Угрозы утечки информации по техническим каналам связи 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Угрозы утечки информации по техническим каналам связи



Виды технических каналов утечки информации

При проведении работ с использованием конфиденциальной информации и эксплуатации технических средств ИС возможны следующие каналы утечки или нарушения целостности информации или работоспособности технических средств:

  • побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;
  • акустическое излучение информативного речевого сигнала или сигнала, обусловленного функционированием технических средств обработки информации;
  • несанкционированный доступ к информации, обрабатываемой в автоматизированных системах;
  • хищение технических средств с хранящейся в них информацией или отдельных носителей информации;
  • просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
  • воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств.

Наибольшую опасность в настоящее время представляют технические средства разведки:

  • Акустическая разведка;
  • Разведка побочных электромагнитных излучений и наводок электронных средств обработки информации (далее - ПЭМИН);
  • В отдельных ситуациях, могут использоваться: телевизионная, фотографическая и визуальная оптическая разведка, обеспечивающая добывание информации, содержащейся в изображениях объектов, получаемых в видимом диапазоне электромагнитных волн с использованием телевизионной аппаратуры.

Кроме перехвата информации техническими средствами разведки возможно непреднамеренное попадание конфиденциальной информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны. Утечка информации возможна по следующим каналам:

  • Радиоканалы;
  • ИК-канал;
  • Ультразвуковой канал;
  • Проводные линии.

В качестве проводных линий при передаче информации к внешним средствам регистрации могут быть использованы:

  • сети переменного тока;
  • линии телефонной связи;
  • радиотрансляционные и технологические (пожарной, охранной сигнализации, кабели телеантенн и т.п.) линии;
  • специально проложенные проводные линии.

При применении лазерной аппаратуры дистанционного прослушивания, фиксирующей информативные колебания стекол в окнах помещений, возможен съем акустической информации из выделенных помещений, в которых установлены элементы системы.

Источники угроз

В качестве источников угроз безопасности для технических средств системы выступают как внешние и внутренние нарушители, оснащенные средствами технической разведки.

Требования по обеспечению информационной безопасности

Требования к составу основных подсистем СОИБ

В состав СОИБ должны входить следующие подсистемы:

  • подсистема управления политикой информационной безопасности;
  • подсистема анализа и управления рисками;
  • подсистема идентификации и аутентификации;
  • подсистема разграничения доступа;
  • подсистема протоколирования и пассивного аудита;
  • подсистема активного аудита;
  • подсистема контроля целостности данных;
  • подсистема контроля защищенности;
  • подсистема удостоверяющий центр;
  • подсистема сегментирования ЛВС и межсетевого экранирования;
  • подсистема VPN;
  • подсистема антивирусной защиты;
  • подсистема фильтрации контента;
  • подсистема управления безопасностью;
  • подсистема предотвращения утечки информации по техническим каналам.

Требования к подсистеме управления политикой безопасности

Подсистема управления политикой ИБ предназначена для поддержания в актуальном состоянии политик и других организационно-распорядительных документов по обеспечению ИБ, ознакомление всех пользователей и технического персонала ИС с содержанием этих документов, контроля осведомленности и контроля выполнения требований политики безопасности и других регламентирующих документов. Всем сотрудникам предприятия предоставляется персонифицированный доступ к внутреннему информационному Web-серверу, на котором публикуются действующие нормативные документы, списки контрольных (проверочных) вопросов, предназначенных для контроля осведомленности, а также Web-формы для составления сообщений и отчетов об инцидентах, связанных с нарушением правил политики безопасности.

Подсистема управления политикой безопасности должна:

  • поддерживать, актуализировать и контролировать исполнение корпоративной политики безопасности;
  • обеспечивать определение единого набора правил обеспечения безопасности;
  • позволять создавать новые и модифицировать уже созданные политики, правила и инструкции для обеспечения информационной безопасности;
  • учитывать отраслевую специфику;
  • обеспечивать централизованный персонифицированный доступ сотрудников к текстам корпоративных политик на основе Web-доступа;
  • информировать пользователей о создании и утверждении новых политик;
  • фиксировать факт ознакомления пользователя с политиками;
  • проверять усвоенные знания политик;
  • контролировать нарушение политик пользователями;
  • контролировать выполнение единого набора правил защиты информации;
  • информировать административный персонал о фактах нарушения политик безопасности пользователями;
  • иметь средства создания отчетов.

