Руководство по безопасной настройке и контролю сертифицированной версии зао «алтэкс-софт», 2011



Скачать 15.71 Kb.

страница14/14
Дата26.11.2016
Размер15.71 Kb.
Просмотров305
Скачиваний0
ТипРуководство
1   ...   6   7   8   9   10   11   12   13   14
Дополнительные настройки безопасности
Осуществляемые для компьютеров, выступающих в роли бастион-хоста, дополнительные настройки безопасности предусматривают удаление сетевых протоколов и привязок, в которых нет необходимости.
На компьютерах, доступных из сетей общего пользования (например, Интернет), должны быть запрещены все сетевые протоколы, которых не используются. Это позволит противостоять различным угрозам, объектами которых они могут выступать. В частности, данные атаки могут быть направлены на получение необходимой информации относительной атакуемой системы с целью поиска в ней дополнительных уязвимостей. Так,
SMB-протокол позволяет пользователям, не прошедшим процедуру аутентификации, получать в рамках null-сессии информацию относительно общих папок, учетных записях пользователей системы (включая информацию о членстве в группах безопасности и назначенных правах), ключах реестра и т.д.
Запрет SMB-протокола и службы NetBIOS через TCP/IP позволяет повысить безопасность бастион-хоста, существенно снизив при этом область возможных атак. Хотя настройка сервера в соответствии с описанной выше конфигурацией безопасности приведет к ухудшению управляемости системы и невозможности доступа к расположенным в вычислительной сети общим папкам, в тоже время эти меры позволяют обеспечить эффективную защиту сервера от различных угроз безопасности.
Чтобы отключить поддержку системой протокола SMB, должны быть выполнены следующие действия:

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
176
1.
Осуществлен вызов свойств сетевого подключения к сети общего пользования.
Для этого нажать Пуск → Панель управления → Сетевые подключения. Далее выбрать требуемое сетевое подключение и вызвать диалоговое окно его свойств.
2.
В диалоговом окне свойств подключения в группе «Компоненты, используемые этим подключением» выбрать элемент «Клиент для сетей
Microsoft» и нажать «Удалить» (см. рисунок А.2.2.1).
Рисунок А.2.2.1 3.
Далее выбрать элемент «Служба доступа к файлам и принтерам сетей
Microsoft» и нажать «Удалить».
4.
Закрыть диалоговое окно свойств сетевого подключения.
Чтобы отключить поддержку операционной системой службы NetBIOS через TCP/IP
(NetBIOS over TCP/IP), должны быть выполнены следующие действия:
1.
Осуществлен вызов «Диспетчера устройств». Для этого нажать Пуск →
Панель управления → Система. В появившемся диалоговом окне свойств системы перейти на вкладку «Оборудование» и нажать «Диспетчер устройств».
2.
В диалоговом окне диспетчера устройств выбрать меню «Вид» и далее пункт
«Показать скрытые устройства».

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
177
3.
В появившемся списке раскрыть элемент «Драйверы устройств не Plug-n-
Play».
5.
Выбрать «NetBIOS через TCP/IP» и далее через контекстное меню «Отключить»
(см. рисунок А.2.2.2).
Рисунок А.2.2.2 4.
Закрыть диалоговое окно диспетчера устройств.


Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
178
Приложение Б
Б.1

Общие положения по подготовке к аттестации объектов информатизации по
требованиям безопасности
Началу обработки конфиденциальной информации на объекте информатизации должна предшествовать его подготовка и аттестация на соответствие требованиям по безопасности информации, изложенным в законодательных, нормативных, правовых и руководящих документах, действующих на момент проведения аттестации.
Подготовка объекта информатизации к аттестации предусматривает:
1.
Создание системы (подсистемы) информационной безопасности организации, эксплуатирующей объект информатизации.
2.
Создание системы защиты конфиденциальной информации объекта информатизации.
3.
Организацию безопасной эксплуатации объекта информатизации и поддержание его системы защиты информации в актуальном состоянии.
Аттестация объекта информатизации выполняется специальной комиссией
(экспертной группой), создаваемой внутри организации, эксплуатирующей объект информатизации, с привлечением компетентных специалистов в области защиты информации.
Аттестация объекта информатизации может проводиться на договорной основе силами сторонней организации, специализирующейся в области защиты информации и имеющей соответствующие лицензии по защите конфиденциальной информации.
В ходе проведения аттестации экспертной комиссией проводится оценка достаточности и эффективности реализованных на объекте информатизации организационных и технических мер по защите конфиденциальной информации.
По результатам работы аттестационной комиссии на объект информатизации выдается специальный документ – «Аттестат соответствия объекта информатизации требованиям по безопасности информации» [1].
Система (подсистема) информационной безопасности организации должна включать:

подразделения (специалистов) по защите информации;

комплект организационно-распорядительных и плановых документов по защите информации;

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
179

общеобъектовые системы обеспечения безопасности, включая системы охраны, видеонаблюдения и контроля доступа, системы пожарной безопасности и др.
Формирование подразделения по защите информации предполагает определение его функциональных задач, полномочий и зон ответственности, обучение персонала и назначение на должности приказами соответствующих руководителей.
При этом ответственность за выполнение требований по технической защите конфиденциальной информации возлагается на руководителей организаций, эксплуатирующих объекты информатизации. Организация работ по защите информации возлагается на руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации - на руководителей подразделений по защите информации (служб безопасности) организации.
Комплект организационно-распорядительных и плановых документов по защите
информации в организации в целом должен определять:

политику информационной безопасности организации;

порядок доступа персонала и посторонних лиц в помещения, где размещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации;

организацию физической защиты помещений и собственно технических средств обработки информации с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации;

порядок учета и надежного хранения бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение (носители конфиденциальной информации на магнитной
(магнитооптической), оптической и бумажной основе должны учитываться, храниться и уничтожаться в подразделениях организации в установленном порядке);

разрешительную систему доступа персонала к конфиденциальным сведениям;

сведения конфиденциального характера, подлежащие защите в организации;

систему конфиденциального документооборота, включая порядок учета носителей конфиденциальной информации;

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
180

порядок планирования и проведения работ по созданию и эксплуатации объектов информатизации и их средств защиты информации в организации;

порядок контроля состояния защиты информации в организации, проводимого с целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к ней и предотвращения специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности или доступности информации;

ответственность персонала за нарушение требований информационной безопасности.
Как правило, комплект организационно-распорядительных и плановых документов по защите информации применительно к организации включает:

перечень сведений конфиденциального характера, подлежащих защите в организации в соответствии с законодательными и нормативными правовыми актами, а также другими внутренними (внутриведомственными) документами;

документы, определяющие политику безопасности организации в части общей разрешительной системы доступа различных категорий персонала к конфиденциальным сведениям и порядок предоставления пользователям установленных полномочий доступа к соответствующим видам информации, обрабатываемой на объектах информатизации
(например, концепция информационной безопасности организации);

инструкцию по организации служебного документооборота;

«Положение о порядке организации и проведения работ по защите конфиденциальной информации», содержащее:

порядок определения защищаемой информации;

порядок привлечения подразделений организации, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;

порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;

порядок разработки, ввода в действие и эксплуатацию объектов информатизации;

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
181

ответственность должностных лиц за своевременность и качество формирования требований по защите информации, за качество и научно- технический уровень разработки СЗИ;

положение по контролю состояния защиты информации;

положение о подразделении (специалисте) по защите информации.

Система защиты конфиденциальной информации объекта информатизации включает две основные подсистемы:
1.
Подсистему защиты информации от несанкционированного доступа (НСД).
2.
Подсистему защиты информации от утечки или воздействия на нее по техническим каналам (реализуется при необходимости и в данном руководстве не рассматривается).
Подсистему защиты информации от несанкционированного доступа образуют:

сертифицированные средства защиты информации от НСД;

организационно-распорядительные и эксплуатационные документы;

персонал, обеспечивающий безопасную эксплуатацию объекта информатизации и поддержание его системы защиты информации в актуальном состоянии
(администратор информационной безопасности, администратор сети, пользователи и др.).
При этом средства защиты информации от НСД и их настройки должны обеспечивать:

разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации, а также к носителям информации на магнитной
(магнитооптической), оптической и бумажной основе в соответствии с разработанной и утвержденной разрешительной системой допуска к сведениям конфиденциального характера, действующей в организации. При этом права и полномочия доступа пользователей к информации, обрабатываемой на объекте информатизации, реализуются на основе соответствующих групповых политик или матрицы доступа;

регистрацию действий пользователей и обслуживающего персонала при проведении работ на объекте информатизации, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
182

регулярное дублирование (резервное копирование) массивов и носителей информации;

предотвращение внедрения программ-вирусов, программных закладок.
В качестве дополнительных организационных и технических мер по защите конфиденциальной информации на объекте информатизации рекомендуются:

использование средств «гарантированной загрузки» операционной системы;

регистрация выдачи печатных (графических) документов на «твердую» копию;

учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал;

учет обеспечение учета в журнале (картотеке) с регистрацией их выдачи (приема);

использование средств восстановления операционной системы после сбоя;

обеспечение защиты технических средств, на базе которых функционирует операционная система, от несанкционированной физической модификации;

управление настройками безопасности операционной системы администраторами безопасности;

размещение объектов защиты на максимально возможном расстоянии от границы контролируемой зоны;

размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;

использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;

использование сертифицированных систем гарантированного электропитания
(источников бесперебойного питания);

применение средств защиты от утечки информации или воздействия на нее по техническим каналам.
Для передачи информации по каналам связи, выходящим за пределы контролируемой зоны, рекомендуется использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи, а при использовании открытых каналов связи, применять сертифицированные криптографические средства защиты информации.
Совокупность организационно-распорядительных и эксплуатационных документов на аттестуемый объект информатизации должна определять:

класс защищенности объекта информатизации;

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
183

состав технических и программных средств, установленных на аттестуемом объекте информатизации;

