РОЗДІЛ 10 ЗАХИСТ ІНФОРМАЦІЇ WEB-СТОРІНКИ ПІДПРИЄМСТВА ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ

Підприємство під час створення WEB-сторінки та визначення операторів, вузли яких будуть використовуватися для підключення до мережі Інтернет, повинен керуватися законами України, іншими нормативно-правовими актами, що встановлюють вимоги з технічного захисту інформації.

WEB-сторінка підприємства (установи) може бути розміщена на власному сервері або на сервері, що є власністю оператора. Власник сервера зобов’язаний гарантувати власнику інформації рівень захисту відповідно до вимог цього НД ТЗІ.

Функціонування WEB-сторінки забезпечується КС підприємства, за допомогою якої здійснюється актуалізація розміщених на WEB-сторінці інформаційних ресурсів та керування доступом до них.

Для забезпечення захисту інформації WEB-сторінки в цій КС створюється КСЗІ, що є сукупністю організаційних і інженерно-технічних заходів, а також програмно-апаратних засобів, які забезпечують захист інформації.

Створення КСЗІ здійснюється відповідно до технічного завдання, розробленого згідно з НД ТЗІ 3.7–001.

КСЗІ підлягає державній експертизі у порядку, передбаченому Положенням про державну експертизу в сфері технічного захисту інформації.

Захист інформації на всіх етапах створення та експлуатації WEB-сторінки здійснюється відповідно до розробленого установою плану захисту інформації, зміст якого визначено НД ТЗІ 1.4–001. План захисту затверджується керівником установи, а у випадку використання сервера оператора – погоджується з власником сервера.

Перелік інформації, призначеної для публічного розміщення на WEB-сторінці, визначається з урахуванням вимог чинного законодавства та затверджується керівником установи, що є власником WEB-сторінки.

Організація робіт із захисту інформації та забезпечення контролю за станом її захищеності на WEB-сторінці підприємства здійснюється відповідальним підрозділом або відповідальною особою.

У випадку користування послугами оператора щодо розміщення, експлуатації та адміністрування WEB-сторінки власник інформації укладає з оператором договір (угоду), яким визначаються права і обов’язки сторін, умови підключення, розміщення інформації та забезпечення доступу до неї, інші питання, що вимагають урегулювання між власником інформації WEB-сторінки та оператором, виходячи з вимог законодавства у сфері захисту інформації та цього НД ТЗІ.

Окремі питання захисту інформації можуть оформлятися у вигляді додатків, які є невід’ємною частиною договору.

10.1 Характеристика типових умов функціонування та вимоги до захисту інформації WEB-сторінки підприємства

До складу КС, яка забезпечує функціонування WEB-сторінки підприємства, входять:  ОС, фізичне середовище, в якому вона знаходиться і функціонує, середовище користувачів, оброблювана інформація, також і технологія її оброблення.

Під час забезпечення захисту інформації мають бути враховані всі характеристики зазначених складових частин, які впливають на реалізацію політики безпеки WEB-сторінки.

У випадку, якщо WEB-сторінка підприємства містить посилання на інформаційні ресурси іншої WEB-сторінки, умови функціонування останньої не повинні порушувати встановлену для даної WEB-сторінки політику безпеки.

10.2 Вимоги із захисту WEB-сторінки підприємства

КСЗІ повинна забезпечувати реалізацію вимог із захисту цілісності та доступності розміщеної на WEB-сторінці загальнодоступної інформації, а також конфіденційності та цілісності технологічної інформації WEB-сторінки.

Технологія оброблення інформації повинна відповідати вимогам політики безпеки інформації, визначеної для КС, що забезпечує функціонування WEB-сторінки.

Вимоги щодо забезпечення цілісності загальнодоступної інформації 
WEB-сторінки та конфіденційності й цілісності технологічної інформації вимагають застосування технологій, що забезпечують реалізацію контрольованого і санкціонованого доступу до інформації та заборону неконтрольованої й несанкціонованої її модифікації.

Технологія оброблення інформації повинна бути здатною реалізовувати можливість виявлення спроб несанкціонованого доступу до інформації WEB-сторінки та процесів, які з цією інформацією пов’язані, а також забезпечити реєстрацію в системному журналі визначених політикою відповідної послуги безпеки подій (як НСД, так і авторизованих звернень).

Для користувачів, які порушили встановлені правила розмежування доступу до WEB-сторінки, засоби КСЗІ на період сеансу роботи повинні забезпечити блокування доступу до WEB-сторінки.

Технологічними процесами повинна бути реалізована можливість створення резервних копій інформації WEB-сторінки та процедури їх відновлення з використанням резервних копій.

Технологія оброблення інформації повинна передбачати можливість аналізу використання користувачами і процесами обчислювальних ресурсів КС і забезпечувати керування ресурсами.

10.3 Інформаційно-телекомунікаційна система підприємства

Узагальнена функціонально-логічна структура інформаційно-телекомунікаційної системи підприємства містить:

– підсистему обробки інформації;

– підсистему взаємодії з користувачами КС;

– підсистему обміну даними.

Підсистема обробки інформації забезпечує створення, зберігання, актуалізацію інформації WEB-сторінки і складається із засобів обробки інформації, системного та функціонального ПЗ.

До засобів обробки інформації належать WEB-сервер та необхідна кількість робочих станцій (або терміналів) для забезпечення всіх функцій щодо супроводу WEB-сторінки та захисту інформації.

Підсистема взаємодії з користувачами КС забезпечує за запитами користувачів надання доступу до загальнодоступної інформації WEB-сторінки, яка має вигляд HTLM-документа, з використанням мереж передачі даних та стандартних Інтернет-протоколів.

Підсистема складається, як мінімум, з програмно-апаратного комплексу, який дозволяє здійснювати маршрутизацію запитів користувачів, забезпечувати пошук необхідних користувачу інформаційних ресурсів і доступ до них.

Підсистема обміну даними забезпечує підготовку та безпосередньо імпорт/експорт інформації в/із КС, а також внутрішньосистемний обмін інформацією між WEB-сервером та робочими станціями з реалізацією фаз встановлення, підтримання та завершення з’єднання.

Відповідно до політики безпеки інформації в КС підсистеми комплектуються засобами захисту інформації (можуть використовуватися штатні засоби захисту системного і функціонального ПЗ та/або спеціалізовані засоби), які складають компоненти КЗЗ.

Програмно-апаратні засоби захисту, що входять до складу КЗЗ, повинні мати належним чином оформлені документи (експертні висновки, сертифікати), які засвідчують відповідність цих засобів вимогам нормативних документів системи ТЗІ.

Встановлення на ОС нових (додаткових) компонентів, ПЗ (системного та/або функціонального), сервісів та розміщення будь-яких інших мережевих ресурсів, які не належать до категорії WEB-сторінки установи, не повинно порушувати політику безпеки інформації в КС, що забезпечує функціонування WEB-сторінки.

Вимоги до робочих станцій фізичних і юридичних осіб, які є користувачами загальнодоступної інформації WEB-сторінки, та їхнього ПЗ не висуваються.

10.4 Середовище користувачів інформаційно-телекомунікаційної системи підприємства

За рівнем повноважень щодо доступу до інформації, характером та складом робіт, які виконуються в процесі функціонування КС, користувачі поділяються на такі категорії:

а) користувачі, яким надано право доступу тільки до загальнодоступної інформації WEB-сторінки;

б) користувачі, яким надано повноваження супроводжувати КСЗІ та забезпечувати керування КС (адміністратор безпеки, інші співробітники СЗІ, користувачі з функціональними обов’язками WEB-майстрів, адміністраторів сервісів, адміністраторів мережевого обладнання, адміністраторів ресурсів DNS (Domain Name System), PROXY, FTP (File Transfer Protocol) та ін., якщо передбачається їх взаємодія з WEB-сторінкою, тощо);

в) технічний обслуговувальний персонал, що забезпечує належні умови функціонування КС, повсякденну підтримку життєдіяльності фізичного середовища (електрики, технічний персонал з обслуговування приміщень будівель, ліній зв’язку тощо);

г) розробники ПЗ, які здійснюють розробку та впровадження нових функціональних процесів, а також супроводу вже діючого функціонального ПЗ сервера, розробники та проектанти фізичної структури КС;

д) постачальники обладнання і технічних засобів та фахівці, що здійснюють його монтаж, поточне гарантійне й післягарантійне обслуговування.

Користувачі, що належать до категорії "в", повинні мати належний рівень кваліфікації для виконання своїх службових та функціональних обов’язків  відповідно до визначених в установі технологічних процесів та режимів експлуатації обладнання.

Доступ до інформації WEB-сторінки повинен надаватися користувачам  відповідно до положень політики безпеки інформації, визначеної для КС, що забезпечує функціонування WEB-сторінки.

Для встановлення правил та регламентації доступу цих користувачів до інформації WEB-сторінки розробляються та впроваджуються нормативні та розпорядчі документи, передбачені планом захисту інформації.

Користувачі, що належать до категорій "в"–"д", можуть мати доступ до програмних та апаратних засобів КС лише під час робіт із тестування й інсталяції ПЗ, встановлення і регламентного обслуговування обладнання тощо, за умови обмеження їхнього доступу до технологічної інформації КСЗІ.

Зазначені категорії осіб повинні мати дозвіл на доступ до відомостей, які містяться в програмній і технічній документації на КС або окремих її компонентів і необхідні їм для виконання функціональних обов’язків.

Користувачі загальнодоступної інформації одержують доступ до WEB-сторінки відповідно до чинних у мережі Інтернет правил та регламенту.

10.5 Фізичне середовище інформаційно-телекомунікаційної системи підприємства

Фізичне середовище, що призначене для розміщення, експлуатації, адміністрування WEB-сторінки установи, охоплює:

– приміщення, в яких розташовані сервер і робочі станції з усіма компонентами (ОС, сховища для носіїв інформації та документації, робочі місця обслуговувального персоналу і т. д.);

– засоби енергопостачання, заземлення, життєзабезпечення та сигналізації приміщення;

– допоміжні технічні засоби та засоби зв’язку.

Приміщення, де розміщуються компоненти ОС, повинні знаходитися на контрольованій території і мати охорону.

Доступ здійснюється у порядку, визначеному СЗІ та затвердженому власником WEB-сторінки, або відповідно до умов, передбачених договором (угодою) між власником WEB-сторінки та оператором (провайдером).

Вимоги до засобів енергопостачання, заземлення, життєзабезпечення, сигналізації приміщення та допоміжних технічних засобів і засобів зв’язку не висуваються.

10.6 Політика безпеки інформації WEB-сторінки підприємства

Політика безпеки інформації в КС повинна поширюватися на об’єкти комп’ютерної системи, які безпосередньо чи опосередковано впливають на безпеку інформації.

До таких об’єктів належать:

– адміністратор безпеки та співробітники СЗІ;

– користувачі, яким надано повноваження забезпечувати управління КС;

– користувачі, яким надано право доступу до загальнодоступної інформації;

– інформаційні об’єкти, що містять загальнодоступну інформацію;

– системне та функціональне ПЗ, яке використовується в КС для оброблення інформації або для забезпечення функцій КЗЗ;

– технологічна інформація КСЗІ (дані про мережеві адреси, імена, персональні ідентифікатори та паролі користувачів, їхні повноваження та права доступу до об’єктів, встановлені робочі параметри окремих механізмів або засобів захисту, інша інформація баз даних захисту, інформація журналів реєстрації дій користувачів тощо);

– засоби адміністрування і управління обчислювальною системою КС та технологічна інформація, яка при цьому використовується;

– обчислювальні ресурси КС (наприклад, дисковий простір, тривалість сеансу роботи користувача із засобами КС, час використання центрального процесора і т. ін.), безконтрольне використання або захоплення яких окремим користувачем може призвести до блокування роботи інших користувачів, компонентів КС або КС в цілому.

З урахуванням особливостей надання доступу до інформації WEB-сторінки, типових характеристик середовищ функціонування та особливостей технологічних процесів оброблення інформації визначаються такі мінімально необхідні рівні послуг безпеки для забезпечення захисту інформації від загроз:

– за умови, коли WEB-сервер і робочі станції розміщуються на території установи-власника WEB-сторінки або на території оператора (технологія Т1), мінімально необхідний функціональний профіль визначається:

КА–2, ЦА–1, ЦО–1, ДВ–1, ДР–1, НР–2, НИ–2, НК–1, НО–1, НЦ–1,  НТ–1;

– за умови, коли WEB-сервер розміщується у оператора, а робочі станції – на території власника WEB-сторінки, взаємодія яких з WEB-сервером здійснюється з використанням мереж передачі даних (технологія Т2), мінімально необхідний функціональний профіль визначається:

КА–2, КВ–1, ЦА–1, ЦО–1, ЦВ–1, ДВ–1, ДР–1, НР–2, НИ–2, НК–1,  НО–1,НЦ–1, НТ–1, НВ–1.

Технологія Т1 різниться від технології Т2 способом передачі інформації від робочої станції до WEB-сервера, а саме: наявністю у другому випадку незахищеного середовища, яке не контролюється, і додатковими вимогами щодо ідентифікації та автентифікації між КЗЗ робочої станції й КЗЗ WEB-сервера під час спроби розпочати обмін інформацією та забезпечення цілісності інформації при обміні.