14. Вимоги до захисту інформації WEB-сторінки від НСД

Основним нормативним документом з цього питання є НД ТЗІ 2.5-010-2003 «Вимоги до захисту інформації WEB-сторінки від НСД». Його вимоги є обов’язковими для виконання державними органами, Збройними Силами України та органами місцевого самоврядування, а також підприємствами, установами та організаціями (далі - установи) усіх форм власності під час захисту інформації, що належить до державних інформаційних ресурсів на WEB-сторінках (далі - сайт).

Вжиті в ньому терміни мають такі значення:
- інтернет - сукупність мереж та обчислювальних засобів, які використовують стек протоколів TCP/IP (Transport Control Protocol/Internet Protocol), спільний простір імен та адрес для забезпечення доступу до інформаційних ресурсів мережі будь-якій особі;
- провайдер - юридична або фізична особа, яка надає користувачам доступ до мережі Інтернет;
- браузер - програмне забезпечення, що надає інтерфейс для доступу до інформації сайтів та їх перегляду;
- робоча станція (клієнт мережі) - окрема ПЕОМ або віддалений термінал мережі, з яких користувачі отримують доступ до ресурсів мережі Інтернет;
- сервер - об'єкт комп'ютерної системи (програмний або програмно-апаратний засіб), що надає послуги іншим об'єктам за їх запитами;
- сайт - мережевий інформаційний ресурс, що надається користувачу у вигляді HTML-документу і має у мережі свою унікальну адресу;
- WEB-сервер - сервер, який обслуговує запити користувачів (клієнтів) згідно з протоколом HTTP (Hyper Text Transfer Protocol), забезпечує актуалізацію, збереження інформації сайту, зв’язок з іншими серверами;
- HTML-документ - файл текстової або нетекстової природи (звук, відео, зображення), створений за допомогою мови гіпертекстової розмітки HTML (Hyper Text Mark-up Language);
- посилання - адреса іншого мережевого інформаційного ресурсу у форматі URL (Universal Resource Location), який тематично, логічно або будь-яким іншим способом пов’язаний з документом, у якому це посилання визначене.

Загальні вимоги

Сайт установи може бути розміщена на власному сервері або на сервері, що є власністю провайдера. Власник сервера зобов'язаний гарантувати власнику інформації рівень захисту у відповідності до вимог цього НД ТЗІ. Функціонування сайту забезпечується ІТС, за допомогою якої здійснюється актуалізація розміщених на сайті інформаційних ресурсів та керування доступом до них.

Для забезпечення захисту інформації сайту в цій ІТС створюється КСЗІ, що є сукупністю організаційних і інженерно-технічних заходів, а також програмно-апаратних засобів, які забезпечують захист інформації.

Захист інформації на всіх етапах створення та експлуатації сайту здійснюється відповідно до розробленого установою плану захисту інформації, зміст якого визначено НД ТЗІ 1.4-001. План захисту затверджується керівником установи, а у випадку використання сервера оператора - погоджується з власником сервера.

Перелік інформації, призначеної для публічного розміщення на сайті, визначається з урахуванням вимог діючого законодавства та затверджується керівником установи, що є власником сайту. Організація робіт щодо захисту інформації та забезпечення контролю за станом її захищеності на сайті в установі здійснюється службою захисту інформації (далі - СЗІ).

У випадку користування послугами провайдера щодо розміщення, експлуатації та адміністрування сайту власник інформацїі укладає з ним договір (угоду), яким визначаються права і обов'язки сторін, умови підключення, розміщення інформації та забезпечення доступу до неї, інші питання, що вимагають урегулювання між власником інформації сайту та провайдером, виходячи з вимог законодавства у сфері захисту інформації.

Типові умови функціонування та
вимоги до захисту інформації сайту

До складу ІТС, яка забезпечує функціонування сайту, входять: ОС, фізичне середовище, в якому вона знаходиться і функціонує, середовище користувачів, оброблювана інформація, у тому числі й технологія її оброблення. Під час забезпечення захисту інформації мають бути враховані всі характеристики зазначених складових частин, які впливають на реалізацію політики безпеки сайту.

У випадку, якщо сайт містить посилання на інформаційні ресурси іншого сайту, умови функціонування останнього не повинні порушувати встановлену для даної сайту політику безпеки.

Визначаються типові умови функціонування всіх складових ІТС, вводяться обмеження до умов функціонування та встановлюються загальні вимоги із захисту інформації до окремих компонентів ІТС. Для визначеної таким чином типової схеми функціонування ІТС встановлюються можливі варіанти для вибору функціональних профілів захищеності інформації від НСД.

Інформація сайту та технологія її оброблення

Характеристика

Інформація сайту поділяється на дві категорії:
- загальнодоступна інформація;
- технологічна інформація.

До загальнодоступної інформації відноситься публічно оголошувана інформація, користуватися якою можуть будь-які фізичні або юридичні особи (користувачі інформаційних ресурсів), що мають доступ до мережі Інтернет.

