Тема 12: Документы, регламентирующие порядок изменения конфигурации аппаратно-программных средств АС
Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация (с которых возможен доступ к защищаемым ресурсам), должна соответствовать кругу возложенных на сотрудников - пользователей данного АРМ функциональных обязанностей. В соответствии с принципом «минимизации полномочий» все неиспользуемые в работе (лишние) устройства ввода- вывода информации на таких АРМ должны быть отключены (удалены), ненужные для работы программные средства и данные с дисков АРМ также должны быть удалены.
Все аппаратные и программные ресурсы защищенных компьютеров должны быть установленным порядком категорированы (для каждого ресурса должен быть определен требуемый уровень защищенности). Подлежащие защите ресурсы системы (информационные файлы, задачи, программы, АРМ) подлежат учету (на основе использования соответствующих формуляров или специализированных баз данных).
Все программное обеспечение (разработанное специалистами организации, полученное централизованно или приобретенной у фирм-производителей) должно установленным порядком проходить испытания и передаваться в фонд алгоритмов и программ (архив эталонных дистрибутивов - АЭД). В подсистемах АС должны устанавливаться и использоваться только полученные установленным порядком из АЭД программные средства Использование в АС ПО, неучтенного в АЭД, должно быть запрещено.
На всех АРМ, подлежащих защите, должны быть установлены необходимые технические средства защиты (соответствующие категории данных АРМ).
Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами).
Обеспечение и контроль физической целостности и неизменности конфигурацииаппаратных ресурсов АС
Физическая охрана объектов информатизации (компонентов компьютерных систем) включает:
- организацию системы охранно-пропускного режима и системы контроля
допуска на объект; - введение дополнительных ограничений по доступу в помещения,
предназначенные для хранения закрытой информации (кодовые и
электронные замки, карточки допуска и т.д.); - визуальный и технический контроль контролируемой зоны объекта
защиты; - применение систем охранной и пожарной сигнализации.
Узлы и блоки оборудования СВТ, к которым доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к их монтажным схемам должны закрываться и опечатываться (пломбироваться) сотрудниками службы обеспечения безопасности информации. О вскрытии (опечатывании) блоков ПЭВМ делается запись в «Журнале учета нештатных ситуаций, фактов вскрытия и опечатывания блоков ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств АРМ подразделения».
Повседневный контроль за целостностью и соответствием печатей (пломб) на системных блоках ПЭВМ должен осуществляться пользователями АРМ и ответственными за безопасность информации подразделений. Периодический контроль - сотрудниками службы обеспечения безопасности информации.
Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС
Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств существующих АРМ в АС должны осуществляться только установленным порядком согласно "Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АРМ АС'.
Эта инструкция призвана регламентировать функции и взаимодействия подразделений организации по обеспечению безопасности при проведении модификаций и обслуживании программного обеспечения и технических средств АС, и должна содержать следующие положения.
Все изменения конфигурации технических и программных средств защищенных рабочих станций ( PC ) и серверов (различных уровней защищенности в соответствии с "Положением о категорировании ресурсов АС ") должны производиться только на основании заявок начальников структурных подразделений организации либо заявок начальника отдела автоматизации (ОА), согласованных с руководителем службы (начальником отдела) обеспечения безопасности информации (ОБИ).
Право* внесения изменений в конфигурацию аппаратно-программных средств защищенных рабочих станций и серверов АС должно быть предоставлено уполномоченным сотрудникам (могут быть отданы соответствующими приказами) определенных подразделений:
• в отношении системных и прикладных программных средств, а также в отношении аппаратных средств - уполномоченным сотрудникам отдела автоматизации;
• в отношении программно-аппаратных средств защиты - уполномоченным сотрудникам службы ОБИ;
• в отношении программно-аппаратных средств телекоммуникации -уполномоченным сотрудникам службы (отдела) связи (телекоммуникации).
Изменение конфигурации аппаратно-программных средств защищенных рабочих станций и серверов кем-либо, кроме уполномоченных сотрудников перечисленных подразделений, должно быть ЗАПРЕЩЕНО.
Право внесения изменений в конфигурацию аппаратно-программных средств PC AC организации, не требующих защиты, может быть предоставлено как сотрудникам отдела автоматизации (на основании заявок), так и сотрудникам подразделений, в которых они установлены, на основании распоряжений начальников данных подразделений.
Процедура внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций
Процедура внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и PC системы может инициироваться либо заявкой начальника данного подразделения, либо заявкой начальника ОА.
Заявка руководителя подразделения, в котором требуется произвести изменения конфигурации PC , оформляется на имя начальника ОА. Производственная необходимость проведения указанных в заявке изменений может подтверждаться подписью вышестоящего руководителя.
Заявка руководителя подразделения автоматизации, которое отвечает за плановое развитие АС и проведение изменений (обновлений версий) ПО, оформляется на имя руководителя структурного подразделения (подразделений), использующего (использующих) подсистему АС, требующую модификации. Производственная необходимость проведения указанных в заявке изменений может подтверждаться подписью вышестоящего руководителя.
В заявках могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств рабочих станций и серверов подразделения:
• установка в подразделении новой ПЭВМ (развертывание новой PC или сервера);
• замена ПЭВМ ( PC или сервера подразделения);
• изъятие ПЭВМ ( PC или сервера подразделения);
• добавление устройства (узла, блока) в состав конкретной PC или сервера подразделения;
• замена устройства (узла, блока) в составе конкретной PC или сервера подразделения;
• изъятие устройства (узла, блока) из состава конкретной PC или сервера;
• установка (развертывание) на конкретной PC или сервера программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи на данной PC или сервере);
• обновление (замена) на конкретной PC или сервере программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ);
• удаление с конкретной PC или сервера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данной PC ).
В заявке должны указываться условные наименования развернутых PC и серверов в соответствии с их формулярами. В случае развертывания новой PC ее наименование в заявке указывать не требуется (оно должно устанавливается позднее при заполнении формуляра новой PC ). Наименования задач указываются в соответствии с формулярами задач или перечнем задач архива эталонных дистрибутивов (АЭД) ОА, которые можно решать с использованием АС.
Заключение о технической возможности осуществления затребованных изменений выдается специалистами ОА (на основании формуляров задач и формуляров соответствующих PC или серверов).
Заключение о возможности совмещения решения новых задач (обработки информации) на указанных в заявке PC или серверах в соответствии с требованиями по безопасности выдается специалистами службы ОБИ, которым заявка передается на согласование (одновременно с этим производится определение новых категорий защищенности указанных PC или серверов).
После чего заявка передается в ОА для непосредственного исполнения работ по внесению изменений в конфигурацию PC или серверов АС организации.
Ответственный за информационную безопасность в подразделении (при его отсутствии -руководитель подразделения) допускает уполномоченных исполнителей к внесению изменений в состав аппаратных средств и программного обеспечения только по предъявлении последними утвержденной заявки на осуществление данных изменений.
Установка, изменение (обновление) и удаление системных и прикладных программных средств производится уполномоченными сотрудниками ОА. Если PC или сервер относится к защищаемым рабочим станциям, то установка, снятие, и внесение необходимых изменений в настройки средств защиты от НСД и средств контроля целостности файлов на PC осуществляется уполномоченными сотрудниками службы ОБИ (администраторами специальных средств защиты). Работы производятся в присутствии ответственного за информационную безопасность подразделения и пользователя данной PC .
Установка или обновление подсистем АС должны проводиться в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.
Модификация ПО на подлежащих защите серверах осуществляется уполномоченными сотрудниками ОА обязательно в присутствии уполномоченного сотрудника службы ОБИ. После установки модифицированных модулей на сервер сотрудник службы ОБИ в присутствии сотрудников ОА должен настроить средства контроля целостности модулей на сервере (произвести пересчет контрольных сумм эталонов модулей).
Все добавляемые программные и аппаратные компоненты должны быть предварительно установленным порядком проверены на работоспособность, а также отсутствие опасных функций. До и после проведения модификации ПО на рабочих станциях и серверах сотрудник ОА может проводить антивирусный контроль, если это оговорено в соответствующей «Инструкции по антивирусной защите».
Установка и обновление общего ПО (системного, тестового и т.п.) на рабочие станции и сервера должны производится с оригинальных лицензионных дистрибутивных носителей (дискет, компакт дисков и т.п.), полученных установленным порядком, либо с эталонных копий программных средств, полученных из АЭД (при реализации сетевого архива эталонных дистрибутивов программ - из него).
При необходимости (в случае установки части компонент на дисках сетевых серверов) к работам привлекаются администраторы сети (серверов) и администраторы баз данных.
Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера также должна быть выполнена антивирусная проверка.
После установки (обновления) ПО администратор СЗИ НСД (возможно также администраторы серверов и баз данных) должен произвести настройку средств управления доступом к компонентам данной задачи (программного средства) в соответствии с ее (его) формуляром и совместно с сотрудником ОА и пользователем PC должен проверить работоспособность ПО и правильность настройки средств защиты.
После завершения работ по внесению изменений в состав аппаратных средств защищенной PC ее системный блок должен закрываться сотрудником ОА на ключ (при наличии штатных механических замков) и опечатываться (пломбироваться, защищаться специальной наклейкой) сотрудником службы ОБИ.
Уполномоченные исполнители работ от ОА и службы ОБИ должны произвести соответствующую запись в «Журнале учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств PC подразделения», а также сделать отметку о выполнении задания на модификацию (на обратной стороне заявки).
Формат записей Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств PC подразделения следующий:
При изъятии PC из состава рабочих станций подразделения, ее передача на склад, в ремонт или в другое подразделение для решения иных задач осуществляется только после того, как специалист службы ОБИ снимет с данной ПЭВМ средства защиты и предпримет необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера оформляется актом за подписью ответственного за информационную безопасность в подразделении.
Допуск новых пользователей к решению задач с использованием, вновь развернутого ПО (либо изменение их полномочий доступа) осуществляется согласно «Инструкции по внесению изменений в списки пользователей системы и наделению пользователей полномочиями доступа к ресурсам АС».
Оригиналы заявок (документов), на основании которых производились изменения в составе технических или программных средств PC с отметками о внесении изменений в состав аппаратно-программных средств должны храниться вместе с оригиналами формуляров PC и «Журналом учета...» в подразделении (у ответственного за информационную безопасность или руководителя подразделения).
Копии исполненных заявок и актов могут храниться в службе ОБИ и в ОА. Они могут использоваться:
• для восстановления конфигурации PC после аварий;
• для контроля правомерности установки на конкретной PC средств для решения соответствующих задач при разборе конфликтных ситуаций;
• для проверки правильности установки и настройки средств защиты PC .
Экстренная модификация (обстоятельства форс-мажор)
В исключительных случаях (перечень которых должен определяться руководством организации), требующих безотлагательного изменения ПО и модификации ТС, сотрудник ОА ставит в известность руководство ОА и службы ОБИ (в случае их отсутствия - дежурного сотрудника службы ОБИ и пользователя PC ) о необходимости такого изменения для получения соответствующего разрешения (перечень лиц, которым предоставлено право разрешать выполнение форс-мажорных работ также должен определяться руководством организации).
Факт внесения изменений в ПО и ТС защищенных рабочих станций и серверов фиксируется актом за подписями ответственного за информационную безопасность в подразделении и пользователя данной PC , сотрудников ОА и службы ОБИ. В акте указывается причина модификации, перечисляются файлы, подвергшиеся изменению, и указывается лица, принявшие решение на проведение работ и лиц, проводивших эти работы. Факт модификации ПО и корректировки настроек системы защиты фиксируется в «Журнале учета нештатных ситуаций...» того подразделения, в котором установлены PC (сервера).
В течение следующего дня после составления акта руководством ОА и службы ОБИ при участии сотрудников подразделений выясняются причины и состав проведенных экстренных изменений и принимается решение о необходимости подготовки исправительной модификации ПО или восстановления ПО PC (сервера) с эталонной копии (из АЭД). Результат разбирательства оформляется в виде согласованного решения и хранится в ОА, копии передаются в службу ОБИ и в подразделение.