Требования к подсистеме анализа и управления рисками

Подсистема анализа и управления рисками представляет собой комплекс инструментальных средств, установленных на рабочем месте специалиста по анализу рисков и предназначенных для сбора и анализа информации о состоянии защищенности ИС, оценки рисков, связанных с реализацией угроз ИБ, выбора комплекса контрмер (механизмов безопасности), адекватных существующим рисками и контроля их внедрения.

Подсистема анализа и управления рисками должна обеспечивать:

  • автоматизацию идентификации рисков;
  • возможность создания шкал и критериев, по которым можно измерять риски;
  • оценку вероятностей событий;
  • оценку угроз;
  • анализ допустимого уровня риска;
  • выбор контрмер и оценку их эффективности;
  • позволять контролировать необходимый уровень обеспечения информационной и физической безопасности (информационные риски, сбои в системах, служба охраны, охранно-пожарная сигнализация и пожаротушение, охрана периметра и т.п.).

Требования к подсистеме идентификации и аутентификации

Подсистема идентификации и аутентификации представляет собой комплекс программно-технических средств, обеспечивающих идентификацию пользователей ИС и подтверждение подлинности пользователей при получении доступа к информационным ресурсам. Подсистема идентификации и аутентификации включает в себя компоненты, встроенные в операционные системы, межсетевые экраны, СУБД и приложения, которые обеспечивают управление идентификационными данными пользователей, паролями и ключевой информацией, а также реализуют различные схемы подтверждения подлинности при входе пользователя в систему и получении доступа к системным ресурсам и приложениям. Встроенные средства идентификации и аутентификации дополняются наложенными средствами, обеспечивающими синхронизацию учетных данных пользователей в различных хранилищах (например, Active Directory, Lotus, Microsoft SQL, Novell Directory, LDAP, прикладные системы и т.п.) и предоставление единой точки доступа и администрирования для всех пользователей ИС.

Подсистема идентификации и аутентификации должна обеспечивать:

  • Поддержание идентичности и синхронизацию учетных данных в разных хранилищах (Active Directory, Lotus, Microsoft SQL, Novell Directory, LDAP, автоматизированные системы);
  • Комбинирование идентификационной информации из множества каталогов;
  • Обеспечение единого представления всей идентификационной информации для пользователей и ресурсов;
  • Предоставление единой точки доступа и администрирования;
  • Безопасный вход в домен ОС Windows (Windows-десктоп и сеть) при помощи электронного идентификатора (USB-ключа или смарт-карты);
  • Усиленную аппаратную двухфакторную аутентификацию пользователей (электронный идентификатор и пин-код);
  • Вход в сеть предприятия с любой рабочей станции, посредством хранения электронного сертификата в защищенной области памяти электронного идентификатора;
  • Хранение паролей к различным ресурсам (в том числе Web) и электронных сертификатов в защищенной области памяти электронного идентификатора
  • Централизованное управление данными об используемых электронных идентификаторах (USB-ключа или смарт-карты);
  • Блокирование компьютера или автоматическое отключение от сети в перерывах между работой и отсоединением электронного идентификатора.

Механизмы идентификации и аутентификации должны быть реализованы на всех рубежах защиты информации в следующих объемах:

  • На рубеже защиты внешнего периметра КСПД предприятия – идентификация и аутентификация внешних пользователей сети для доступа к информационным ресурсам ЛВС на МЭ и сервере удаленного доступа;
  • На рубеже сетевой инфраструктуры должна осуществляться идентификация и аутентификация пользовательских рабочих станций по именам и сетевым адресам при осуществлении доступа к сетевым сервисам ЛВС;
  • На рубеже защиты серверов и рабочих станций должна осуществляться идентификация и аутентификация пользователей при осуществлении локальной или удаленной регистрации в системе;
  • На рубеже прикладного ПО должна осуществляться идентификация и аутентификация пользователей указанного ПО для получения доступа к информационным ресурсам при помощи данного ПО.

Аутентификация внутренних и внешних пользователей системы осуществляется на основе следующей информации:

  • На рубеже защиты внешнего периметра для аутентификации пользователей на МЭ и сервере удаленного доступа используются схемы, устойчивые к прослушиванию сети потенциальными злоумышленниками, построенные на основе одноразовых сеансовых ключей и/или аппаратных носителей аутентификационной информации;
  • На рубеже защиты сетевых сервисов ЛВС используются параметры клиентов сетевого уровня (IP-адреса, имена хостов) в сочетании с параметрами канального уровня (MAC-адреса) и парольными схемами аутентификации;
  • На рубежах защиты серверов, рабочих станций и приложений используются парольные схемы аутентификации с использованием аппаратных носителей аутентификационной информации.

