Մասնակից:Ashot.badalyan

Վիքիպեդիայից՝ ազատ հանրագիտարանից

Ինֆորմացիոն անվտանգության կառավարման կանոնները


Հասանելիության վերահսկումը


1. Տրամաբանական հասանելիության նկատմամբ վերահսկման պահանջները

Ինֆորմացիայի հասանելիությունը պետք է լինի վերահսկվող հաշվի առնելով անվտանգությունը և վերահսկման պահանջները: Պահանջները` իր հերթին պետք է արտացոլվեն ինֆորմացիաի տարածման և հավաստագրման քաղաքականության մեջ:


2. Տրամաբանական հասանելիության քաղաքականությունը

Հասանելիության նախատեսում է` Յուրաքանչյուր օգտագործողի կամ օգտագործողների խմբի հասանելիության վերահսկման իրավունքները պետք է միանշանակ որոշվեն տրամաբանական հասանելիության նկատմամբ անվտանգության քաղաքականությամբ Անհրաժեշտ է, որ քաղաքավարությունը ներառի` • կոնկրետ ծրագրային ապահովման անվտանգության պահանջները • ծրագրային ապահովման հետ կապված ամբողջ ինֆորմացիայի նույնականացումը ինֆորմացիայի տարածման և հասանելիության հավաստագրման պահանջները

3. Օգտագործողների հասանելիության վերահսկումը

Ինֆորմացիոն համակարգերին և ծառայություններին հասանելիության իրավունքների տրամադրման վերահսկման համար անհրաժեշտ է ֆորմալ միջոցառումների առկայությունը: Անհրաժեշտ է որ, միջոցառումները ընդգրկեն օգտագործողի հասանելիության կյանքի ամբողջ ցիկլը` սկսված նոր օգտագործողների գրանցումից մինչև նրանց գրանցումից հանելը:

4. Օգտագործողների գրանցումը

Բազմաօգտագործման ինֆորմացիոն ծառայությունների հասանելիությունը պետք է կառավարվող լինի օգտագործողի գրանցման պրոցեսով, որը պիտի ընդգրկի` • օգտագործողների ունիկալ ID-ների օգտագործում ստուգումը այն բանի, որ օգտագործողը համակարգի սեփականատիրոջ կողմից ստացել է համակարգից և ծառայություններից օգտվելու հավաստագրում • ստուգումը այն բանի, որ տրամադրված հասանելիության աստիճանը համապատասխանում է աշխատանքային անհրաժեշտությանը • հիմնարկությունից դուրս եկած կամ պաշտոնի փոփոխություն ունեցող օգտագործողների հասանելիության իրավունքի անհապաղ հեռացում • օգտագործողների գրառումների և սպառված ID-ների պարբերական ստուգում և հեռացում • այն բանի ապահովումը, որ օգտագործողների սպառված ID-ները չփոխանցվեն այլ օգտագործողների

5. Օգտագործողների գաղտնաբառերի վերահսկումը

Գաղտնաբառերը հանդիսանում են ինֆորմացիոն համակարգին կամ ծառայությանը օգտագործողների հասանելիության նույնականացման ապացուցման ամենատարածված միջոցները: Գաղտնաբառերի տրամադրումը պետք է կառավարվի ֆորմալիզացված կառավարման միջոցով, որը պետք է նախատեսի ` • անհրաժեշտ է ապահովել ժամանակավոր գաղտնաբառի տրամադրումը, որը օգտագործողը պարտավոր է փոխել համակարգում առաջին գրանցման ժամանակ • օգտագործողները պարտավոր են հաստատեն գաղտնաբառի ստացումը գաղտնաբառերը չպետք է պահվեն համակարգում անպաշտպան տեսքով: Անհրաժեշտության դեպքում պետք է կիրառվեն հավաստագրման այլ միջոցներ և տեխնոլոգիաներ

6. Օգտագործողների հասանելիության իրավունքների վերանայում

Տվյալների և ինֆորմացիոն ծառայությունների հասանելիության էֆֆեկտիվ վերահսկման համար ղեկավարությունը պետք է պարբերաբար անցկացնի օգտագործողների հասանելիության իրավունքների վերանայման ֆորմալիզացված պրոցեսս

