Главная Обратная связь

Дисциплины:

Архитектура (936)
Биология (6393)
География (744)
История (25)
Компьютеры (1497)
Кулинария (2184)
Культура (3938)
Литература (5778)
Математика (5918)
Медицина (9278)
Механика (2776)
Образование (13883)
Политика (26404)
Правоведение (321)
Психология (56518)
Религия (1833)
Социология (23400)
Спорт (2350)
Строительство (17942)
Технология (5741)
Транспорт (14634)
Физика (1043)
Философия (440)
Финансы (17336)
Химия (4931)
Экология (6055)
Экономика (9200)
Электроника (7621)






Условия подключения абонентов к Сети



6.2.1. Подключение к Сети абонентского пункта (АП) осуществляется по решению руководителя учрежде­ния (предприятия) на основании соответствующего обоснования.

6.2.2. Обоснование необходимости подключения АП к Сети должно содержать:

· наименование Сети, к которой осуществляется подключение, и реквизиты организации-владельца Сети и провайдера Сети;

· состав технических средств для оборудования АП;

· предполагаемые виды работ и используемые прикладные сервисы Сети (E-Mail, FTP, Telnet, HTTP и т.п.) для АП в целом и для каждого абонента, в частности;

· режим подключения АП и абонентов к Сети (постоянный, в т.ч. круглосуточный, временный);

· состав общего и телекоммуникационного программного обеспечения АП и абонентов (ОС, клиент­ские прикладные программы для сети - Browsers и т.п.);

· число и перечень предполагаемых абонентов (диапазон используемых IP- адресов);

· меры и средства защиты информации от НСД, которые будут применяться на АП, организация-изготови­тель, сведения о сертификации, установщик, конфигурация, правила работы с ними;

· перечень сведений конфиденциального характера, обрабатываемых (хранимых) на АП, подлежащих передаче и получаемых из Сети.

6.2.3. Право подключения к Сети АП, не оборудованного средствами защиты информации от НСД, может быть предоставлено только в случае обработки на АП информации с открытым доступом, оформленной в установленном порядке как разрешенной к открытому опубликованию. В этом случае к АП, представляю­щим собой автономную ПЭВМ с модемом, специальные требования по защите информации от НСД не предъявляются.

6.2.4. Подключение к Сети АП, представляющих собой внутренние (локальные) вычислительные сети, на которых обрабатывается информация, не разрешенная к открытому опубликованию, разрешается только после установки на АП средств защиты информации от НСД, отвечающих требованиям и рекомендациям, изложенным в подразделе 6.3.

6.3. Порядок подключения и взаимодействия абонентских пунктов с Сетью, требования и рекомен­дации по обеспечению безопасности информации

6.3.1. Подключение АП к Сети должно осуществляться в установленном порядке через провайдера Сети.

6.3.2. Подключение ЛВС предприятия (учреждения) к Сети должно осуществляться через средства разгра­ничения доступа в виде МЭ (Firewall, Брандмауэр). Не допускается подключение ЛВС к Сети в обход МЭ. МЭ должны быть сертифицированы по требованиям безопасности информации.



6.3.3. Доступ к МЭ, к средствам его конфигурирования должен осуществляться только выделенным адми­нистратором с консоли. Средства удаленного управления МЭ должны быть исключены из конфигурации.

6.3.4. АП с помощью МЭ должен обеспечивать создание сеансов связи абонентов с внешними серверами Сети и получать с этих серверов только ответы на запросы абонентов. Настройка МЭ должна обеспечивать отказ в обслуживании любых внешних запросов, которые могут направляться на АП.

6.3.5. При использовании почтового сервера и Web-сервера предприятия, последние не должны входить в состав ЛВС АП и должны подключаться к Сети по отдельному сетевому фрагменту (через маршрутизатор).

6.3.6. На технических средствах АП должно находиться программное обеспечение только в той конфигура­ции, которая необходима для выполнения работ, заявленных в обосновании необходимости подключения АП к Сети (обоснование может корректироваться в установленном на предприятии порядке).

Не допускается активизация не включенных в обоснование прикладных серверов (протоколов) и не тре­бующих привязок протоколов к портам.

6.3.7. Установку программного обеспечения, обеспечивающего функционирование АП, должны выполнять уполномоченные специалисты под контролем администратора. Абоненты АП не имеют права производить самостоятельную установку и модификацию указанного программного обеспечения, однако могут обра­щаться к администратору для проведения его экспертизы на предмет улучшения характеристик, наличия "вирусов", замаскированных возможностей выполнения непредусмотренных действий. Вся ответствен­ность за использование не прошедшего экспертизу и не рекомендованного к использованию программного обеспечения целиком ложится на абонента АП. При обнаружении фактов такого рода администратор обя­зан логически (а при необходимости - физически вместе с включающей подсетью) отключить рабочее ме­сто абонента от Сети и ЛВС и поставить об этом в известность руководство.