Требования к подсистеме разграничения доступа

Подсистема разграничения доступа (авторизации) использует информацию, предоставляемую сервисом аутентификации. Авторизация пользователей для доступа к информационным ресурсам ИС осуществляется на следующих уровнях программно-технической защиты:

  • На уровне защиты внешнего периметра ЛВС предприятия (при их подключении к внешним сетям и сети Интернет) МЭ осуществляет разграничение доступа внешних пользователей к сервисам ЛВС и внутренних пользователей к ресурсам сети Интернет и внешних сетей в соответствии с правилами «Политики обеспечения информационной безопасности при взаимодействии с сетью Интернет».
  • На уровне защиты сетевых сервисов ЛВС используются внутренние механизмы авторизации пользователей, встроенные в сетевые сервисы, либо специализированные серверы авторизации.
  • На уровне защиты серверов и рабочих станций ЛВС используются механизмы авторизации, встроенные в ОС, в сочетании с наложенными средствами разграничения доступа.
  • На уровне защиты приложений, функциональных подсистем ИС и системных ресурсов используются механизмы авторизации, встроенные в эти приложения, а также средства разграничения доступа ОС и СУБД.

Средства разграничения доступа должны исключать возможность доступа к ресурсам системы неавторизованных пользователей.

Требования к подсистеме протоколирования и пассивного аудита

Подсистема протоколирования и пассивного аудита предназначена для осуществления контроля за наиболее критичными компонентами сети, включающими в себя серверы приложений, баз данных и прочие сетевые серверы, межсетевые экраны, рабочие станции управления сетью и т.п. Компоненты этой подсистемы располагаются на всех перечисленных выше рубежах защиты (разграничения доступа) и осуществляют протоколирование, централизованный сбор и анализ событий, связанных с безопасностью (включая предоставление доступа, попытки аутентификации, изменение системных политик и пользовательских привилегий, системные сбои и т.п.). Они включают в себя как встроенные средства, имеющиеся в составе ОС, СУБД, приложений и т.п. и предназначенные для регистрации событий безопасности, так и наложенные средства (программные агенты) служащие для агрегирования и анализа данных аудита, полученных из различных источников. Все данные аудита поступают на выделенный сервер аудита, где осуществляется их хранение и обработка. Просмотр и анализ этих данных осуществляется с консоли администратора аудита.

Подсистема пассивного аудита безопасности выполняет следующие основные функции:

  • Отслеживание событий, влияющих на безопасность системы;
  • Регистрация событий, связанных с безопасностью в журнале аудита;
  • Выявление нарушений безопасности, путем анализа данных журналов аудита администратором безопасности в фоновом режиме.

Средства протоколирования и аудита должны применяться на всех рубежах защиты в следующем объеме:

  • На рубеже защиты внешнего периметра должны протоколироваться следующие события:

· Информация о состоянии внешнего маршрутизатора, МЭ, сервера удаленного доступа, модемов;

· Действия внешних пользователей по работе с внутренними информационными ресурсами;

· Действия внутренних пользователей по работе с внешними информационными ресурсами;

· Попытки нарушения правил разграничения доступа на МЭ и на сервере удаленного доступа;

· Действия администраторов МЭ и сервера удаленного доступа.

  • На рубеже сетевой инфраструктуры должно осуществляться протоколирование информации о состоянии структурированной кабельной системы (СКС) и активного сетевого оборудования, а также структуры информационного обмена на сетевом и транспортном уровнях;
  • На рубеже защиты серверов и рабочих станций средствами подсистем аудита безопасности ОС должно обеспечиваться протоколирование всех системных событий, связанных с безопасностью, включая удачные и неудачные попытки регистрации пользователей в системе, доступ к системным ресурсам, изменение политики аудита и т. п.;
  • На уровне приложений должна обеспечиваться регистрация событий, связанных с их функционированием, средствами этих приложений.

Эффективность функционирования системы пассивного аудита безопасности определяется следующими основными свойствами этой системы:

  • наличие средств аудита, обеспечивающих возможность выборочного контроля любых происходящих в системе событий, связанных с безопасностью;
  • наличие средств централизованного управления журналами аудита, политикой аудита и централизованного анализа данных аудита по всем контролируемым системам;
  • непрерывность контроля над критичными компонентами ЛВС во времени.