7. Գաղտնաբառերի օգտագործում


• օգտագործողները պարտավոր են պահպանել որոշակի կանոններ գաղտնաբառերի ընտրման և օգտագործման ժամանակ • պահպանեն գաղտնաբառերի գաղտնիությունը • գաղտնաբառերը թղթի վրա գրելը արգելվի, եթե միայն չի ապահովվում նրանց անվտանգ պահպանումը • գաղտնաբառերի փոփոխեն ամեն անգամ, երբ գաղտնաբառի տարածման վտանգ կա • նվազագույնը վեց նիշ պարունակող, որակյալ գաղտնաբառերի ընտրել • հեշտ հիշել • չպետք է լինեն հեշտ գուշակելի կամ դուրս չբերվեն օգտագործողի անձնական տվյալներից ելնելով • չպետք է պարունակեն հերթական կրկնվող նիշեր և չլինեն ամբողջովին տառերից կամ թվերից բաղկացած • պետք է փոփոխվեն, որոշակի հավասար ժամանակամիջոցը մեկ կամ որոշակի քանակի մուտքերից հետո: Նաև չպետք է կրկնվեն կամ ցիկլիկ լինեն

8. Օգտագործողի կողմից առանձ հսկողության թողնված սարքավորումները

Օգտագործողները պետք է ապահովվեն առանձ հսկողության թողնված սարքավորումների պաշտպանությունը: Օգտագործողներին առաջարկվում է` • աշխատանքի ավարտից հետո իրականացնել ակտիվ սեանս, եթե բացակայում է ավտոմատ արգելափակման համակարգը

9. Ցանցային հասանելիության վերահսկումը

Ինչպես ներքին, այնպես էլ արտաքին ցանցային ծառայությունների հասանելությունը պետք է լինի վերահսկվող


10. Ցանցային ծառայությունների օգտագործման քաղաքականությունը

Ցանցային ծառայություններին չարտոնված միացումները կարող են խափանել ամբողջ հիմնարկության ինֆորմացիոն անվտանգությունը: Հասանելիության վերահսկումը անհրաժեշտ է կարևոր կամ կրիտիկական ծրագրային ապահովվման ցանցային միացումների կամ օգտագործողների համար: Անհրաժեշտ է ցանցերի և ցանցային ծառայությունների համար նախատեսել անվտանգության միջոցներ, նման դեպքում պետք է որոշվեն` • ցանցերը և ցանցային ծառայությունները, որոնք պետք է լինեն հասանելի • հավաստագրման միջոցառումները, որոնք պետք է որոշեն թե ում և ինչպիսի ցանցերին կամ ցանցային ծառայություններին հասանելիություն պետք է տրվի • պրոցեդուրներ և միջոցառումներ ցանցերը չարտոնված մուտքերից ապահովվելու համար

11. Օգտագործողների աուտենտիֆիկացիա արտաքին միացման դեպքում

Արտաքին միացումները ավելացնում են աշխատանքային ինֆորմացիային ոչ հավաստագրված հասանելիությոան ռիսկը, օրինակ հեռախոսային կապի օգտագործումը: Այդ պատճառով էլ հեռացված օգտագործողների հասանելիությունը պետք է լինի աւտենտիֆիկացված: Աւտենտիֆիկացիոյի որոշ մեթոդներ, որոնք են` կրիպտոգրաֆիայի վրա հիմնվածները, ապահովում են հուսալի աուտենեիֆիկացիա:

12. Օպերացիոն համակարգի նկատմամբ հասանելիության վերահսկումը


Օպերացիօն համակարգի մակարդակի վրա, պետք է օգտագործել ինֆորմացիոն անվտանգության միջոցներ, որոնք կսահմանափակեն համակարգչային ռեսուրսների հասանելիությունը: Այս միջոցները պետք է ապահովեն` • համակարգչի նույնականացումը և զանազանումը • համակարգին հաջողված և չհաջողված մուտքերի գրանցումը • համապատասխան մակարդակի աուտենտիֆիկացիան: Եթե համակարգը օգտագործում է գաղտնաբառերի անվտանգություն, ապա այն պետք է ապահովի որակյալ գաղտնաբառեր • անհրաժեշտության դեպքում օգտագործողների միացման ժամանակի սահմանափակում

