- Lektsia - бесплатные рефераты, доклады, курсовые работы, контрольные и дипломы для студентов - https://lektsia.info -

Безопасность информационной системы



Информация и поддерживающие ее информационные системы и сети являются ценными производственными ресурсами организации. Их доступность, целостность и конфиденциальность могут иметь особое значение для обеспечения конкурентоспособности, движения денежной наличности, рентабельности, соответствия правовым нормам и имиджа организации. Современные организации могут столкнуться с возрастающей угрозой нарушения режима безопасности, исходящей от целого ряда источников. Информационным системам и сетям могут угрожать такие опасности, как компьютерное мошенничество, шпионаж, саботаж, вандализм, а также другие источники отказов и аварий. Появляются все новые угрозы, способные нанести ущерб организации, такие, как, широко известные компьютерные вирусы или хакеры. Предполагается, что такие угрозы информационной безопасности со временем станут более распространенными, опасными и изощренными. В то же время из-за возрастающей зависимости организаций от информационных систем и сервисов, они могут стать более уязвимыми по отношению к угрозам нарушения защиты. Распространение вычислительных сетей предоставляет новые возможности для несанкционированного доступа к компьютерным системам, а тенденция к переходу на распределенные вычислительные системы уменьшает возможности централизованного контроля информационных систем специалистами.

Защитные меры оказываются значительно более дешевыми и эффективными, если они встроены в информационные системы и сервисы на стадиях задания требований и проектирования. Чем скорее организация примет меры по защите своих информационных систем, тем более дешевыми и эффективными они будут для нее впоследствии.

Из всего многообразия нарушений безопасности информационных систем в данном курсовом проекте рассмотрим только управление доступом пользователей.

Цель: Предотвратить несанкционированный доступ к компьютерным системам.

Для управления процессом предоставления прав доступа к информационным системам требуются формальные процедуры.

Эти процедуры должны включать в себя все стадии жизненного цикла управления доступом пользователей — от начальной регистрации новых пользователей до удаления учетных записей пользователей, которые больше не нуждаются в доступе к информационным сервисам. Особое внимание следует уделить необходимости управления процессом предоставления привилегированных прав доступа, которые позволяют пользователям обойти средства системного контроля.

Регистрация пользователей

Для управления доступом ко всем многопользовательским информационным системам должна существовать формальная процедура регистрации и удаления учетных записей пользователей.

Доступ к многопользовательским информационным системам необходимо контролировать посредством формального процесса регистрации пользователей, который должен, например:

а) проверять, предоставлено ли пользователю разрешение на использование сервиса владельцем системы;

б) проверять, достаточен ли уровень доступа к системе, предоставленного пользователю, для выполнения возложенных на него функций (см. Документированная политика управления доступом к информации) и не противоречит ли он политике безопасности, принятой в организации, например, не компрометирует ли он принцип разделения обязанностей (см. Разделение обязанностей);

в) предоставлять пользователям их права доступа в письменном виде;

г) потребовать от пользователей подписания обязательства, чтобы показать, что они понимают условия доступа;

д) потребовать от поставщиков услуг, чтобы они не предоставляли доступ к системам до тех пор, пока не будут закончены процедуры определения полномочий;

е) вести формальный учет всех зарегистрированных лиц, использующих систему;

ж) немедленно изымать права доступа у тех пользователей, которые сменили работу или покинули организацию;

з) периодически проверять и удалять пользовательские идентификаторы и учетные записи, которые больше не требуются;

и) проверять, не выданы ли пользовательские идентификаторы, которые больше не нужны, другим пользователям.

Управление привилегиями

Использование специальных привилегий (см. Инцидент в системе безопасности) следует ограничить и контролировать.

 

Примечание. Предоставление и использование излишних системных привилегий зачастую оказывается одним из основных факторов, способствующих нарушению режима безопасности систем (уязвимость).

Для многопользовательских систем, требующих защиты от несанкционированного доступа, предоставление привилегий необходимо контролировать посредством формального процесса определения полномочий следующим образом:

а) Идентифицировать привилегии, связанные с каждым программным продуктом, поддерживаемым системой, например, с операционной системой или СУБД, а также категории сотрудников, которым их необходимо предоставить.

