Մասնակից:Ashot.badalyan
Ինֆորմացիոն անվտանգության կառավարման կանոնները
Հասանելիության վերահսկումը
1. Տրամաբանական հասանելիության նկատմամբ վերահսկման պահանջները
Ինֆորմացիայի հասանելիությունը պետք է լինի վերահսկվող հաշվի առնելով անվտանգությունը և վերահսկման պահանջները: Պահանջները` իր հերթին պետք է արտացոլվեն ինֆորմացիաի տարածման և հավաստագրման քաղաքականության մեջ:
2. Տրամաբանական հասանելիության քաղաքականությունը
Հասանելիության նախատեսում է` Յուրաքանչյուր օգտագործողի կամ օգտագործողների խմբի հասանելիության վերահսկման իրավունքները պետք է միանշանակ որոշվեն տրամաբանական հասանելիության նկատմամբ անվտանգության քաղաքականությամբ Անհրաժեշտ է, որ քաղաքավարությունը ներառի` • կոնկրետ ծրագրային ապահովման անվտանգության պահանջները • ծրագրային ապահովման հետ կապված ամբողջ ինֆորմացիայի նույնականացումը ինֆորմացիայի տարածման և հասանելիության հավաստագրման պահանջները
3. Օգտագործողների հասանելիության վերահսկումը
Ինֆորմացիոն համակարգերին և ծառայություններին հասանելիության իրավունքների տրամադրման վերահսկման համար անհրաժեշտ է ֆորմալ միջոցառումների առկայությունը: Անհրաժեշտ է որ, միջոցառումները ընդգրկեն օգտագործողի հասանելիության կյանքի ամբողջ ցիկլը` սկսված նոր օգտագործողների գրանցումից մինչև նրանց գրանցումից հանելը:
4. Օգտագործողների գրանցումը
Բազմաօգտագործման ինֆորմացիոն ծառայությունների հասանելիությունը պետք է կառավարվող լինի օգտագործողի գրանցման պրոցեսով, որը պիտի ընդգրկի` • օգտագործողների ունիկալ ID-ների օգտագործում ստուգումը այն բանի, որ օգտագործողը համակարգի սեփականատիրոջ կողմից ստացել է համակարգից և ծառայություններից օգտվելու հավաստագրում • ստուգումը այն բանի, որ տրամադրված հասանելիության աստիճանը համապատասխանում է աշխատանքային անհրաժեշտությանը • հիմնարկությունից դուրս եկած կամ պաշտոնի փոփոխություն ունեցող օգտագործողների հասանելիության իրավունքի անհապաղ հեռացում • օգտագործողների գրառումների և սպառված ID-ների պարբերական ստուգում և հեռացում • այն բանի ապահովումը, որ օգտագործողների սպառված ID-ները չփոխանցվեն այլ օգտագործողների
5. Օգտագործողների գաղտնաբառերի վերահսկումը
Գաղտնաբառերը հանդիսանում են ինֆորմացիոն համակարգին կամ ծառայությանը օգտագործողների հասանելիության նույնականացման ապացուցման ամենատարածված միջոցները: Գաղտնաբառերի տրամադրումը պետք է կառավարվի ֆորմալիզացված կառավարման միջոցով, որը պետք է նախատեսի ` • անհրաժեշտ է ապահովել ժամանակավոր գաղտնաբառի տրամադրումը, որը օգտագործողը պարտավոր է փոխել համակարգում առաջին գրանցման ժամանակ • օգտագործողները պարտավոր են հաստատեն գաղտնաբառի ստացումը գաղտնաբառերը չպետք է պահվեն համակարգում անպաշտպան տեսքով: Անհրաժեշտության դեպքում պետք է կիրառվեն հավաստագրման այլ միջոցներ և տեխնոլոգիաներ
6. Օգտագործողների հասանելիության իրավունքների վերանայում
