Организационные мероприятия по обеспечению безопасности

 

Организационные мероприятия по обеспечению безо­пасности осуществляются на базе рекомендаций отрасле­вого стандарта PCS DSS и включают следующие требова­ния [50, 66]:

1. Ввод различных ключей шифрования в один банкомат согласно требованиям Visa осуществляется минимум двумя различными уполномоченными людьми, каждый из которых знает только те ключи, которые вводит.

2. Доступ в помещение с оборудованием (серверная), свя­занным с управлением банкоматами, разрешается строго определенным лицам при получении ими разрешения у двух инженеров по безопасности. Оформляется однократный до­пуск к оборудованию, который проверяется сотрудниками охраны при входе.

3. Каждый сотрудник процессингового центра (компания, обслуживающая работу с банковскими картами) имеет уни­кальную учетную запись для работы с персональным компью­тером и при необходимости отдельную персональную учетную запись для работы на сервере.

4. Права доступа к каждому файлу с исходным текстом на­страиваются с помощью средств ОС и закреплены не более чем за двумя людьми, которым разрешена модификация и компиляция элементов системы управления.

5. Права доступа к отдельным файлам настроек и к коман­дам для банкоматов, задаются специализированными сред­ствами и специально уполномоченным сотрудником. Доступ к средствам распределения прав разрешен не более чем двум сотрудникам.

6. Регулярно проводится смена паролей и ключей шифро­вания.

7. Запрещено подключение оборудования к промышленной и тестовой системам одновременно.

9.4. Пример реализации средств безопасности сетевой подсистемы ИС

Без реализации системы безопасности сети доступ к ин­формационной системе могут получить как обычные пользо­ватели, так и хакеры. При этом никакие средства серверов, СУБД, ОС не могут так же успешно, как сетевые средства кон­тролировать безопасность и доступ к ресурсам ИС. С быстрым развитием возможностей удаленного доступа потребность уси­ления сетевой безопасности еще более возрастает из-за воз­можного вторжения в сеть ИС посторонних пользователей.

Безопасность сети определяется мерами, предусмотренны­ми администратором системы. Чтобы реализовать различные меры безопасности, администратор системы должен создать политику (правила) безопасности в сети. Политика безопас­ности определяет цели и способы обеспечения безопасности в сети. Создание политики безопасности организации позво­лит зафиксировать ее в соглашениях об уровне обслуживания (SLA) на основе применяемых стандартов безопасности. Под­робнее соглашение SLA рассматривается в главе 11.

Политика безопасности доступа включает следующие аспекты [20, 21, 22]:

1. Политика допустимого использования сети определяет, какие действия пользователя являются разрешенными и от­ветственность авторизованных пользователей, например, еже­дневный запуск антивирусных программ.

2. Политика использования паролей определяет частоту сме­ны паролей, их длину, группы администратора системы, име­ющие системные пароли.

3. Политика использования электронной почты и выхода в Ин­тернет определяет, каким пользователям ИС разрешено поль­зоваться электронной почтой и дано право выхода в Интернет. Например, такие права даны только тем сотрудникам, которым это необходимо для выполнения служебных обязанностей.

4. Меры, предпринимаемые в случае инцидентов в сети, на­пример, администратор системы предусматривает, что долж­ны делать пользователи в случае заражения вирусом их ком­пьютера или обнаружения попытки несанкционированного доступа к их данным или сети.

5. Политика доступа удаленных пользователей к сети определяет, как сотрудники компании получают доступ к корпоративной сети из другой сети. Например, администра­тор системы может потребовать, чтобы доступ к корпоратив­ной сети с домашнего компьютера осуществлялся с помощью программного обеспечения виртуальных частных сетей (VPN) и с использованием одноразовых паролей (ОТР) [20].

6. Политика экстранет (extranet) соединений определяет, как создаются соединения с корпоративными сетями пар­тнеров по бизнесу. Например, администратор системы может потребовать, чтобы партнерам было разрешено соединение с корпоративным сайтом только путем создания между сайтами VPN-туннеля с использованием стандарта тройного шифро­вания (Triple Data Encription Standard — 3DES) [20].

7. Политика использования общедоступных служб определя­ет, какие сетевые службы доступны в сети Интернет, напри­мер FTP, SMTP, HTTP, DNS.

Каждый уровень сети (магистральный, распределения, до­ступа) имеет различные функции, и на каждом из них различ­ным образом осуществляется политика безопасности.