6.3.8. Устанавливаемые межсетевые экраны должны соответствовать классу защищаемого АП (АС) и отве­чать требованиям РД Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкциониро­ванного доступа к информации".

6.3.9. СЗИ НСД, устанавливаемая на автономную ПЭВМ, рабочие станции и серверы внутренней ЛВС предприятия при обработке на них конфиденциальной информации, должна осуществлять:

· идентификацию и аутентификацию пользователей при доступе к автономной ПЭВМ, рабочим стан­циям и серверам внутренней ЛВС по идентификатору и паролю;

· контроль доступа к ресурсам автономной ПЭВМ, рабочих станций и серверов внутренней ЛВС на ос­нове дискреционного принципа;

· регистрацию доступа к ресурсам автономной ПЭВМ, рабочих станций и серверов внутренней ЛВС, включая попытки НСД;

· регистрацию фактов отправки и получения абонентом сообщений (файлов, писем, документов).

При этом СЗИ НСД должна запрещать запуск абонентом произвольных программ, не включенных в состав программного обеспечения АП.

Модификация конфигурации программного обеспечения АП должна быть доступна только со стороны ад­министратора, ответственного за эксплуатацию АП.

Средства регистрации и регистрируемые данные должны быть недоступны для абонента.

СЗИ НСД должна быть целостной, т.е. защищенной от несанкционированной модификации и не содержа­щей путей обхода механизмов контроля.

Тестирование всех функций СЗИ НСД с помощью специальных программных средств должно проводится не реже одного раза в год.

6.3.10. Технические средства АП должны быть размещены либо в отдельном помещении (при автономной ПЭВМ, подключенной к Сети), либо в рабочих помещениях абонентов с принятием организационных и технических мер, исключающих несанкционированную работу в Сети. В этих помещениях должно быть исключено ведение конфиденциальных переговоров, либо технические средства должны быть защищены с точки зрения электроакустики. В нерабочее время помещение автономной ПЭВМ либо соответствующего сервера сдается под охрану в установленном порядке.

6.3.11. При создании АП рекомендуется:

6.3.11.1. По возможности размещать МЭ для связи с внешними Сетями, Web-серверы, почтовые серверы в отдельном ЗП, доступ в которое имел бы ограниченный круг лиц (ответственные специалисты, админист­раторы). Периодически проверять работоспособность МЭ с помощью сканеров, имитирующих внешние атаки на внутреннюю ЛВС. Не следует устанавливать на МЭ какие-либо другие прикладные сервисы (СУБД, E-mail, прикладные серверы и т.п.).

6.3.11.2. При предоставлении абонентам прикладных сервисов исходить из принципа минимальной доста­точности. Тем пользователям АП, которым не требуются услуги Сети, не предоставлять их. Пользователям, которым необходима только электронная почта (E-mail), предоставлять только доступ к ней. Максималь­ный перечень предоставляемых прикладных сервисов ограничивать следующими: E-mail, FTP, HTTP, Telnet.

6.3.11.3. При создании АП следует использовать операционные системы со встроенными функциями за­щиты информации от НСД, перечисленными в п.6.3.9, или использовать сертифицированные СЗИ НСД.

6.3.11.4. Эффективно использовать имеющиеся в маршрутизаторах средства разграничения доступа (фильтрацию), включающие контроль по списку доступа, аутентификацию пользователей, взаимную ау­тентификацию маршрутизаторов.

6.3.11.5. В целях контроля за правомерностью использования АП и выявления нарушений требований по защите информации осуществлять анализ принимаемой из Сети и передаваемой в Сеть информации, в том числе на наличие "вирусов". Копии исходящей электронной почты и отсылаемых в Сеть файлов следует направлять в адрес защищенного архива АП для последующего анализа со стороны администратора (службы безопасности).

6.3.11.6. Проводить постоянный контроль информации, помещаемой на Web-серверы предприятия. Для этого следует назначить ответственного (ответственных) за ведение информации на Web-сервере. Преду­смотреть порядок размещения на Web-сервере информации, разрешенной к открытому опубликованию.

6.3.12. Приказом по учреждению (предприятию) назначаются лица (абоненты), допущенные к работам в Сети с соответствующими полномочиями, лица, ответственные за эксплуатацию указанного АП и контроль за выполнением мероприятий по обеспечению безопасности информации при работе абонентов в Сети (ру­ководители подразделений и администраторы).