До технологічної інформації сайту відноситься технологічна інформація КСЗІ та технологічна інформація щодо адміністрування та управління обчислювальною системою АС і засобами обробки інформації - дані про мережеві адреси, імена, персональні ідентифікатори та паролі користувачів, їхні повноваження та права доступу до об'єктів, інформація журналів реєстрації дій користувачів, інша інформація баз даних захисту, встановлені робочі параметри окремих механізмів або засобів захисту, інформація про профілі обладнання та режими його функціонування, робочі параметри функціонального ПЗ тощо.

Технологічна інформація призначена для використання тільки уповноваженими користувачами з числа співробітників СЗІ та персоналу, що забезпечує функціонування ІТС. Способи і методи обробки інформації сайту (зберігання, супроводження, передачі, введення, актуалізації  та використання інформації) визначають технології оброблення інформації.

Технологічні особливості роботи користувачів із загальнодоступною інформацією сайту визначаються особливостями системного та функціонального ПЗ, зокрема браузерів, які ними використовуються. Технологічні особливості роботи користувачів інших категорій визначаються, крім того, архітектурою ІТС, способами оброблення та передавання інформації між компонентами ІТС і способами здійснення доступу до неї.

Можливі такі способи здійснення доступу до технологічної інформації та передавання даних для актуалізації загальнодоступної інформації:
- з робочої станції, розміщеної на тій самій території, що і WEB-сервер (установи-власника сайту або провайдера) або з терміналу WEB-сервера;
- з робочої станції, яка розміщена на території установи-власника сайту, до WEB-сервера, що розміщений на території провайдера, з використанням мереж передачі даних.

Вимоги

КСЗІ повинна забезпечувати реалізацію вимог із захисту цілісності та доступності розміщеної на сайті загальнодоступної інформації, а також конфіденційності та цілісності технологічної інформації сайту. Технологія оброблення інформації повинна відповідати вимогам політики безпеки інформації, визначеної для ІТС, що забезпечує функціонування сайту.

Вимоги щодо забезпечення цілісності загальнодоступної інформації сайту та конфіденційності й цілісності технологічної інформації вимагають застосування технологій, що забезпечують реалізацію контрольованого і санкціонованого доступу до інформації та заборону неконтрольованої й несанкціонованої її модифікації.

Технологія оброблення інформації повинна бути здатною реалізовувати можливість виявлення спроб несанкціонованого доступу до інформації сайту та процесів, які з цією інформацією пов’язані, а також забезпечити реєстрацію в системному журналі визначених політикою відповідної послуги безпеки подій (як НСД, так і авторизованих звернень).

Для користувачів, які порушили встановлені правила розмежування доступу до сайту, засоби КСЗІ на період сеансу роботи повинні забезпечити блокування доступу до сайту. Технологічними процесами повинна бути реалізована можливість створення резервних копій інформації сайту та процедури їх відновлення з використанням резервних копій.

Технологія оброблення інформації повинна передбачати можливість аналізу використання користувачами і процесами обчислювальних ресурсів ІТС і забезпечувати керування ресурсами.

Обчислювальна система

Характеристика

Узагальнена функціонально-логічна структура обчислювальної системи ІТС включає такі підсистеми:
- обробки інформації;
- взаємодії з користувачами ІТС;
- обміну даними.

Підсистема обробки інформації забезпечує створення, зберігання, актуалізацію інформації сайту і складається із засобів обробки інформації, системного та функціонального ПЗ. До засобів обробки інформації належать WEB-сервер та необхідна кількість робочих станцій (або терміналів) для забезпечення всіх функцій щодо супроводження сайту та захисту інформації.

Підсистема взаємодії з користувачами АС забезпечує за запитами користувачів надання доступу до загальнодоступної інформації WEB-сторінки, яка має вигляд HTLM-документу, з використанням мереж передачі даних та стандартних Інтернет-протоколів. Підсистема складається, як мінімум, з програмно-апаратного комплексу, який дозволяє здійснювати маршрутизацію запитів користувачів, забезпечувати пошук необхідних користувачу інформаційних ресурсів і доступ до них. 

Підсистема обміну даними забезпечує підготовку та безпосередньо імпорт/експорт інформації в/із ІТС, а також внутрішньосистемний обмін інформацією між WEB-сервером та робочими станціями з реалізацією фаз встановлення, підтримання та завершення з’єднання.

Відповідно до політики безпеки інформації в ІТС підсистеми комплектуються засобами захисту інформації (можуть використовуватися штатні засоби захисту системного і функціонального ПЗ та/або спеціалізовані засоби), які складають компоненти КЗЗ.

Вимоги

Програмно-апаратні засоби захисту, що входять до складу КЗЗ, повинні мати належним чином оформлені документи (експертні висновки, сертифікати), які засвідчують відповідність цих засобів вимогам нормативних документів системи ТЗІ.

Встановлення на ОС нових (додаткових) компонентів, ПЗ (системного та/або функціонального), сервісів та розміщення будь-яких інших мережевих ресурсів, які не належать до категорії сайту установи, не повинно порушувати політику безпеки інформації в АС, що забезпечує функціонування сайту...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика