Анализ и реинжиниринг системы информационной безопасности на предприятии ГУ Банка России

– технологические и тестовые подсистемы, используемые для сопровождения программного обеспечения;

– рабочие подсистемы (УБР, ТЦОИ, ЦОИ, КЦОИ) РАБИС-НП;

– средства организации электронного документооборота системы (средства криптографической защиты информации и их ключи, средства технологического контроля, и т.д.)

– электронные сообщения (электронные документы) и их архивы.

2.

2. Обзор направлений защиты информации РАБИС-НП

Основные направления обеспечения информационной безопасности РАБИС-НП представлены на Рис. 1.

Тщательное планирование конфигурации локальных сетей учреждений, применение межсетевых экранов для изоляции сегментов локальной сети расчетной системы РАБИС-НП от локальных или глобальных сетей, используемых в других целях, обеспечение безопасной конфигурации аппаратных и системных средств вычислительных комплексов являются важнейшими задачами служб эксплуатации, информатизации и технической защиты информации на объектах автоматизации.

Обеспечение целостности дистрибутивов и пакетов модификации ТПК «РАБИС-НП» является сферой ответственности разработчика программного обеспечения.

Защита технологических и тестовых подсистем сопровождения ТПК «РАБИС-НП» обеспечивается службами эксплуатации и информатизации объектов автоматизации, и состоит в максимальном ограничении доступа к этим подсистемам.

Рис. 1. Важнейшие направления обеспечения информационной безопасности РАБИС-НП

Обеспечение информационной безопасности рабочих подсистем РАБИС-НП в процессе их эксплуатации является сферой ответственности администраторов программного обеспечения и, в первую очередь, администраторов информационной безопасности этих подсистем, выполняющих свои функции с помощью соответствующих АРМ подсистемы. Важнейшими функциями администраторов программного обеспечения являются: настройка АРМ и параметров программного комплекса, применение пакетов модификации ТПК «РАБИС-НП», запуск, мониторинг и остановку серверных процессов, и т.п. Важнейшими функциями администраторов информационной безопасности являются: управление пользователями подсистемы, управление их доступом к ресурсам РАБИС-НП, контроль целостности программного обеспечения подсистемы, анализ регистрационных журналов программного комплекса.

Важнейшим направлением обеспечения информационной безопасности рабочих подсистем РАБИС-НП является защита их электронного документооборота, включающая применение криптографических средств электронной цифровой подписи (ЭЦП, КА, ЗК) для защиты и аутентификации электронных документов, ведение архивов входящих и исходящих электронных сообщений системы, использование средств технологического контроля электронных документов и т.д.

3. ТРЕБОВАНИЯ К ЗАЩИТЕ АППАРАТНЫХ И СИСТЕМНЫХ СРЕДСТВ подсистем РАБИС-НП

3.1. Требования к организационно-техническим мероприятиям по обеспечению защиты инфраструктуры локальных сетей, телекоммуникаций и серверов подсистем РАБИС-НП

Безопасность автоматизированной системы в значительной степени определяется конфигурацией системных средств объектов автоматизации – операционных систем, СУБД и сетевых сервисов. Чем сильнее «закрыты» локальные сети, операционные системы и СУБД вычислительных установок УБР, ТЦОИ и КЦОИ для неиспользуемых в РАБИС-НП и ИСУ ТИР сервисов и приложений, тем выше уровень информационной безопасности.

На объектах автоматизации должны выполняться следующие требования:

– cерверные вычислительные установки (центральные серверы подсистем обработки информации КЦОИ, серверы доступа, серверы контроля, серверы подсистем УБР и ТУ, серверы средств телекоммуникаций и т.п.) должны располагаться в отдельных помещениях, доступ в которые должен быть максимально ограничен организационно-техническими мерами;

– для регламентации сетевого доступа к серверам и рабочим станциям подсистем РАБИС-НП должна использоваться сегментация локальных вычислительных сетей соответствующих учреждений и подразделений Банка России (рекомендации по отделению платежных сегментов от других сегментов ЛВС УБР, ТУ, ТЦОИ и КЦОИ);

– средства управления маршрутизацией должны быть сконфигурированы для маршрутизации только необходимых для функционирования приложений РАБИС-НП и РЗ ИСУ ТИР сетевых сервисов; сетевые пакеты других сетевых служб и протоколов должны отвергаться;

– работа пользователей, имеющих особые привилегии (администраторов операционной системы, администраторов СУБД, администратора ПО - пользователя «xpress», администратора информационной безопасности – пользователя «security») должна организационно допускаться только с определенных рабочих станций, защищенных средствами защиты информации от НСД с активизированными средствами регистрации;

– доступ к консолям серверов должен быть ограничен организационно-техническими мерами;

– на рабочих станциях пользователей, работающих со средствами криптографической защиты информации, должны использоваться средства защиты информации от НСД;

– на рабочих станциях пользователей должна быть создана изолированная программная среда, позволяющая пользователям выполнять только функции, регламентированные технологическим процессом.

Администраторы ОС USS zOS вычислительных установок, на которых функционируют подсистемы ОИТУ КЦОИ должны обеспечивать выполнение следующих требований:

– использование служб управления паролями операционной системы и СУБД с обеспечением установленных Банком России требований к парольной защите (длина пароля на менее 8 символов, обязательное наличие букв нижнего и верхнего регистров, цифр и специальных символов, проверка вновь устанавливаемого значения пароля на отличие от ранее использованных значений, срок действительности не более 1 месяца, и т.д.);

– ограничение списка каталогов, включаемых в переменную окружения PATH, и периодическую проверку всех программ, доступных по этому пути. Особенно тщательно должны быть проверены программы, использующие s-бит. Наличие доступных пользователям прикладных suid- программ, владельцем которых является root, является абсолютно недопустимым;

– настройку операционной системы UNIX для разграничения доступа групп пользователей в стиле Berkeley;

– использование в файлах настройки (профайлах) пользователей АРМ КЦОИ, функционирующих в терминальном режиме, маски прав доступа для вновь создаваемых файлов (permission mask) со значением umask=006;

– ограничение списка «доверенных хостов» сети (в файлы host-эквивалентности: $HOME/.rhosts, /etc/hosts.equiv могут включаться только установки тестового и технологического комплексов сопровождения ПО);

– предотвращение возможности выхода пользователя в режим командной строки и возможности одновременной работы двух и более пользователей с одним и тем же именем в операционной системе (обеспечивается включением процедуры singlelogin.sh, поставляемой в составе ТПК РАБИС-НП, в профайлы пользователей терминальных АРМ в качестве последней процедуры, выполняемой при входе пользователя в систему).

 Скачать реферат