Требования к подсистеме активного аудита безопасности

Подсистема активного аудита безопасности предназначена для автоматического выявления нарушений безопасности критичных компонентов ИС и реагирования на них в режиме реального времени. К числу критичных компонентов ИС, с наибольшей вероятностью подверженных атакам со стороны злоумышленников, относится внешний защищенный шлюз в сеть Интернет, сервер удаленного доступа, серверная группа и рабочие станции управления сетью. Данная подсистема тесно интегрирована с подсистемой протоколирования и пассивного аудита, т.к. она частично использует данные аудита, полученные из этой подсистемы, для выявления атак и активизации алгоритмов автоматического реагирования.

Подсистема активного аудита строится на традиционной для подобных систем архитектуре агент-менеджер-управляющая консоль. Для сбора информации и реагирования на инциденты используются программные агенты, программа-менеджер размещается на сервере аудита и отвечает за агрегирование, хранение и обработку данных аудита, управление агентами и автоматическую активизацию алгоритмов реагирования. Управление всей подсистемой осуществляется с консоли администратора аудита.

Анализатор сетевого трафика должен обнаруживать известные типы сетевых атак, включая атаки, направленные против следующих приложений:

  • СУБД, Web, FTP, TELNET и почтовые серверы;
  • Серверы NIS, DNS, WINS, NFS и SMB;
  • Почтовые агенты и Web-браузеры;
  • Выявление сетевых и локальных атак и других нарушений безопасности, а также реагирование на них должны осуществляться в реальном времени.

Требования к подсистеме контроля целостности

Подсистема контроля целостности программных и информационных ресурсов ИС предназначена для контроля и оперативного восстановления целостности критичных файлов ОС и приложений на серверах и рабочих станциях сети, включая конфигурационные файлы, файлы данных, программы и библиотеки функций. Контроль целостности информационных ресурсов осуществляет путем регулярного подсчета контрольных сумм файлов и их сравнения с эталонной базой данных контрольных сумм. В случае несанкционированной модификации контролируемых файлов они могут быть восстановлены с использованием средств резервного копирования и восстановления данных. Подсистема контроля целостности может входить в состав подсистемы активного аудита в качестве одного из ее функциональных компонентов.

Система контроля целостности программной и информационной части ЛВС должна обеспечивать контроль неизменности атрибутов критичных файлов и их содержимого, своевременное выявление нарушений целостности критичных файлов и их оперативное восстановление. В составе системы контроля целостности должны быть предусмотрены средства централизованного удаленного администрирования, средства просмотра отчетов по результатам проверки целостности и средства автоматического оповещения администратора безопасности о выявленных нарушениях.

Требования к подсистеме контроля защищенности

Подсистема контроля защищенности предназначена для выявления и ликвидации уязвимостей отдельных подсистем СОИБ, сетевых сервисов, приложений, функциональных подсистем, системного ПО и СУБД, входящих в состав ИС. Она включает в себя средства сетевого уровня (сетевые сканеры безопасности), устанавливаемые на рабочей станции администратора безопасности и предназначенные для выявления уязвимостей сетевых ресурсов путем эмуляции действий возможного злоумышленника по осуществлению удаленных атак, а также средства системного уровня, построенные на архитектуре «агент-менеджер-консоль» и предназначенные для анализа параметров конфигурации операционных систем и приложений, выявления уязвимостей, коррекции конфигурационных параметров и контроля изменения состояния операционных систем и приложений.

Сетевой сканер должен осуществлять сканирование всего диапазона TCP и UDP портов, выявлять все доступные сетевые ресурсы и сервисы, обнаруживать уязвимости различных ОС, СУБД, сетевых сервисов и приложений.

Средства анализа защищенности системного и прикладного уровней предназначены для решения следующих основных задач:

  • анализ параметров конфигурации операционных систем и приложений по шаблонам с целью выявления уязвимостей, связанных с их некорректной настройкой, определения уровня защищенности контролируемых систем и соответствия политике безопасности организации;
  • коррекция конфигурационных параметров операционных систем и приложений;
  • контроль изменения состояния операционных систем и приложений, осуществляемый на основе мгновенных снимков их параметров и атрибутов файлов.

Средства контроля защищенности системного уровня должны выполнять проверки привилегий пользователей, политик управления паролями и регистрационных записей пользователей, параметров подсистемы резервного копирования, командных файлов, параметров системы электронной почты, настройки системных утилит и т.п.

Средства контроля защищенности системного уровня должна поддерживать распределенные конфигурации и быть интегрированы с сетевыми сканерами и со средствами сетевого управления.

Требования к подсистеме «удостоверяющий центр»

Подсистема удостоверяющий центр предназначена для создания, распределения и управления цифровыми сертификатами пользователей ИС, ключами шифрования и ЭЦП. Она строится на инфраструктуре открытых ключей (PKI) и предоставляет базовые сервисы по управлению ключевой информацией для подсистемы аутентификации пользователей, средств VPN и подсистемы контроля целостности. На базе удостоверяющего центра строятся системы электронного документооборота предприятия, включающие в себя защищенную электронную почту, внутренний информационный портал, офисные приложения и средства обмена документами в рамках подсистем судебного и общего делопроизводства.

Подсистема «удостоверяющий центр» должна поддерживать реализацию следующих функций:

  • электронно-цифровую подпись, контроль целостности информации и кодирование данных в рамках электронного документооборота (корпоративная система электронной почты, внутренний информационный портал, офисные приложения) на базе электронных сертификатов X.509;
  • кодирование данных и контроль целостности информации при передаче ее с помощью носителей информации и по открытым каналам в рамках взаимодействия компонентов и пользователей информационной системы на базе электронных сертификатов X.509;
  • кодирование данных и контроль целостности информации при удаленном доступе мобильных сотрудников на базе электронных сертификатов X.509;
  • аутентификация пользователей и активного сетевого оборудования в рамках информационного взаимодействия на базе электронных сертификатов X.509
  • управление сервисом распределения электронных сертификатов;
  • безопасную транспортировку электронных сертификатов конечным пользователям;
  • поддержку жизненного цикла электронных сертификатов (генерация, распределение, отзыв, подтверждение);
  • поддержку хранения электронных сертификатов и паролей на внешних носителях (USB-токены, смарт-карты);
  • поддержка стандартов PKCS#11, PKCS#7.

Требования к подсистеме сегментирования и межсетевого экранирования

Подсистема сегментирования и межсетевого экранирования предназначена для разграничения межсетевого доступа на уровне сетевых протоколов и защиты ЛВС предприятия от сетевых атак со стороны сети Интернет и внешних сетей. В рамках системы должна быть сформирована и определена архитектура подключения к сетям общего пользования и создания демилитаризованной зоны (DMZ), которая может включать межсетевой экран, VPN-сервер, Web-сервер, транслятор (relay) электронной почты, вторичный кэширующий DNS-сервер, LDAP-сервер и подсистему защищенного удаленного доступа.

На рубеже сетевой инфраструктуры должны применяться средства сегментирования ЛВС. Средства сегментирования ЛВС должны строиться на технологии виртуальных ЛВС (VLAN) в соответствии с организационной структурой объединения и логикой работы подразделений предприятия с информационными ресурсами.

Серверы ЛВС должны быть расположены в выделенном сегменте (сегментах). Должно быть обеспечено отсутствие рабочих мест пользователей в указанных сегментах ЛВС.

На рубеже внешнего информационного обмена должны применяться средства межсетевого экранирования. Межсетевой экран должен обеспечивать фильтрацию сетевого трафика на сетевом, транспортном и прикладном уровнях.

Требования к подсистеме VPN

Подсистема VPN применяется на рубеже внешнего информационного обмена для защиты конфиденциальной информации, передаваемой между ЛВС различных удаленных офисов предприятия, которые не связаны между собой выделенными каналами, а также для подключения к ЛВС мобильных пользователей. Средства VPN реализуются на основе протокола IPSec и интегрируются со средствами межсетевого экранирования.

Средства VPN должны соответствовать спецификациям стандарта IPSec.

Средства VPN должны обеспечивать передачу данных как в зашифрованном, так и в открытом виде в зависимости от источника и получателя информации.

Средства VPN должны быть интегрированы с МЭ.

Требования к подсистеме антивирусной защиты

Подсистема антивирусной защиты сети предназначена для решения следующих задач:

  • Перекрытие всех возможных каналов распространения вирусов, к числу которых относятся: электронная почта, разрешенные для взаимодействия с сетью Интернет сетевые протоколы (HTTP и FTP), съемные носители информации (дискеты, CD-ROM и т.п.), разделяемые папки на файловых серверах;
  • Непрерывный антивирусный мониторинг и периодическое антивирусное сканирование всех серверов и рабочих станций, подключаемых к ЛВС;
  • Автоматическое реагирование на заражение компьютерными вирусами и на вирусные эпидемии, включающее в себя: оповещения, лечение вирусов, удаление троянских программ и очистку системы, подвергнувшейся заражению;

Она строится из следующих компонентов:

  • Средства управления, включающие в себя управляющую консоль, серверные компоненты системы антивирусной защиты, средства протоколирования и генерации отчетов;
  • Средства антивирусной защиты серверов ЛВС;
  • Средства антивирусной защиты рабочих станций;
  • Средства антивирусной защиты почтовой системы (внутренних почтовых серверов и SMTP-шлюзов на внешнем периметре сети);
  • Антивирусный шлюз, осуществляющий антивирусный контроль HTTP и FTP трафика.

