Автори: Вовкоріз А. В., Димитров
О.С., Скворцов В.В.
Дніпропетровськ, Національний Горний Університет
Конференция: Актуальные проблемы
современных наук-2009 (07 - 15 июня 2009 г.).
Рекомендації
по захисту інформації в сфері розробки WEB-забезпечення
Підприємство, під час створення
WEB-сторінки та визначення операторів, вузли
яких будуть використовуватися для підключення до мережі Інтернет, повинне
керуватися законами України, іншими нормативно-правовими актами, що встановлюють вимоги з технічного захисту
інформації.
WEB-сторінка Підприємства
установи може бути розміщена на власному сервері або на сервері, що є власністю
оператора. Власник сервера
зобов’язаний гарантувати власнику інформації
рівень захисту у відповідності
до вимог цього НД ТЗІ.
Функціонування WEB-сторінки
забезпечується КС Підприємство, за допомогою якої здійснюється актуалізація
розміщених на WEB-сторінці інформаційних ресурсів та керування доступом до них.
Для забезпечення захисту
інформації WEB-сторінки в цій КС створюється КСЗІ, що є сукупністю
організаційних і інженерно-технічних заходів, а також програмно-апаратних
засобів, які забезпечують захист інформації.
Створення КСЗІ здійснюється
відповідно до технічного завдання, розробленого згідно з НД ТЗІ 3.7-001.
КСЗІ підлягає державній експертизі
у порядку, передбаченому Положенням про державну експертизу в сфері технічного
захисту інформації.
Захист інформації на всіх етапах
створення та експлуатації WEB-сторінки здійснюється відповідно до розробленого
установою плану захисту
інформації, зміст якого визначено НД ТЗІ 1.4-001.
План захисту затверджується керівником установи, а у випадку використання
сервера оператора – погоджується з власником сервера.
Перелік інформації, призначеної
для публічного розміщення на WEB-
сторінці, визначається з урахуванням вимог діючого
законодавства та затверджується керівником установи, що є власником
WEB-сторінки.
Організація робіт із захисту
інформації та забезпечення контролю за станом її захищеності на WEB-сторінці
Підприємство здійснюється відповідальним підрозділом або відповідальною особою.
У випадку користування послугами
оператора щодо розміщення, експлуатації та адміністрування WEB-сторінки власник
інформації укладає з оператором договір (угоду), яким визначаються права і
обов’язки сторін, умови підключення, розміщення інформації та забезпечення
доступу до неї, інші питання, що вимагають урегулювання між власником
інформації WEB-
сторінки та оператором, виходячи з вимог
законодавства у сфері захисту інформації та цього НД ТЗІ.
Окремі питання із захисту
інформації можуть оформлятися у вигляді додатків, які є невід’ємною частиною
договору.
Характеристика типових умов
функціонування та вимоги до захисту інформації WEB-сторінки
До складу КС, яка забезпечує
функціонування WEB-сторінки, входять:
·
ОС,
·
фізичне середовище, в якому вона знаходиться і функціонує,
·
середовище користувачів,
·
оброблювана інформація, у тому числі й технологія її оброблення.
Під час забезпечення захисту
інформації мають бути враховані всі
характеристики
зазначених складових частин, які впливають на реалізацію політики безпеки
WEB-сторінки.
У випадку, якщо WEB-сторінка
Підприємства містить посилання на інформаційні ресурси іншої WEB-сторінки,
умови функціонування останньої не повинні порушувати встановлену для даної
WEB-сторінки політику безпеки.
Вимоги із захисту WEB-сторінки
ПІДПРИЄМСТВА.
КСЗІ повинна забезпечувати
реалізацію вимог із захисту цілісності та доступності розміщеної на
WEB-сторінці загальнодоступної інформації, а також конфіденційності та
цілісності технологічної інформації WEB-сторінки.
Технологія оброблення інформації
повинна відповідати вимогам політики безпеки інформації, визначеної для КС, що
забезпечує функціонування WEB-сторінки.
Вимоги щодо забезпечення
цілісності загальнодоступної інформації WEB-сторінки та конфіденційності й
цілісності технологічної інформації вимагають застосування технологій, що
забезпечують реалізацію контрольованого і санкціонованого доступу до інформації
та заборону неконтрольованої й несанкціонованої її модифікації.
Технологія оброблення інформації
повинна бути здатною реалізовувати можливість виявлення спроб несанкціонованого
доступу до інформації WEB-сторінки та процесів, які з цією інформацією
пов’язані, а також забезпечити реєстрацію в системному журналі визначених
політикою відповідної послуги безпеки подій (як НСД, так і авторизованих
звернень).
Для користувачів, які порушили
встановлені правила розмежування доступу до WEB-сторінки, засоби КСЗІ на період
сеансу роботи повинні забезпечити блокування доступу до WEB-сторінки.
Технологічними процесами повинна
бути реалізована можливість створення резервних копій інформації WEB-сторінки
та процедури їх відновлення з використанням резервних копій.
Технологія оброблення інформації
повинна передбачати можливість аналізу використання користувачами і процесами
обчислювальних ресурсів КС і забезпечувати керування ресурсами.
Політика безпеки інформації WEB-сторінки Підприємства
Політика безпеки інформації в КС повинна поширюватися на об’єкти
комп’ютерної системи, які безпосередньо чи
опосередковано впливають на безпеку інформації.
До таких об’єктів належать:
·
адміністратор безпеки та співробітники СЗІ;
·
користувачі, яким надано повноваження забезпечувати управління КС;
·
користувачі, яким надано право доступу до загальнодоступної інформації;
·
інформаційні об’єкти, що містять загальнодоступну інформацію;
·
системне та функціональне ПЗ, яке використовується в КС для оброблення
інформації або для забезпечення функцій КЗЗ;
·
технологічна інформація КСЗІ (дані про мережеві адреси, імена, персональні
ідентифікатори та паролі користувачів, їхні повноваження та права доступу до
об’єктів, встановлені робочі параметри окремих механізмів або засобів захисту,
інша інформація баз даних захисту, інформація журналів реєстрації дій
користувачів тощо);
·
засоби адміністрування і управління обчислювальною системою КС та
технологічна інформація, яка при цьому використовується;
·
обчислювальні ресурси КС (наприклад, дисковий простір, тривалість сеансу
роботи користувача із засобами КС, час використання центрального процесора і т.
ін.), безконтрольне використання або захоплення яких окремим користувачем може
призвести до блокування роботи інших користувачів, компонентів КС або КС в
цілому.
З урахуванням особливостей
надання доступу до інформації WEB-сторінки, типових характеристик середовищ
функціонування та особливостей технологічних процесів оброблення інформації
визначаються наступні мінімально необхідні рівні послуг безпеки для
забезпечення захисту інформації від загроз: за умови, коли WEB-сервер і робочі
станції розміщуються на території установи-власника WEB-сторінки або на
території оператора (технологія Т1), мінімально необхідний функціональний
профіль визначається: КА-2, ЦА-1, ЦО-1, ДВ-1,
ДР-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1; за
умови, коли WEB-сервер розміщується у оператора, а робочі станції на території власника WEB-сторінки, взаємодія яких з
WEB-сервером здійснюється з використанням мереж передачі даних (технологія Т2),
мінімально необхідний функціональний профіль визначається: КА-2, КВ-1, ЦА-1, ЦО-1, ЦВ-1, ДВ-1, ДР-1, НР-2, НИ-2,
НК-1, НО-1,НЦ-1, НТ-1, НВ-1.