Տվյալների և ինֆորմացիոն ծառայությունների հասանելիության էֆֆեկտիվ վերահսկման համար ղեկավարությունը պետք է պարբերաբար անցկացնի օգտագործողների հասանելիության իրավունքների վերանայման ֆորմալիզացված պրոցեսս
7. Գաղտնաբառերի օգտագործում
• օգտագործողները պարտավոր են պահպանել որոշակի կանոններ գաղտնաբառերի ընտրման և օգտագործման ժամանակ
• պահպանեն գաղտնաբառերի գաղտնիությունը
• գաղտնաբառերը թղթի վրա գրելը արգելվի, եթե միայն չի ապահովվում նրանց անվտանգ պահպանումը
• գաղտնաբառերի փոփոխեն ամեն անգամ, երբ գաղտնաբառի տարածման վտանգ կա
• նվազագույնը վեց նիշ պարունակող, որակյալ գաղտնաբառերի ընտրել
• հեշտ հիշել
• չպետք է լինեն հեշտ գուշակելի կամ դուրս չբերվեն օգտագործողի անձնական տվյալներից ելնելով
• չպետք է պարունակեն հերթական կրկնվող նիշեր և չլինեն ամբողջովին տառերից կամ թվերից բաղկացած
• պետք է փոփոխվեն, որոշակի հավասար ժամանակամիջոցը մեկ կամ որոշակի քանակի մուտքերից հետո: Նաև չպետք է կրկնվեն կամ ցիկլիկ լինեն
8. Օգտագործողի կողմից առանձ հսկողության թողնված սարքավորումները
Օգտագործողները պետք է ապահովվեն առանձ հսկողության թողնված սարքավորումների պաշտպանությունը: Օգտագործողներին առաջարկվում է` • աշխատանքի ավարտից հետո իրականացնել ակտիվ սեանս, եթե բացակայում է ավտոմատ արգելափակման համակարգը
9. Ցանցային հասանելիության վերահսկումը
Ինչպես ներքին, այնպես էլ արտաքին ցանցային ծառայությունների հասանելությունը պետք է լինի վերահսկվող
10. Ցանցային ծառայությունների օգտագործման քաղաքականությունը
Ցանցային ծառայություններին չարտոնված միացումները կարող են խափանել ամբողջ հիմնարկության ինֆորմացիոն անվտանգությունը: Հասանելիության վերահսկումը անհրաժեշտ է կարևոր կամ կրիտիկական ծրագրային ապահովվման ցանցային միացումների կամ օգտագործողների համար: Անհրաժեշտ է ցանցերի և ցանցային ծառայությունների համար նախատեսել անվտանգության միջոցներ, նման դեպքում պետք է որոշվեն` • ցանցերը և ցանցային ծառայությունները, որոնք պետք է լինեն հասանելի • հավաստագրման միջոցառումները, որոնք պետք է որոշեն թե ում և ինչպիսի ցանցերին կամ ցանցային ծառայություններին հասանելիություն պետք է տրվի • պրոցեդուրներ և միջոցառումներ ցանցերը չարտոնված մուտքերից ապահովվելու համար
11. Օգտագործողների աուտենտիֆիկացիա արտաքին միացման դեպքում
Արտաքին միացումները ավելացնում են աշխատանքային ինֆորմացիային ոչ հավաստագրված հասանելիությոան ռիսկը, օրինակ հեռախոսային կապի օգտագործումը: Այդ պատճառով էլ հեռացված օգտագործողների հասանելիությունը պետք է լինի աւտենտիֆիկացված: Աւտենտիֆիկացիոյի որոշ մեթոդներ, որոնք են` կրիպտոգրաֆիայի վրա հիմնվածները, ապահովում են հուսալի աուտենեիֆիկացիա:
12. Օպերացիոն համակարգի նկատմամբ հասանելիության վերահսկումը
Օպերացիօն համակարգի մակարդակի վրա, պետք է օգտագործել ինֆորմացիոն անվտանգության միջոցներ, որոնք կսահմանափակեն համակարգչային ռեսուրսների հասանելիությունը: Այս միջոցները պետք է ապահովեն`
• համակարգչի նույնականացումը և զանազանումը
• համակարգին հաջողված և չհաջողված մուտքերի գրանցումը
• համապատասխան մակարդակի աուտենտիֆիկացիան: Եթե համակարգը օգտագործում է գաղտնաբառերի անվտանգություն, ապա այն պետք է ապահովի որակյալ գաղտնաբառեր
• անհրաժեշտության դեպքում օգտագործողների միացման ժամանակի սահմանափակում
13. Օգտագործողների նույնականացում և աուտենտիֆիկացիա
Անհրաժեշտ է, որ օգտագործողները ունենան յուրահատուկ իդենտիֆիկատոր միայն իրենց կողմից օգտագործելու համար, որպեսզի պատասխանատու անձը կարողանա վերլուծել իրենց գործողությունները: Օգտագործողի ID-ն չպետք է պարունակի օգտագործողի առավելության նշաններ:
Գոյություն ունեն աուտենտիֆիկացիայի տարբեր միջոցառումներ, որոնք կարող են օգտագործվել օգտագործողի ի հայտ եկած ինքնությունը ապացուցելու համար:
Հասանելիության հատուկ հիշողությամբ ֆիզիկական սարքավորումները (token) կամ միկրոպրոցեսսորային քարտերը (smart-card), որոնք օգտագործում են աշխատակիցները, կարող են նաև օգտագործվել նույնականացման և աուտենտիֆիկացիայի համար: Բիոմետրիկ աուտենտիֆիկացիայի մեթոդները, որոնք հիմնված են անձի ֆիզիկական տվյալների յուրահատկությունների վրա կարող են նաև օգտագործվել աուտենտիֆիկացիայի համար:
Տարբեր մեթոդների իրար հետ կիրառումը ապահովում է ավելի ապահով աուտենտիֆիկացիա:
14. Օգտագործողների անվտանգության ազդանշանը այն դեպքում, երբ նրանք կարող են դառնալ բռնության առարկա
Ցանկալի է նախատեսել ազդանշան այն դեպքում, երբ օգտագործողը կարող է դառնալ բռնության առարկա: Այդպիսի ազդանշանի ապահովվումը պետք է որոշվի ռիսկերի գնահատման հիման վրա: Այս դեպքում պետք է առկա լինեն ազդանշանին արձագանքելու հատուկ միջոցառումներ:
15. Միացման ժամանակի սահմանափակումը
Միացման ժամանակի սահմանափակումը պետք է ապահովի ծրագրային ապահովման լրացուցիչ անվտանգությունը: Այս անվտանգության միջոցը պետք է կիրառել առավել կարևոր համակարգչային ծրագրերի ապահովման համար:
Այդպիսի սահմանափակումներից են` • նախօրոք որոշված ժամանակամիջոցների օգտագործումը ֆայլերի փոխանցման և կարճատև ինտերակտիվ սեանսերի համար • ժամանակի սահմանափակում կապված կազմակերպության աշխատանքային ժամերի հետ, եթե չկա արտաժամյա կամ երկարատև աշխատանքի անհրաժեշտություն
16. Ինֆորմացիայի հասանելիության սահմանափակումը
Ծրագրային ապահովման օգտագործողներին ինչպես նաև սպասարկող անձնակազմին, ինֆորմացիայի և ծրագրային ֆունկցիաների հասանելիությունը պետք է ապահովել ըստ նախօրոք որոշված հասանելիության վերահսկման քաղաքականության, որը հիմնված է տարբեր ծրագրային ապավովման պահանջների վրա: Անհրաժեշտ է վերանայել հետևյալ միջոցառումների կիրառումը ինֆորմացիոն անվտանգության ղեկավարման գծով հասանելիության սահմանափակման պահանջների ապահովման համար` • օգտագործողների իրավունքների վերահսկումը` օրինակ, կարդալ-գրել-հեռացնել-իրականացնել • ապահովվել վստահություն, որ ծրագրերից դուրս բերվող տվյալները, որոնք մշակում են կարևոր ինֆորմացիա, պարունակում են միայն պահանջվող ինֆորմացիան:
17. Կարևոր ինֆորմացիա մշակող համակարգերի մեկուսացում