установленную технологию (описание технологического процесса) обработки информации на объекте информатизации;

порядок обращения с защищаемыми информационными ресурсами (порядок их учета, хранения, обработки, передачи во внешние сети и другие организации);

основные права, обязанности и порядок работы пользователей и администраторов;

права доступа к защищаемым информационным ресурсам и порядок их получения;

порядок установки и внесения изменений в состав технических и программных средств и регламент их обслуживания и сопровождения;

порядок организации антивирусной защиты;

порядок организации резервного копирования и восстановления информации;

ответственность за нарушение установленного порядка работ на объекте информатизации.
Данные документы реализуются в виде:

акта классификации автоматизированной системы (объекта информатизации);

паспорта (формуляра) объекта;

различного рода приказов, положений, инструкций и других видов и форм организационно-распорядительных документов.

Организация безопасной эксплуатации объекта информатизации и поддержание
его системы защиты информации в актуальном состоянии предполагает:

определение (назначение) должностных лиц, ответственных за эксплуатации объекта информатизации и его системы защиты информации;

обучение персонала;

оперативное изменение прав доступа пользователей к защищаемым информационным ресурсам;

организацию антивирусной защиты, резервного копирования и восстановления информации;

установку и внесение изменений в состав технических и программных средств;

организацию контроля за состоянием защиты информации на объекте информатизации, включая анализ действий пользователей и обслуживающего

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
184
персонала при проведении работ на объекте информатизации, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц.
Б.2

Порядок подготовки к аттестации объектов информатизации по требованиям
безопасности
Подготовка к аттестации автономных рабочих мест на базе ПЭВМ с установленной сертифицированной версией операционной системы Microsoft
®
Windows Server 2003 проводится в следующей последовательности:
1.
Провести экспертное обследование объекта информатизации.
2.
Определить класс защищенности автоматизированной системы [1,2].
3.
Установить операционную систему Microsoft
®
Windows Server 2003 и настроить ее в соответствии с той конфигурацией, в которой данное изделие было сертифицировано (см. раздел 2), осуществить контроль версии и текущих настроек безопасности операционной системы (см. раздел 3).
4.
Реализовать дополнительные условия эксплуатации операционной системы.
5.
Установить необходимое общесистемное и прикладное программное обеспечение, включая средства антивирусной защиты.
6.
Убедиться в наличии и эффективности функционирования системы (подсистемы) информационной безопасности организации, эксплуатирующей объект информатизации.
7.
Разработать необходимые организационно-распорядительные и эксплуатационные документы по защите информации на объект информатизации.
8.
Сформировать матрицу прав доступа пользователей к информационным ресурсам автоматизированной системы и выполнить соответствующие настройки операционной системы, программных приложений и используемых средств защиты от НСД. Настройка разграничения доступа пользователей и обслуживающего персонала к информационным ресурсам системы осуществляется в следующей последовательности:

посредством контекстного меню необходимо получить доступ к диалоговому окну свойств защищаемого информационного ресурса (файла или папки) и перейти на вкладку «Безопасность» (см. рисунок Б.2.1);

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
185
Рисунок Б.2.1

через кнопку «Добавить…» выбрать пользователей или группы пользователей
(субъектов доступа), которым необходимо запретить или предоставить разрешения на доступ к данному ресурсу (объекту доступа) (см. рисунок Б.2.2):
Рисунок Б.2.2

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
186

в окне списка разрешений, установить или снять соответствующий флажок, чтобы явно разрешить или запретить доступ к ресурсу выбранным пользователям или группам пользователей. С целью более гибкой настройки разрешений на доступ к защищаемому ресурсу через кнопку «Дополнительно» окна свойств защищаемого информационного ресурса получить доступ к окну настройки дополнительных параметров безопасности (см. рисунок Б.2.3). Через кнопку «Изменить…» получить доступ к диалоговому окну «Элемент разрешений для …» и установить требуемые разрешения доступа для выбранных субъектов (см. рисунок Б.2.4).
Рисунок Б.2.3

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
187
Рисунок Б.2.4 9.
Провести проверку функционирования подсистемы управления доступом
(механизмы идентификации, аутентификации и контроля доступа), подсистемы регистрации и учета, подсистемы обеспечения целостности [2].
10.
Оценить уровень подготовки персонала
(знание организационно- распорядительных и эксплуатационных документов по защите информации на объект информатизации) и распределение ответственности за выполнение требований по защите информации.
11.
Убедиться в наличии и эффективном функционировании системы безопасной эксплуатации объекта информатизации и поддержании его системы защиты информации в актуальном состоянии.
12.
Подготовить аттестат соответствия на объект информатизации и приложения к нему
(для автоматизированного формирования и печати «Аттестата соответствия …» может использоваться «Программа контроля сертифицированной версии Microsoft
®
Windows Server
2003», поставляемая на компакт-диске дополнительно к дистрибутиву операционной системы
Microsoft
®
Windows Server 2003).


Поделитесь с Вашими друзьями:
1   ...   6   7   8   9   10   11   12   13   14


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал