П.А. Глыбовский
кандидат технических наук, доцент, BKA им. А.Ф.Можайского
A.M. Зыков
кандидат технических наук, BKA им. А.Ф.Можайского
П.В. Мажников
кандидат технических наук, доцент, BKA им. А.Ф.Можайского
МЕРЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В СИСТЕМАХ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА С
ИСПОЛЬЗОВАНИЕМ МЕЖДУНАРОДНОЙ АССОЦИАЦИИ СЕТЕЙ
ИНТЕРНЕТ
В данной статье рассмотрены меры обеспечения информационной безопасности электронного документооборота с использованием средств электронной подписи. Изложенные ниже рекомендации будут полезны как для организаций, имеющих единственную локальную вычислительную сеть, так и для организаций, использующих глобальные вычислительные сети общего пользования.
Интенсивное развитие информационных технологий и проникновение их практически во все сферы общественнойжизни, ежедневно возрастающий объем информации, которую надо обработать в минимально возможный срок, а также еще очень и очень много различных факторов обусловили необходимость в настоящее время практически каждому иметь доступ к глобальным информационным ресурсам.
В рамках федеральной целевой программы «Электронная Россия» планируется использовать информационно-коммуникационные технологии в деятельности органов государственной власти, осуществляется развитие системы электронного документооборота (ЭДО), локальных информационных сетей, использование стандартов делопроизводства и документооборота.
Электронный документооборот должен сопровождаться различными организационно-техническими мерами, позволяющими защитить передаваемые по сетям электронные
документы, как от несанкционированного доступа, так и от случайной или преднамеренной модификации [1,2]. Наиболее остро вопрос защиты ЭДО стоит для организаций, имеющих территориально-распределенную структуру. Такие организации могут иметь несколько локальных вычислительных сетей (ЛВС), расположенных в разных местах, в том числе в различных регионах России, и вынуждены использовать для передачи информации различные неконтролируемые глобальные вычислительные сети (ГВС) общего пользования, например, международную ассоциацию сетей Интернет.
В общем случае выделяют следующие меры обеспечения информационной безопасности ЭДО с использованием средств электронной подписи [3]:
• обеспечение безопасности ключа электронной подписи (ЭП) и ключевых носителей ЭП;
• соблюдение регламента ограниченного доступа к компьютеру, подключенного к ЭДО;
MEANS OF COMMUNICATION EQUIPMENT Iss. 1 (141). 2018
• использование лицензионного программного обеспечения (ПО);
• использование и оперативное обновление системного и прикладного ПО только из доверенных источников, гарантирующих отсутствие вредоносных программ и недекларируемых возможностей;
• использование и оперативное обновление специализированного ПО обеспечения информационной безопасности;
• соблюдение правил безопасной работы в
гвс.
Кмерам обеспечения информационной безопасности ЭДО с использованием ГВС относятся:
1. Обеспечение безопасности ключа ЭП и ключевых носителей ЭП.
Для хранения ключа ЭП небходимо использовать только внешние носители (дискеты или "еТокеп"), а нежёсткие/сетевые диски компьютера. Владелец ключа ЭП должен хранить его в условиях, исключающих доступ к нему третьих лиц (использовать для хранения сейф). Нельзя размещать пароли в видимой зоне вблизи компьютера (например, записывать пароли на листах бумаги, приклеенных к дисплею рабочего компьютера). В случае потери ключа ЭП или утраты пароля, необходимо немедленно сообщить об этом в удостоверяющий центр, выдавший ключевые документы.
Нельзя использовать носители с ключами ЭП для каких-либо других целей (в частности, не хранить на них любую другую информацию). Необходимо извлекать носители с ключами ЭП из компьютера каждый раз после завершения их использования (т.е. носители с ключами ЭП должны находиться в компьютере только в период подписания электронных документов в ЭДО).
2. Соблюдение регламента ограниченного доступа к компьютеру, подключенному к ЭДО.
Следует строго соблюдать регламент ограниченного доступа к компьютеру, используемому для работы с ЭДО.
Любой физический доступ к компьютеру — это потенциальная возможность подключения отчуждаемого носителя (дискеты, компакт-диска, иБВ-накопителя) и, как следствие, возможность привнесения на компьютер вредоносной программы (вируса, трояна и т.п.).
Любой физический доступ к компьютеру — это потенциально неконтролируемая работа в ГВС, и, как следствие, возможность случайной или намеренной загрузки вредоносной программы. Поэтому необходимо придерживаться следующих правил, позволяющих обеспечить контролируемый физический доступ к компьютеру, с которого осуществляется работа в ЭДО:
• право доступа к рабочим местам, с которых осуществляется работа с ПО ЭДО должно предоставляться лицам, непосредственно осуществляющим работу с ЭДО;
• доступ посторонних лиц в помещения с рабочими местами ЭДО должен осуществляться под контролем сотрудника службы безопасности организации;
• не следует оставлять без контроля рабочие места ЭДО. При кратковременном отсутствии необходимо: сохранить все открытые на редактирование документы; средствами операционной системы или средствами защиты информации от НСД заблокировать рабочее место;
• для исключения возможности несанкционированного изменения аппаратной части системный блок и разъемы рабочих мест ЭДО должны опечатываться сотрудником службы безопасности организации и, при каждом включении должна проверяться их целостность;
• на рабочих местах ЭДО следует использовать только лицензионное программное обеспечение;
• на рабочих местах ЭДО должны быть отключены: загрузка с внешнего носителя, загрузка по сети, если внутренним регламентом организации не предусмотрено иное;
• вход в BIO S рабочих мест ЭДО должен быть защищен паролем. Пароль для входа в BIOS должен быть известен только администратору безопасности информации или другому лицу в соответствии с внутренним регламентом организации;
• для всех учетных записей в операционной системе должны использоваться пароли, удовлетворяющие следующим требованиям: длина пароля не менее 8 символов; в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы; периодичность смены пароля определяется политикой безопасности организации, но не должна превышать одного года;
• количество неудачных попыток входов в систему должно быть ограничено в соответствии с политикой безопасности, принятой в организации. Рекомендуется блокировать систему после трех неудачных попыток;
• должна быть отключена учетная запись для гостевого входа (Guest);
• должно быть исключено использование режима автоматического входа пользователя в операционную систему при ее загрузке;
• должны быть отключены режимы отображения окна всех зарегистрированных на ПЭВМ пользователей и быстрого переключения пользователей;
• в случае обнаружения на рабочих местах ЭДО незарегистрированных программ, нарушения целостности операционной системы, либо выявления факта повреждения печатей на системных блоках, работа должна быть прекращена;
• для защиты от несанкционированного доступа к рабочим местам ЭДО из внешней сети рекомендуется использовать антивирусное ПО, персональный межсетевой экран и средства защиты информации от НСД.
3. Использованиелицензионного ПО.
Установка и обновление системного и прикладного ПО (операционная система, браузеры, почтовые клиенты, офисные программы, бухгалтерские программы и пр.) из ненадежных источников приводит к проникновению на компьютер вредоносных программ, в том числе тро-янов. Следует использовать программное обеспечение только из надежных доверенных источников.
Если это коммерческие программы — Microsoft Windows, Microsoft Office, 1С:Бухгалте-рия и пр. — они должны быть легально приобретены клиентом и установлены с легального дистрибутива, гарантирующего отсутствие вредоносных программ. Если это свободно распространяемые программы — Linux, Firefox, Thunderbird, Java и пр. — они должны быть получены на компакт-диске из доверенного источника или загружены через ГВС с публичных сайтов разработчиков с использованием механизмов обеспечения целостности загружаемого ПО.
4. Использование и оперативное обновление системного и прикладного ПО только из
доверенных источников, гарантирующих отсутствие вредоносных программ и недекларируе-мых возможностей.
Оперативное обновление системного и прикладного ПО на компьютере— это необходимое условие для снижения рисков заражения компьютера вредоносными программами, в том числе троянами, через новые выявленные уязвимости и ошибки в используемых клиентом программах.
5. Использование и оперативное обновление специализированного ПО обеспечения информационной безопасности.
Для защиты от вредоносных программ в первую очередь необходимо использовать и оперативно обновлять на своем компьютере специализированные программы для обеспечения информационной безопасности - сертифицированное антивирусное ПО, применять персональные межсетевые экраны и средства защиты информации от НСД.
Минимально необходимый набор на компьютере— это антивирусное ПО + персональный межсетевой экран (firewall) + СЗИ от НСД.
6. Соблюдение правил безопасной работы в сети ГВС.
Наиболее надежным способом обеспечения безопасности данных при работе в ЭДО является использование компьютера только для работы с указанной системой и исключение случаев использования применяемого компьютера для каких-либо других задач.
Вне зависимости от того, используется ли компьютер, применяемый для работы в ЭДО для каких-либо иных целей, необходимо соблюдение следующих правил безопасности:
• обращать особое внимание на отправителя почтовой корреспонденции при работе с электронной почтой, вне зависимости от того, выполняется работа с почтой через Web-интерфейс одной из известных почтовых систем mail.ru, yandex.ru и т.п., или в локально установленных программах типа Outlook, Outlook Express, The Bat! He открывать вложение письма, что бы ни содержало данное сообщение, если отправитель почтового сообщения вам неизвестен;
• при использовании служб мгновенного обмена сообщениями — ICQ, Instant Messaging, Май.ги-агентит.д. необходимо соблюдать рекомендации аналогично работе с почтовыми кли-
МВЛН 01? СОММШШСЛТКЖ EC:í^UГIF»:PM]E:NT. Iss. 1 (141). 2018
ентами — не принимать файлы из неизвестных источников, к файлам из известных источников относиться с осторожностью. Проверять все полученные файлы антивирусными программами;
• не устанавливать и не сохранять подозрительные файлы, полученные из ненадежных источников, скачанные с неизвестных '№еЬ-сайгов, присланные по электронной почте, полученные в телеконференциях;
• не допускать использования компьютера для посещения сайтов сомнительного содержания. Зачастую такие сайты содержат вредоносные программы, загружаемые и запускаемые при входе на сайт;
• немедленно вызывать администратора безопасности информации при любом подозрении, заражения компьютера (неадекватная реакция на действия пользователя, самостоятельная активность, появляющиеся непонятные окна и т.п.).
СПИСОК ЛИТЕРАТУРЫ
1. Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства/ — М.: ДМК Пресс, 2010. - 544 е.: ил.
2. Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации».
3. Федеральный закон от 06.04.2011 №63-Ф3 «Об электронной подписи».