ресурс.

Раздел I    ПРАВА И ЗАДЪЛЖЕНИЯ НА РЪКОВОДСТВОТО НА КОРПОРАЦИЯТА /ФИРМАТА/
Управителя  определя със заповед служителите които ще контролират цялостната дейност на информационната система с цел гарантиране спазването на корпоративната политика за сигурност и вътрешните правила.

Управителя утвърждава средствата за управление на достъпа в съответствие с изискванията на политиките за сигурност.

Назначените от Управителя администратори носят отговорност за тестване на средствата за управление на достъпа и мрежите с цел установяване на уязвимите места.

Управителя има право:
да търси административна и дисплинарна отговорност, съгласно Кодекса на труда, действащото българско законодателство и утвърдените вътрешно-дружествени актове при нарушение на правилата.

Раздел II    ПРАВА И  ЗАДЪЛЖЕНИЯ НА ПОТРЕБИТЕЛИТЕ

Раздел III     СПЕЦИФИЧНИ ОТГОВОРНОСТИ КЪМ СИГУРНОСТТА НА ИНФОРМАЦИЯТА
Ръководителите на различните структурни звена трябва персонално да обявят със заповед собственик на всеки информационен ресурс, както и потребителя който има права да предоставя на други потребители права върху информационния ресурс.

Отговорности на  звеното  по информационни технологии:
Обезпечаване информационните ресурси на фирмата от гледна точка на наличност, достъпност, сигурност и надеждност;
Разработване политиките за информационна сигурност;
Предлагане на изменения в съществуващите вътрешни правила за използването на компютърната среда ;
Контролира прилагането и спазването на политиките за информационна сигурност и вътрешните правила в оперативен план.
Внедряване или промени на програмен продукт се прави след наличие на съответно задание и анализиране от гледна точка на сигурността на корпоративната мрежа.

Отговорности на администраторите:
Всеки информационен ресурс има отговорен за него администратор, който да предоставя необходимите права на потребителите, да следи дневниците за контрол на достъпа и да следи за общото състояние на ресурса.
Да контролира правото на потребителя за достъп до информационните ресурси, както и да откаже писмено да предостави достъп, ако не са изпълнени основни изисквания по отношение на сигурността.
………………………………………………………………………………………………………..

Раздел IV      УПРАВЛЕНИЕ НА СИГУРНОСТТА

1.Физическа сигурност на информационните систем и ресурси
Достъпът до помещенията, където се намират технически средства за съхранение на информацията и свързани с тях критични системи трябва да бъде персонално ограничен и следен.
Дневниците за контрол на достъпа в тези помещения трябва да бъде осигурен от звеното по информационна сигурност за срок не по-малък от една година.
Помещенията в които се съхранява конфиденциална информация, както и носители на които има записана конфиденциална информация трябва да бъдат подходящо обозначени и достъпът до тях трябва да бъде персонално лимитиран и следен.
…………………………………………………………………………………………………………………….

2. Нива на достъп до информационните ресурси
……………………………………………………………………………………………………………………

3. Използване на отдалечен достъп до ресурсите в АИС
…………………………………………………………………………………………………………………….

4. Правила за  сигурноста на сървъри и работни статнции
……………………………………………………………………………………………………………………

5. Антивирусна защита на информационните ресурси
……………………………………………………………………………………………………………………

6. Архивиране/възстановяване и съхраняване на инф. ресурси
……………………………………………………………………………………………………………………

7. Правила за достъп до информация за информационанта инфраструктура за служители и външни лица …………………
7.1. Системни администратори
Ключова роля за управлението на сигурността имат системните администратори. Те имат възможно най-пълен достъп както до информационните ресурси, така и до системите, които обслужват сигурността им. Ефективни права на системен администратор могат да се предоставят само на служители , които са на постоянен трудов договор, както и на лица които имат сключен договор за извършване на определена дейност за определено време.
7.2. Нов потребител
Всички заявки за създаване на нови потребители  трябва да бъдат попълнени и подписани предварително от прекия ръководител на новоназначения служител. Заявките трябва да бъдат съхранявани от системните администратори за срок не по-малък от една година.
За всеки потребител се създава „акаунт“ (валидно потребителско име и парола), осигуряващ му идентификация и достъп до съответната част от ресурсите .
Правото на личен E-mail адрес и име към електронната поща се определя индивидуално за всеки потребител от неговия пряк ръководител. Правилата за създаването на E-mail адрес са описани в…………………………………………….
………………………………………………………………………………………………………….

8. Вътрешни правила за използването на публични мрежи ресурси и интернет

Раздел V    ОБЩИ РАЗПОРЕДБИ

***********************************************************************************************

В контекста на показаната примерна структурата на тази политика е необходимо реализирането на различните видове мероприятия като първо ще се спра на:

Административните мероприятия се отнасят до:
Създаване на длъжностни характеристики на служителите в частта им за работата с компютърни системи и електронни документи.
Подбор на персонала – при назначаване на нови служители и при промяна на йерархията трябва да се вземе под внимание и риска от злонаме рени действия на служителите;
Назначаване на системни  администратори.

Функционирането на система за информационна сигурност без компетентен компютърен специалист е невъзможно. При изпълнение на служебните си задължения той има достъп до цялата информация във фирмата. Всяко съмнение в добронамереността на администратора е заплаха за мрежовата сигурност.

Назначаване на звената за сигурност на информацията и администратор по сигурността. Сигурността е процес свързан с изпълнението на мероприятия и дейности, произтичащи от изискванията нормативни документи по опазване конфеденциалноста на корпоративната информация от случайно или преднамерено разкриване, неправомерно използване или унищожаване.

Структороопределящо значение има създаване на звеното което да отговаря за сигурноста на информационните системи.

Определяне зоните за сигурност в структурната еденица:
Ръководителят на корпорацията със съдействието на служителите от звената за сигурност на информацията определят със своя заповед зоните за сигурност и административните зони в зависимост от нивото на класификация и начина на създаване, обработване, съхраняване и предоставяне на информацията.

Създаване на документи с правила за инсталиране на компютърните системи, правила за полагане на кабелните системи на локалната мрежа Изготвяне на административни нареждания:
•    забрана за инсталиране на програмни продукти;
•    съгласие и информираност за работа с конфиденциална информация;
•    забрана за изнасяне на файлове с документи и други данни.;
•    забрана за инсталиране на програмни продукти на работното място.

Произволното инсталиране на безплатен и условно безплатен софтуер носи рискове в сигурността на системата. Посещенията и свалянето на софтуер от различни  сайтове е опасно, много често свалените файлове и дори скриптовете в сайтовете съдържат злонамерен код. Особено внимание трябва да се отдели на Active-X компонентите, които обикновеният потребител може да инсталира. Те могат да включват освен обявените функции и програми от тип „задна врата”. Много от Active-X програмите, скриптовете, безплатните програми изпращат информация от компютъра на който са стартирани, като интерес представляват примерно e-mail адресите, собствения и тези, с които потребителят контактува. Препоръчва се инсталирането на Active-X компонентите да бъде забранено със средствата на браузера, за всички сайтове извън описаните в списъка „Доверени сайтове”. Свалянето от Интернет на програми и инсталирането от потребителите без разрешение на администратора по сигурноста на какъвто и да е софтуер, трябва да бъде категорично забранено.

Извърщване на постоянен контрол и одит на дейноста на администратора/администраторите на АИС от звеното по информационна сигурност.

Румен Дончев, брой 5 на Списание Professional