б) Предоставить привилегии отдельным лицам только в случае крайней необходимости и в зависимости от ситуации, т.е. только когда они нужны для выполнения ими своих функций.

в) Реализовать процесс определения полномочий и вести учет всех предоставленных привилегий. Не следует предоставлять привилегии до окончания процесса определения полномочий.

г) Содействовать разработке и использованию системных программ, чтобы избежать необходимость предоставления привилегий пользователям.

д) Пользователи, которым предоставлены большие привилегии для специальных целей, должны использовать другой пользовательский идентификатор для обычной работы.

Управление пользовательскими паролями

В настоящее время пароли являются основным средством подтверждения полномочий доступа пользователей к компьютерным системам. Назначение паролей необходимо контролировать посредством формального процесса управления, требования к которому должны быть следующими:

а) Потребовать от пользователей подписания обязательства по хранению персональных паролей и паролей рабочих групп в секрете.

б) В тех случаях, когда пользователи должны сами выбирать свои пароли, выдать им надежные временные пароли, которые они обязаны немедленно сменить. Временные пароли также выдаются в случае, когда пользователи забывают свои пароли. Временные пароли должны выдаваться только после положительной идентификации пользователя.

в) Передавать временные пароли пользователям надежным способом. Следует избегать передачу паролей через посредников или посредством незащищенных (незашифрованных) сообщений электронной почты. Пользователи должны подтвердить получение паролей.

Существуют другие технологии, например, проверка подлинности подписи, которые следует рассмотреть в том случае, если обеспечение более высокого уровня безопасности оправдано.

Пересмотр прав доступа пользователей

Для обеспечения эффективного контроля за доступом к данным и информационным системам руководство должно реализовывать формальный процесс пересмотра прав доступа пользователей через регулярные промежутки времени. Такой процесс должен обеспечивать следующее:

а) пересмотр полномочий доступа пользователей через регулярные промежутки времени; рекомендуется период в 6 месяцев;

б) пересмотр разрешения на предоставление специальных привилегированных прав доступа через более короткие промежутки времени; рекомендуется период в 3 месяца;

в) проверка предоставленных привилегий через регулярные промежутки времени, чтобы не допустить получения пользователями несанкционированных привилегий.

Обязанности пользователей

Цель: Предотвратить несанкционированный доступ пользователей.

Крайне важным условием поддержания надлежащего режима безопасности является участие и помощь зарегистрированных пользователей.

Пользователи должны знать свои обязанности по обеспечению эффективного контроля доступа, особенно что касается использования паролей и защиты пользовательского оборудования.

Использование паролей

Пользователи должны следовать установленным процедурам поддержания режима безопасности при выборе и использовании паролей.

Пароли являются основным средством подтверждения полномочий доступа пользователей к компьютерным системам. Предлагаются следующие рекомендации по выбору и использованию паролей:

а) Назначать индивидуальные пароли для обеспечения подотчетности.

б) Хранить пароли в секрете.

в) Не записывать пароли на бумаге, если не представляется возможным ее хранение в защищенном месте.

г) Изменять пароли всякий раз, когда есть указания на возможную компрометацию систем или паролей.

д) Выбирать пароли, содержащие не менее шести символов.

е) При выборе паролей не следует использовать:

месяцы года, дни недели и т.п.;

фамилии, инициалы и регистрационные номера автомобилей;

названия и идентификаторы организаций;

номера телефонов или группы символов, состоящие из одних цифр;

пользовательские идентификаторы и имена, а также идентификаторы групп и другие системные идентификаторы;

более двух одинаковых символов, следующих друг за другом;

группы символов, состоящие из одних букв.

ж) Изменять пароли через регулярные промежутки времени (приблизительно через 30 суток) и избегать повторное или циклическое использование старых паролей.

з) Чаще изменять пароли для привилегированных системных ресурсов, например, пароли доступа к определенным системным утилитам.

и) Изменять временные пароли при первом входе в системы.

и) Не включать пароли в сценарии автоматического входа в системы, например, в макросы или функциональные клавиши.

Если пользователям необходим доступ ко многим сервисам и платформам и от них требуется поддержание нескольких паролей, то им следует рекомендовать использовать один единственный надежный пароль (см. Система управления паролями) для входа во все системы, которые обеспечивают минимальный уровень защиты для хранения паролей.