Средства оперативного контроля и регистрации событий безопасности



Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства контроля и регистрации должны предоставлять возможности:

· ведения и анализа журналов регистрации событий безопасности (системных журналов). Журналы регистрации должны вестись для каждой рабочей станции сети;

· оперативного ознакомления администратора безопасности с содержимым системного журнала любой станции и с журналом оперативных сообщений об НСД;

· получения твердой копии (печати) системного журнала;

· упорядочения системных журналов по дням и месяцам, а также установления ограничений на срок их хранения;

· оперативного оповещения администратора безопасности о нарушениях.

При регистрации событий безопасности в системном журнале должна фиксироваться следующая информация:

· дата и время события;

· идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;

· действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).

Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:

· вход пользователя в систему;

· вход пользователя в сеть;

· неудачная попытка входа в систему или сеть (неправильный ввод пароля);

· подключение к файловому серверу;

· запуск программы;

· завершение программы;

· оставление программы резидентно в памяти;

· попытка открытия файла недоступного для чтения;

· попытка открытия на запись файла недоступного для записи;

· попытка удаления файла недоступного для модификации;

· попытка изменения атрибутов файла недоступного для модификации;

· попытка запуска программы, недоступной для запуска;

· попытка получения доступа к недоступному каталогу;

· попытка чтения/записи информации с диска, недоступного пользователю;

· попытка запуска программы с диска, недоступного пользователю;

· нарушение целостности программ и данных системы защиты

· и др.

Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности):

· извещение владельца информации о НСД к его данным;

· снятие программы (задания) с дальнейшего выполнения;

· извещение администратора баз данных и администратора безопасности;

· отключение терминала (рабочей станции), с которого были осуществлены попытки НСД к информации;

· исключение нарушителя из списка зарегистрированных пользователей;

· подача сигнала тревоги и др.

Криптографические средства защиты информации

Одним из важнейших элементов системы обеспечения безопасности информации АС ОРГАНИЗАЦИИ должно быть использование криптографических методов и средств защиты информации от несанкционированного доступа при ее передаче по каналам связи.

Все средства криптографической защиты информации в АС ОРГАНИЗАЦИИ должны строиться на основе базисного криптографического ядра, прошедшего всесторонние исследования специализированными организациями ФАПСИ. Используемые средства криптографической защиты секретной информации должны быть сертифицированы, а вся подсистема, в которой они используются, должна быть аттестована ФАПСИ. На использование криптографических средств органы ОРГАНИЗАЦИИ должны иметь лицензию ФАПСИ.

Ключевая система применяемых в АС ОРГАНИЗАЦИИ шифровальных средств должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

Конфиденциальность и имитозащита информации при ее передаче по каналам связи должна обеспечиваться за счет применения в системе шифросредств абонентского и на отдельных направлениях канального шифрования. Сочетание абонентского и канального шифрования информации должно обеспечивать ее сквозную защиту по всему тракту прохождения, защищать информацию в случае ее ошибочной переадресации за счет сбоев и неисправностей аппаратно-программных средств центров коммутации.

В АС ОРГАНИЗАЦИИ, являющейся системой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной цифровой подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений. При этом должны использоваться только стандартизованные алгоритмы цифровой подписи, а соответствующие средства, реализующие эти алгоритмы, должны быть сертифицированы ФАПСИ.


Дата добавления: 2018-02-15; просмотров: 248;