Требования к подсистеме фильтрации контента

Подсистема фильтрации контента предотвращает утечку ценной конфиденциальной информации из ИС по протоколам HTTP, FTP и SMTP, осуществляет фильтрацию спама и прочей нежелательной корреспонденции. Она реализуется на рубеже защиты внешнего периметра сети и интегрируется со средствами межсетевого экранирования.

Подсистема фильтрации контента должна:

  • Предотвращать утечку ценной конфиденциальной информации из ЛВС по протоколам HTTP, FTP и SMTP путем ее блокирования и задержания до утверждения отправки руководством;
  • Обеспечивать увеличение производительности труда сотрудников путем уменьшения рекламы, рассылок и прочих, не имеющих отношения к делу, сообщений. Обнаружение спама, рассылаемого и получаемого сотрудниками предприятия;
  • Обеспечивать помощь в выявлении неблагонадежных сотрудников, рассылающих свои резюме и посещающих Web-сервера в поисках работы;
  • Обеспечивать контроль электронной почты, работающей через WEB-интерфейсы;
  • Обеспечивать контроль над всей выходящей корреспонденцией путем отсеивания сообщений, содержащих непристойное содержание для защиты репутации предприятия и сотрудников путем предотвращения случайного или намеренного распространения писем непристойного содержания с адреса предприятия;
  • Обеспечивать русскоязычный поиск и фильтрацию почтовых сообщений;
  • Обеспечивать контроль использования корпоративного выхода в Internet в личных целях;
  • Разграничивать доступ сотрудников предприятия к ресурсам Internet и обеспечивать блокирование обращений к нежелательным сайтам.
  • В случае необходимости, осуществлять полное или частичное архивирование данных протоколов HTTP, FTP, SMTP.

Требования к подсистеме управления безопасностью

Подсистема управления безопасностью предназначена для осуществления централизованного управления всеми компонентами и подсистемами СОИБ. Управление всеми компонентами СОИБ осуществляется с консоли администратора безопасности, на которой устанавливаются соответствующие средства администрирования и мониторинга.

Средства управления безопасностью должны обеспечивать реализацию следующих функций:

  • управлять пользователями и ролями в кросс-платформенном окружении;
  • проверять, отслеживать, уведомлять в реальном времени и записывать изменения в групповых политиках безопасности;
  • устанавливать факт кем и когда были сделаны изменения параметров безопасности;
  • иметь средства, расширяющие встроенные возможности администрирования и управления безопасностью операционной системы;
  • иметь средства, управления парольной политикой – синхронизация, отслеживание истории изменений, распределение политики в кросс-платформенном окружении.

Доступ к элементам управления должен предоставляться только после обязательной процедуры аутентификации. Для аутентификации администраторов безопасности должны использоваться схемы, устойчивые к прослушиванию сети потенциальным злоумышленником.

С целью обеспечения реализации принципа минимизации административных полномочий, минимизации количества ошибочных и неправомерных действий со стороны администраторов ЛВС, должен быть определен, документирован, согласован и утвержден состав административных групп. При определении состава административных групп следует опираться на стандартный набор административных групп, имеющийся в ОС Windows 2003, а также в Windows XP.

Определение состава административных групп и выделенных им полномочий, а также порядка осуществления контроля над составом административных групп и действиями администраторов ЛВС должно содержаться в «Регламенте администрирования корпоративной сети». Каждой административной группе предоставляются только те полномочия, которые необходимы для выполнения задач администрирования определенных в Регламенте.

С целью упрощения задач управления доступом пользователей к ресурсам ЛВС назначение прав доступа осуществляется на уроне групп безопасности. Каждая пользовательская учетная запись входит в состав одной или нескольких групп в зависимости от принадлежности пользователя к тому или иному подразделению и его должностными обязанностями.

Требования к подсистеме предотвращения утечки



Поделиться:


Последнее изменение этой страницы: 2017-01-25; просмотров: 910; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.91.203.238 (0.046 с.)