Համակարգերը, որոնք մշակում են կարևոր ինֆորմացիա պետք է ապահովված լինեն առանձնացված (մեկուսացված) հաշվողական միջավայրով: Որոշ կիրառական համակարգերը ունեն տվյալներ անվտանգության շատ մեծ ինֆորմացիոն ապահովվության կարևորություն և պահանջում են աշխատանքային հատուկ պայմաններ: Մշակվող ինֆորմացիաի կարևորությունը կարող է պահանջել համակարգի աշխատանքը կամ առանձնացված համակարգչի վրա կամ անվտանգ ծրագրային ապահովման հետ կամ առանց սահմանափակումների: Այս դեպքում անհրաժեշտ է հաշվի առնել` • եթե կարևոր ծրագրային ապահովվումը պետք է աշխատի համատեղ օգտագործման միջակայքում, ապա անհրաժեշտ է հայտնաբերել այլ ապահովումը, որի հետ է իրագործվելու տվյալների համատեղ օգտագործումը:
18. Համակարգի հասանելիության և օգտագործման մոնիտորինգ
Հասանելիության վերահսկման և իրադարձությունների գրանցման քաղաքականությունից շեղումների հայտնաբերման և ապացույցների ապահովման համար, ինֆորմացիոն անվտանգության խախտման միջադեպների հայտնաբերման համար պետք է անցկացնել համակարգի մոնիտորինգ: Համակարգի մոնիտորինգը թույլ է տալիս ստուգել ինֆորմացիոն անվտանգության միջոցառման ապահովման էֆֆեկտիվությունը:
19. Իրադարձությունների գրանցումը
Ինֆորմացիոն անվտանգության խախտումների միջադեպերի գրանցման համար պետք է ստեղծել աուդիտի մատյաններ և պահել այն համաձայնեցված ժամանակահատվածի համար, հետագա հասանելիության կառավարման մոնիտորինգի հետաքննությանը օգնելու նպատակով: Աուդիտի մատյանը պետք է պարունակի հետևյալ գրանցումները` • օգտագործողի ID-ն • մուտքի և ելքի ամսաթիվը և ժամանակը • տերմինալի իդենտիֆիկատորը և գտնվելու վայրը, եթե հնարավոր է • համակարգի մուտքերի հաջողակ և մերժված գրանցումները • համակարգի այլ ռեսուրներին դիմելու հաջողակ և մերժված գրանցումները
Հնարավոր է պետք գա որոշակի գրանցումների արխիվացումը հետագա անալիզի կամ միջադեպերի հետաքննության համար:
20. Համակարգի օգտագործման մոնիտորինգ
Ռիսկի շրջանի պրոցեդուրներ
Վստահությունը` որ օգտագործողները իրականացնում են միայն այն գործողությունները, որոնց համար իրենց իրավունք է տրված, ապահովվելու համար, անհրաժեշտ է որոշել ինֆորմացիայի մշակման միջոցների մոնիտորինգի պրոցեդուր:
Մոնիտորինգի ժամանակ հաշվի է առնվում`
• ավտորիզացված մուտք ներառելով հետևյալ մանրամասները`
o օգտագործողի ID-ն
o հիմնական իրադարձությունների ամսաթիվը և ժամանակը
o իրադարձությունների տիպը
o ֆայլերը, որոնց հասանելիությունը իրականացվել է
o օգտագործված ծրագրային ապահովվումը
• բոլոր առավելությունով գործողությունները
o սուպերվայզորի գրանցման օգտագործումը
o համակարգի կանգնեցնելը և մեկնարկը
o մուտքի-ելքի սարքավորումների միացում-անջատումը
• այն տիպի ոչ ավտորիզացված մուտքի փորձերը, որոնք են`
o չստացված մուտքեր
o հասանելիության քաղաքականության խախտում և ցանցային շլյուզերի հիշեցումները
o ներխուժման հայտնաբերման սեփական համակարգերի զգուշացումները
• համակարգի հետևյալ զգուշացումները և խափանում`
o կոնսոլային զգուշացումները և հաղորդագրությունները
o համակարգի գրանցման մատյանում գրանցված բացառությունները
o ցանցի կառավարման հետ կապված զգուշացնող ազդանշանները
21. Ռիսկի ֆակտորները
Մոնիտերինգի արդյունքները պետք է պարբերաբար վերլուծել: Վերլուծության պարբերականությունը կախված է ռիսկի գնահատման արդյունքներից: Ռիսկի ֆակտորները, որոնք պետք է հաշվի առնվեն, ներառում են` • պրոցեսների ճգնաժամային լինելը, որոնք օգտագործվում են ապահովման կողմից • ինֆորմացիայի կարևորությունը, ճգնաժամային լինելը և արժեքը • նախորդ ներխուժման դեպքերի և համակարգի ոչ ճիշտ օգտագործման վերլուծությունը • կազմակերպության ինֆորմացիոն համակարգերի այլ ( հատկապես ընդհանուր հասանելի) ցանցերի հետ փոխկապակցվածության աստիճանը
22. Ժամանակի սինխրոնիզացում
Համակարգչային ժամացույցի ճիշտ կարգավորումը շատ կարևոր է աուդիտ մատյանների լրացման համար: Այն տեղերում, որտեղ համակարգիչը կամ այլ սարքավորումները հնարավորություն ունեն օգտագործել ժամացույց ռեալ ժամանակում, անհրաժեշտ է օգտագործել ՈՒնիվերսալ Կոորդինացված Ժամանակը կամ լոկալ ստանդարտ ժամանակը: Պետք է գոյություն ունենա այնպիսի միջոցառում, որը թույլ կտա ուղղել ցանկացած շեղում կամ էական փոփոխություն:
23. Տեղափոխվող սարքերի հետ և հեռակառավարվող ռեժիմում աշխատանքը
Պետք է համեմատել հեռակառավարվող աշխատանքը ռիսկերի հետ: Տեղափոխվող սարքավորումների հետ աշխատելուց պետք է հաշվի առնել չպաշտպանված միջավայրում աշխատելու ռիսկերը և կիրառել համապատասխան անվտանգության միջոցներ: Հեռակառավարվող ռեժիմում աշխատելիս կազմակերպությունը պետք է հաշվի առնի ինչպես աշխատավայրի անվտանգությունը, այնպես էլ ինֆորմացիոն անվտանգության միջոցները:
24. Տեղափոխվող սարքերի հետ աշխատանքը
Տեղափոխվող սարքեր օգտագործելու դեպքում, օրինակ` նոութբուք, գրպանի համակարգիչ, տեղափոխվող համակարգիչ, բջջային հեռախոս, անհրաժեշտ է աշխատանքային ինֆորմացիայի տարածման հատուկ կանխարգելիչ միջոցներ ձեռնարկել: Անհրաժեշտ է նաև ընտրել քաղաքականություն, որը հաշվի է առնում տեղափոխվող սարքերի հետ աշխատանքի ռիսկերը չպաշտպանված միջավայրում: Այս քաղաքականությունը ընդգրկում է` ֆիշիկական պաշտպանության պահանջները, հասանելիության կառավարումը, կրիպտոգրաֆիայի մեթոդների և միջոցների օգտագործումը, պահուստավորումը և վիրուսներից պաշտպանումը:
Պետք է զգույշ լինել տեղափոխվող, համակարգչային սարքերի և այլ հաշվողական տեխնիկայի միջոցների օգտագործումից հասարակական վայրերում և ոչ պաշտպանված հիմնարկությունից դուրս տարածքներում:
Անհրաժեշտ է նաև պահուստային կրկնօրինակների ադեկվատ անվտանգություն ապահովել գողությունից կամ կորստից: Համապատասխան պաշտպանությունը անհրաժեշտ է ապահովվել, հասարակական ցանցերին միացվող տեղափոխվող միջոցներին: Աշխատանքային ինֆորմացիային հասարակական ցանցով, հաշվողական տեղափոխվող սարքավորումների միջոցով հեռացված մուտք կարելի է ստանալ միայն հաջողված նույնականացումից և աուտենտիֆիկացիայից հետո, ինչպես նաև հասանելիության կառավարման մեխանիզմների առկայության դեպքում:
25. Աշխատանքը հեռակառավարվող ռեժիմում
Հեռակառավարվող ռեժիմում աշխատելիս, նաև աշխատակիցների աշխատանքի ապահովումը կազմակերպությունից դուրս` հեռացված կոնկրետ վայրում ապահովելու համար օգտագործվում են կոմունիկացիոն տեխնոլոգիաներ: Պարտադիր է ապահովել հեռակառավարվող աշխատանքային տեղի անվտանգությունը ինչպես սարքավորումների և ինֆորմացիայի հափշտակումից այնպես էլ ոչ հավաստագրված ինֆորմացիայի բացահայտումից, կազմակերպության ներքին համակարգերի ոչ հավաստագրման հեռացված մուտքից կամ սարքավորումների սխալ օգտագործումից: Կարևոր է, որ հեռակառավարվող ռեժիմում աշխատելիս կատարվեն, ինչպես հավաստագրման, այնպես էլ ղեկավարության կողմից պահանջները: Նաև ապահովվի տվյալ աշխատանքի ձևի համապատասխան ինֆորմացիոն անվտանգության մակարդակը:
Անհրաժեշտ է ուշադրություն դարձնել` • հեռակառավարվող աշխատատեղի համար առաջարկվող սարքավորումները • կոմմունիկացիայի անվտանգության պահանջներին, ելնելով կազմակերպության ներքին համակարգերի նկատմամբ հեռակա հասանելիության պահանջներից, ինֆորմացիաի կարևորությանը, որի նկատմամբ պետք է հասանելիություն իրականացվի և որը պետք է փոխանցվի կապի միջոցներով, ինչպես նաև կազմակերպության ներքին համակարգերի կարևորությանը. • Այլ անձանց կողմից.որոնք հասանելիություն ունեն հեռակա աշխատատեղերին, ինֆորմացիայի կամ այլ ռեսուրսների նկատմամբ ներխուժման վտանգին • Այս պայմաններում ինֆորմացիոն անվտանգությունը ապահովվող միջոցառումները պետք է ներառեն` • հեռակառավարման աշխատատեղի համար համապատասխան սարքավորումներով ապահովելը • աշխատանքային ժամերի և թույլատրվող աշխատանքի տեսակների որոշումը, պահպանվող ինֆորմացիայի դասակարգումը, ինչպես նաև հեռակառավարվող ռեժիմում աշխատող ավտորիզացված անձանց կողմից ներքին համակարգերի և ծառայությունների նկատմամբ հասանելիության որոշումը • համապատասխան հեռուստահաղորդակցության սարքավորումներով ապահովումը, այդ թվում հեռակա հասանելիության անվտանգության միջոցներով ապահովումը • ծրագրային ապահովվման և սարքավորման սպասարկման ու տեխնիկական օգնության ապահովումը • գործունեության անընդհատության ևտվյալների պահպանման նկատմամբ միջոցառումները • անվտանգության մոնիտորինգը և աուդիտը • սարքավորումների և ինֆորմացիայի նկատմամբ հասանելիության իրավունքներհ ու ղեկավարումը • արտոնություններից զրկումը, հասանելիության իրավուքից զրկումը և սարքավորումների վերադարձը հեռակառավարման ռեժիմում աշխատանքի ավարտի դեպքում
Վերընշվածը իրագործելու դեպքում մենք կստանանք
• ինֆորմացիայի հասանելիության ամբողջական վերահսկում • ինֆորմացիոն համակարգերի ոչ հավաստագրված մուտքի կանխարգելում • օգտագործողների կողմից ինֆորմացիային ոչ հավաստագրված հասսանելիության կանխարգելում • համակարգիչներին ոչ հավաստագրված մուտքի կանխարգելումը • ինֆորմացիոն համակարգերին ոչ հավաստագրված մուտքի կանխարգելումը • ոչ հավաստագրված գործողությունների ի հայտ բերելը • տեղափոխվող սարքերի հետ և հեռակառավարվող ռեժիմում աշխատանքի ժամանակ անվտանգության ապահովումը