6.3.13. Вопросы обеспечения безопасности информации на АП должны быть отражены в инструкции, оп­ределяющей:

· порядок подключения и регистрации абонентов в Сети;

· порядок установки и конфигурирования на АП общесистемного, прикладного коммуникационного про­граммного обеспечения (серверов, маршрутизаторов, шлюзов, мостов, межсетевых экранов, Browsers), их новых версий;

· порядок применения средств защиты информации от НСД на АП при взаимодействии абонентов с Се­тью;

· порядок работы абонентов в Сети, в том числе с электронной почтой (E-mail), порядок выбора и дос­тупа к внутренним и внешним серверам Сети (Web-серверам);

· порядок оформления разрешений на отправку данных в Сеть (при необходимости);

· обязанности и ответственность абонентов и администратора внутренней ЛВС по обеспечению безопас­ности информации при взаимодействии с Сетью;

· порядок контроля за выполнением мероприятий по обеспечению безопасности информации и работой абонентов Сети.

6.3.14. К работе в качестве абонентов Сети допускается круг пользователей, ознакомленных с требова­ниями по взаимодействию с другими абонентами Сети и обеспечению при этом безопасности информации и допускаемых к самостоятельной работе в Сети после сдачи соответствующего зачета.

6.3.15. Абоненты Сети обязаны:

· знать порядок регистрации и взаимодействия в Сети;

· знать инструкцию по обеспечению безопасности информации на АП;

· знать правила работы со средствами защиты информации от НСД, установленными на АП (серверах, ра­бочих станциях АП);

· уметь пользоваться средствами антивирусной защиты;

· после окончания работы в Сети проверить свое рабочее место на наличие "вирусов".

6.3.16. Входящие и исходящие сообщения (файлы, документы), а также используемые при работе в Сети носители информации учитываются в журналах несекретного делопроизводства. При этом на корпусе (конверте) носителя информации наносится предупреждающая маркировка: "Допускается использование только в Сети ____".

6.3.17. Для приемки в эксплуатацию АП, подключаемого к Сети, приказом по учреждению (предприятию) назначается аттестационная комиссия, проверяющая выполнение установленных требований и рекоменда­ций. Аттестационная комиссия в своей работе руководствуется требованиями и рекомендациями настоя­щего документа.

6.3.18. По результатам работы комиссии оформляется заключение, в котором отражаются следующие све­дения:

· типы и номера выделенных технических средств АП, в т.ч. каждого абонента, их состав и конфигура­ция;

· состав общего и сервисного прикладного коммуникационного программного обеспечения (ОС, маршру­тизаторов, серверов, межсетевых экранов, Browsers и т.п.) на АП в целом и на каждой рабочей станции абонента, в частности: логические адреса (IP-адреса), используемые для доступа в Сети;

· мероприятия по обеспечению безопасности информации, проведенные при установке технических средств и программного обеспечения, в т.ч. средств защиты информации от НСД, антивирусных средств, по защите информации от утечки по каналам ПЭМИН, наличие инструкции по обеспечению безопасности информации на АП.

6.3.19. При работе в Сети категорически запрещается:

· подключать технические средства (серверы, рабочие станции), имеющие выход в Сеть, к другим техни­ческим средствам (сетям), не определенным в обосновании подключения к Сети;

· изменять состав и конфигурацию программных и технических средств АП без санкции администра­тора и аттестационной комиссии;

· производить отправку данных без соответствующего разрешения;

· использовать носители информации с маркировкой: "Допускается использование только в Сети ____" на рабочих местах других систем (в том числе и автономных ПЭВМ) без соответствующей санкции.

6.3.20. Ведение учета абонентов, подключенных к Сети, организуется в устанавливаемом в учреждении (на предприятии) порядке.

Контроль за выполнением мероприятий по обеспечению безопасности информации на АП возлагается на администраторов АП, руководителей соответствующих подразделений, определенных приказом по учреж­дению (предприятию), а также руководителя службы безопасности.

ПРИЛОЖЕНИЯ

Приложение № 1

Утверждаю
Руководитель предприятия

"____"__________"____"г.

А К Т

классификации автоматизированной системы обработки информации

(наименование автоматизированной системы)

Комиссия в составе:

председатель:

члены комиссии:

рассмотрев исходные данные на автоматизированную систему обработки информации (АС) наименование ав­томатизированной системы условия ее эксплуатации (многопользовательский, однопользовательский; с рав­ными или разными правами доступа к информации), с учетом характера обрабатываемой информации (служеб­ная тайна, коммерческая тайна, персональные данные и т.д.) и в соответствии с руководящими документами Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информа­ции. Классификация автоматизированных систем и требования по защите информации" и "Специальные требо­вания и рекомендации по технической защите конфиденциальной информации (СТР-К)",

РЕШИЛА:

Установить АС наименование автоматизированной системы класс защищенности _______.

Председатель

Члены комиссии

Приложение № 2

АТТЕСТАТ СООТВЕТСТВИЯ № ____

указывается полное наименование автоматизированной системы


Эта страница нарушает авторские права

allrefrs.ru - 2019 год. Все права принадлежат их авторам!