13. Օգտագործողների նույնականացում և աուտենտիֆիկացիա


Անհրաժեշտ է, որ օգտագործողները ունենան յուրահատուկ իդենտիֆիկատոր միայն իրենց կողմից օգտագործելու համար, որպեսզի պատասխանատու անձը կարողանա վերլուծել իրենց գործողությունները: Օգտագործողի ID-ն չպետք է պարունակի օգտագործողի առավելության նշաններ: Գոյություն ունեն աուտենտիֆիկացիայի տարբեր միջոցառումներ, որոնք կարող են օգտագործվել օգտագործողի ի հայտ եկած ինքնությունը ապացուցելու համար:

Հասանելիության հատուկ հիշողությամբ ֆիզիկական սարքավորումները (token) կամ միկրոպրոցեսսորային քարտերը (smart-card), որոնք օգտագործում են աշխատակիցները, կարող են նաև օգտագործվել նույնականացման և աուտենտիֆիկացիայի համար: Բիոմետրիկ աուտենտիֆիկացիայի մեթոդները, որոնք հիմնված են անձի ֆիզիկական տվյալների յուրահատկությունների վրա կարող են նաև օգտագործվել աուտենտիֆիկացիայի համար: 

Տարբեր մեթոդների իրար հետ կիրառումը ապահովում է ավելի ապահով աուտենտիֆիկացիա:


14. Օգտագործողների անվտանգության ազդանշանը այն դեպքում, երբ նրանք կարող են դառնալ բռնության առարկա

Ցանկալի է նախատեսել ազդանշան այն դեպքում, երբ օգտագործողը կարող է դառնալ բռնության առարկա: Այդպիսի ազդանշանի ապահովվումը պետք է որոշվի ռիսկերի գնահատման հիման վրա: Այս դեպքում պետք է առկա լինեն ազդանշանին արձագանքելու հատուկ միջոցառումներ:

15. Միացման ժամանակի սահմանափակումը

Միացման ժամանակի սահմանափակումը պետք է ապահովի ծրագրային ապահովման լրացուցիչ անվտանգությունը: Այս անվտանգության միջոցը պետք է կիրառել առավել կարևոր համակարգչային ծրագրերի ապահովման համար:

Այդպիսի սահմանափակումներից են` • նախօրոք որոշված ժամանակամիջոցների օգտագործումը ֆայլերի փոխանցման և կարճատև ինտերակտիվ սեանսերի համար • ժամանակի սահմանափակում կապված կազմակերպության աշխատանքային ժամերի հետ, եթե չկա արտաժամյա կամ երկարատև աշխատանքի անհրաժեշտություն

16. Ինֆորմացիայի հասանելիության սահմանափակումը

Ծրագրային ապահովման օգտագործողներին ինչպես նաև սպասարկող անձնակազմին, ինֆորմացիայի և ծրագրային ֆունկցիաների հասանելիությունը պետք է ապահովել ըստ նախօրոք որոշված հասանելիության վերահսկման քաղաքականության, որը հիմնված է տարբեր ծրագրային ապավովման պահանջների վրա: Անհրաժեշտ է վերանայել հետևյալ միջոցառումների կիրառումը ինֆորմացիոն անվտանգության ղեկավարման գծով հասանելիության սահմանափակման պահանջների ապահովման համար` • օգտագործողների իրավունքների վերահսկումը` օրինակ, կարդալ-գրել-հեռացնել-իրականացնել • ապահովվել վստահություն, որ ծրագրերից դուրս բերվող տվյալները, որոնք մշակում են կարևոր ինֆորմացիա, պարունակում են միայն պահանջվող ինֆորմացիան:

17. Կարևոր ինֆորմացիա մշակող համակարգերի մեկուսացում

Համակարգերը, որոնք մշակում են կարևոր ինֆորմացիա պետք է ապահովված լինեն առանձնացված (մեկուսացված) հաշվողական միջավայրով: Որոշ կիրառական համակարգերը ունեն տվյալներ անվտանգության շատ մեծ ինֆորմացիոն ապահովվության կարևորություն և պահանջում են աշխատանքային հատուկ պայմաններ: Մշակվող ինֆորմացիաի կարևորությունը կարող է պահանջել համակարգի աշխատանքը կամ առանձնացված համակարգչի վրա կամ անվտանգ ծրագրային ապահովման հետ կամ առանց սահմանափակումների: Այս դեպքում անհրաժեշտ է հաշվի առնել` • եթե կարևոր ծրագրային ապահովվումը պետք է աշխատի համատեղ օգտագործման միջակայքում, ապա անհրաժեշտ է հայտնաբերել այլ ապահովումը, որի հետ է իրագործվելու տվյալների համատեղ օգտագործումը:

18. Համակարգի հասանելիության և օգտագործման մոնիտորինգ

Հասանելիության վերահսկման և իրադարձությունների գրանցման քաղաքականությունից շեղումների հայտնաբերման և ապացույցների ապահովման համար, ինֆորմացիոն անվտանգության խախտման միջադեպների հայտնաբերման համար պետք է անցկացնել համակարգի մոնիտորինգ: Համակարգի մոնիտորինգը թույլ է տալիս ստուգել ինֆորմացիոն անվտանգության միջոցառման ապահովման էֆֆեկտիվությունը:

19. Իրադարձությունների գրանցումը

Ինֆորմացիոն անվտանգության խախտումների միջադեպերի գրանցման համար պետք է ստեղծել աուդիտի մատյաններ և պահել այն համաձայնեցված ժամանակահատվածի համար, հետագա հասանելիության կառավարման մոնիտորինգի հետաքննությանը օգնելու նպատակով: Աուդիտի մատյանը պետք է պարունակի հետևյալ գրանցումները` • օգտագործողի ID-ն • մուտքի և ելքի ամսաթիվը և ժամանակը • տերմինալի իդենտիֆիկատորը և գտնվելու վայրը, եթե հնարավոր է • համակարգի մուտքերի հաջողակ և մերժված գրանցումները • համակարգի այլ ռեսուրներին դիմելու հաջողակ և մերժված գրանցումները

Հնարավոր է պետք գա որոշակի գրանցումների արխիվացումը հետագա անալիզի կամ միջադեպերի հետաքննության համար:

20. Համակարգի օգտագործման մոնիտորինգ


Ռիսկի շրջանի պրոցեդուրներ Վստահությունը` որ օգտագործողները իրականացնում են միայն այն գործողությունները, որոնց համար իրենց իրավունք է տրված, ապահովվելու համար, անհրաժեշտ է որոշել ինֆորմացիայի մշակման միջոցների մոնիտորինգի պրոցեդուր: Մոնիտորինգի ժամանակ հաշվի է առնվում` • ավտորիզացված մուտք ներառելով հետևյալ մանրամասները` o օգտագործողի ID-ն o հիմնական իրադարձությունների ամսաթիվը և ժամանակը o իրադարձությունների տիպը o ֆայլերը, որոնց հասանելիությունը իրականացվել է o օգտագործված ծրագրային ապահովվումը • բոլոր առավելությունով գործողությունները o սուպերվայզորի գրանցման օգտագործումը o համակարգի կանգնեցնելը և մեկնարկը o մուտքի-ելքի սարքավորումների միացում-անջատումը


• այն տիպի ոչ ավտորիզացված մուտքի փորձերը, որոնք են` o չստացված մուտքեր o հասանելիության քաղաքականության խախտում և ցանցային շլյուզերի հիշեցումները o ներխուժման հայտնաբերման սեփական համակարգերի զգուշացումները • համակարգի հետևյալ զգուշացումները և խափանում` o կոնսոլային զգուշացումները և հաղորդագրությունները o համակարգի գրանցման մատյանում գրանցված բացառությունները o ցանցի կառավարման հետ կապված զգուշացնող ազդանշանները

21. Ռիսկի ֆակտորները

Մոնիտերինգի արդյունքները պետք է պարբերաբար վերլուծել: Վերլուծության պարբերականությունը կախված է ռիսկի գնահատման արդյունքներից: Ռիսկի ֆակտորները, որոնք պետք է հաշվի առնվեն, ներառում են` • պրոցեսների ճգնաժամային լինելը, որոնք օգտագործվում են ապահովման կողմից • ինֆորմացիայի կարևորությունը, ճգնաժամային լինելը և արժեքը • նախորդ ներխուժման դեպքերի և համակարգի ոչ ճիշտ օգտագործման վերլուծությունը • կազմակերպության ինֆորմացիոն համակարգերի այլ ( հատկապես ընդհանուր հասանելի) ցանցերի հետ փոխկապակցվածության աստիճանը


22. Ժամանակի սինխրոնիզացում

Համակարգչային ժամացույցի ճիշտ կարգավորումը շատ կարևոր է աուդիտ մատյանների լրացման համար: Այն տեղերում, որտեղ համակարգիչը կամ այլ սարքավորումները հնարավորություն ունեն օգտագործել ժամացույց ռեալ ժամանակում, անհրաժեշտ է օգտագործել ՈՒնիվերսալ Կոորդինացված Ժամանակը կամ լոկալ ստանդարտ ժամանակը: Պետք է գոյություն ունենա այնպիսի միջոցառում, որը թույլ կտա ուղղել ցանկացած շեղում կամ էական փոփոխություն:

23. Տեղափոխվող սարքերի հետ և հեռակառավարվող ռեժիմում աշխատանքը

Պետք է համեմատել հեռակառավարվող աշխատանքը ռիսկերի հետ: Տեղափոխվող սարքավորումների հետ աշխատելուց պետք է հաշվի առնել չպաշտպանված միջավայրում աշխատելու ռիսկերը և կիրառել համապատասխան անվտանգության միջոցներ: Հեռակառավարվող ռեժիմում աշխատելիս կազմակերպությունը պետք է հաշվի առնի ինչպես աշխատավայրի անվտանգությունը, այնպես էլ ինֆորմացիոն անվտանգության միջոցները:

24. Տեղափոխվող սարքերի հետ աշխատանքը

Տեղափոխվող սարքեր օգտագործելու դեպքում, օրինակ` նոութբուք, գրպանի համակարգիչ, տեղափոխվող համակարգիչ, բջջային հեռախոս, անհրաժեշտ է աշխատանքային ինֆորմացիայի տարածման հատուկ կանխարգելիչ միջոցներ ձեռնարկել: Անհրաժեշտ է նաև ընտրել քաղաքականություն, որը հաշվի է առնում տեղափոխվող սարքերի հետ աշխատանքի ռիսկերը չպաշտպանված միջավայրում: Այս քաղաքականությունը ընդգրկում է` ֆիշիկական պաշտպանության պահանջները, հասանելիության կառավարումը, կրիպտոգրաֆիայի մեթոդների և միջոցների օգտագործումը, պահուստավորումը և վիրուսներից պաշտպանումը:

Պետք է զգույշ լինել տեղափոխվող, համակարգչային սարքերի և այլ հաշվողական տեխնիկայի միջոցների օգտագործումից հասարակական վայրերում և ոչ պաշտպանված հիմնարկությունից դուրս տարածքներում:

Անհրաժեշտ է նաև պահուստային կրկնօրինակների ադեկվատ անվտանգություն ապահովել գողությունից կամ կորստից: Համապատասխան պաշտպանությունը անհրաժեշտ է ապահովվել, հասարակական ցանցերին միացվող տեղափոխվող միջոցներին: Աշխատանքային ինֆորմացիային հասարակական ցանցով, հաշվողական տեղափոխվող սարքավորումների միջոցով հեռացված մուտք կարելի է ստանալ միայն հաջողված նույնականացումից և աուտենտիֆիկացիայից հետո, ինչպես նաև հասանելիության կառավարման մեխանիզմների առկայության դեպքում:

25. Աշխատանքը հեռակառավարվող ռեժիմում

Հեռակառավարվող ռեժիմում աշխատելիս, նաև աշխատակիցների աշխատանքի ապահովումը կազմակերպությունից դուրս` հեռացված կոնկրետ վայրում ապահովելու համար օգտագործվում են կոմունիկացիոն տեխնոլոգիաներ: Պարտադիր է ապահովել հեռակառավարվող աշխատանքային տեղի անվտանգությունը ինչպես սարքավորումների և ինֆորմացիայի հափշտակումից այնպես էլ ոչ հավաստագրված ինֆորմացիայի բացահայտումից, կազմակերպության ներքին համակարգերի ոչ հավաստագրման հեռացված մուտքից կամ սարքավորումների սխալ օգտագործումից: Կարևոր է, որ հեռակառավարվող ռեժիմում աշխատելիս կատարվեն, ինչպես հավաստագրման, այնպես էլ ղեկավարության կողմից պահանջները: Նաև ապահովվի տվյալ աշխատանքի ձևի համապատասխան ինֆորմացիոն անվտանգության մակարդակը:

Անհրաժեշտ է ուշադրություն դարձնել` • հեռակառավարվող աշխատատեղի համար առաջարկվող սարքավորումները • կոմմունիկացիայի անվտանգության պահանջներին, ելնելով կազմակերպության ներքին համակարգերի նկատմամբ հեռակա հասանելիության պահանջներից, ինֆորմացիաի կարևորությանը, որի նկատմամբ պետք է հասանելիություն իրականացվի և որը պետք է փոխանցվի կապի միջոցներով, ինչպես նաև կազմակերպության ներքին համակարգերի կարևորությանը. • Այլ անձանց կողմից.որոնք հասանելիություն ունեն հեռակա աշխատատեղերին, ինֆորմացիայի կամ այլ ռեսուրսների նկատմամբ ներխուժման վտանգին • Այս պայմաններում ինֆորմացիոն անվտանգությունը ապահովվող միջոցառումները պետք է ներառեն` • հեռակառավարման աշխատատեղի համար համապատասխան սարքավորումներով ապահովելը • աշխատանքային ժամերի և թույլատրվող աշխատանքի տեսակների որոշումը, պահպանվող ինֆորմացիայի դասակարգումը, ինչպես նաև հեռակառավարվող ռեժիմում աշխատող ավտորիզացված անձանց կողմից ներքին համակարգերի և ծառայությունների նկատմամբ հասանելիության որոշումը • համապատասխան հեռուստահաղորդակցության սարքավորումներով ապահովումը, այդ թվում հեռակա հասանելիության անվտանգության միջոցներով ապահովումը • ծրագրային ապահովվման և սարքավորման սպասարկման ու տեխնիկական օգնության ապահովումը • գործունեության անընդհատության ևտվյալների պահպանման նկատմամբ միջոցառումները • անվտանգության մոնիտորինգը և աուդիտը • սարքավորումների և ինֆորմացիայի նկատմամբ հասանելիության իրավունքներհ ու ղեկավարումը • արտոնություններից զրկումը, հասանելիության իրավուքից զրկումը և սարքավորումների վերադարձը հեռակառավարման ռեժիմում աշխատանքի ավարտի դեպքում

Վերընշվածը իրագործելու դեպքում մենք կստանանք

• ինֆորմացիայի հասանելիության ամբողջական վերահսկում • ինֆորմացիոն համակարգերի ոչ հավաստագրված մուտքի կանխարգելում • օգտագործողների կողմից ինֆորմացիային ոչ հավաստագրված հասսանելիության կանխարգելում • համակարգիչներին ոչ հավաստագրված մուտքի կանխարգելումը • ինֆորմացիոն համակարգերին ոչ հավաստագրված մուտքի կանխարգելումը • ոչ հավաստագրված գործողությունների ի հայտ բերելը • տեղափոխվող սարքերի հետ և հեռակառավարվող ռեժիմում աշխատանքի ժամանակ անվտանգության ապահովումը

Ստացված է «https://hy.wikipedia.org/w/index.php?title=Մասնակից:Ashot.badalyan&oldid=321714» էջից