Актуальность обеспечения защиты информационных ресурсов
Для обеспечения информационной безопасности организации, учреждения, предприятия должны быть созданы такие условия, при которых использование, потеря или искажение любой информации о состоянии организации, в том числе бухгалтерской и финансовой, работниками организации или внешними лицами (пользователями) с высокой степенью вероятности не приведут в обозримом будущем к возникновению угроз прерывания деятельности организации.
Актуальность проблем информационной безопасности на государственном уровне подтверждается принятием Доктрины информационной безопасности в Российской Федерации (утв. Президентом РФ 09.09.2000 № Пр-1895). Одной из составляющих национальных интересов Российской Федерации в информационной сфере является защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
Обеспечение информационной безопасности Российской Федерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации. Воздействию угроз информационной безопасности Российской Федерации в сфере экономики наиболее подвержены:
- система государственной статистики;
- кредитно - финансовая система;
- информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;
- системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности;
- системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.
Угрозами информационной безопасности предприятия, учреждения, организации, связанными с бухгалтерским учетом и отчетностью, являются угрозы:
- целостности бухгалтерской информации и отчетности;
- нарушения конфиденциальности бухгалтерской информации и отчетности;
- нарушения доступности (блокирование) бухгалтерской информации и отчетности;
- достоверности бухгалтерской информации и отчетности;
- содержанию бухгалтерской информации и отчетности, вызванные действием персонала и других лиц;
- вызванные использованием некачественной бухгалтерской информации и отчетности.
Информационная безопасность в «1С:Бухгалтерии государственного учреждения 8»
Программа «1С:Бухгалтерия государственного учреждения 8» редакция 2 (далее - Программа) соответствует современным требованиям информационной безопасности. Для повышения степени защиты от несанкционированного доступа информации, хранящейся в Программе, предусмотрены следующие возможности:
- аутентификация;
- настройка и контроль сложности пароля;
- требование смены пароля по расписанию или вручную. Смена пароля - периодически или по требованию;
- настройка и контроль повторяемости пароля;
- ограничение срока действия учетных записей.
Рассмотрим подробнее данные возможности Программы.
Аутентификация
Механизм аутентификации - это один из инструментов администрирования. Он позволяет определить, кто именно из пользователей, перечисленных в списке пользователей системы, подключается к Программе в данный момент, и предотвратить несанкционированный доступ в Программу.
В «1С:Бухгалтерии государственного учреждения 8» редакции 2 поддерживается три вида аутентификации, которые могут использоваться в зависимости от конкретных задач, стоящих перед администратором информационной базы:
- аутентификация 1С:Предприятия - аутентификация по созданному в Программе пользователю и паролю;
- аутентификация операционной системы - в Программе для пользователя выбирается один из пользователей операционной системы. Программа анализирует, от имени какого пользователя операционной системы выполняется подключение к Программе, и на основании этого определяет соответствующего пользователя Программы;
- OpenID-аутентификация - аутентификацию пользователя выполняет внешний OpenID-провайдер, хранящий список пользователей.
Если для пользователя не указан ни один из видов аутентификации, такому пользователю доступ к Программе закрыт.
Если необходимо, чтобы пользователь входил в Программу с паролем, который будет проверяться, следует включить флаг Аутентификация 1С:Предприятия (см. рис. 1). Он включается по умолчанию вместе с флагом Вход в программу разрешен.
Состояние аутентификации «1С:Предприятия» выводится под флагом.
Рис. 1
При создании нового пользователя ему Программой автоматически назначается пустой пароль. Чтобы его изменить, следует воспользоваться командой Установить пароль в карточке пользователя (см. рис. 1).
В форме Установка пароля необходимо ввести Новый пароль для входа в Программу, написать его повторно в поле Подтверждение.
В целях информационной безопасности рекомендуется задавать пароли для пользователей, не оставлять это поле пустым.
Хороший пароль должен состоять не менее чем из восьми символов, включать в себя заглавные и прописные латинские буквы, цифры, символы (подчеркивание, скобки и т. д.) и быть малопонятным выражением. Нежелательно, чтобы пароль совпадал с именем пользователя, полностью состоял из цифр, содержал понятные слова, чередующиеся группы символов. Примеры хороших паролей: "nj7{jhjibq*Gfhjkm, F5"njnGhkmNj;t{HI. Примеры неудачных паролей: Иванов, qwerty, 12345678, 123123123. Подробнее см. документацию «1С:Предприятие 8.3. Руководство администратора».
В Программе предусмотрена возможность автоматической проверки сложности пароля.
По умолчанию в целях безопасности пароль при вводе не показывается. Для того чтобы видеть, какие символы вводятся, следует включить флаг Показывать новый пароль.
Для автоматической генерации пароля можно воспользоваться кнопкой Создать пароль. Пароль будет создан Программой.
Для сохранения пароля необходимо нажать на кнопку Установить пароль.
После этого состояние аутентификации 1С:Предприятие меняется на Пароль установлен. В карточке пользователя кнопка меняет значение на Сменить пароль.
Для удобства администрирования и обеспечения безопасности у всех пользователей предусмотрен флаг Потребовать смену пароля при входе, который нужен, чтобы пользователь сменил пароль, заданный администратором, на свой. При включенном флаге пользователь будет обязан самостоятельно ввести свой пароль, который больше никто не будет знать.
Если флаг Потребовать смену пароля при входе не включен, и установленный ранее пароль не устраивает по каким-то причинам, то можно поменять его в любой момент в карточке пользователя.
Включенный флаг Пользователю запрещено изменять пароль запрещает пользователю, не имеющему полные права, самостоятельно задавать и изменять пароль.
Реквизиты Потребовать смену пароля при входе и Срок действия можно увидеть в карточке пользователя и в отчете Сведения о пользователях (Сведения о внешних пользователях).
Настройки входа в Программу
В форме Настройки входа (раздел Администрирование, команда панели навигации Настройки пользователей и прав) раздельно для внутренних и внешних пользователей Программы можно настроить такие параметры как:
- настройка и контроль сложности пароля;
- требование смены пароля по расписанию или вручную. Смена пароля - периодически или по требованию;
- настройка и контроль повторяемости пароля;
- ограничение срока действия учетных записей.
На рисунке 2 представлена настройка для внутренних пользователей.
Аналогичная настройка предусмотрена для внешних пользователей.
Контроль сложности пароля
При установленном флаге Пароль должен отвечать требованиям сложности программа проверяет, чтобы новый пароль:
- имел не менее 7 символов,
- содержал любые 3 из 4-х типов символов: заглавные буквы, строчные буквы, цифры, специальные символы,
- не совпадал с именем (для входа).
Минимальную длину пароля можно изменить, поставив флаг напротив одноименного поля и указав необходимую длину пароля (рис. 3).
Рис. 3
Смена пароля
Предусмотрено две настройки смены пароля: периодическая или по требованию администратора.
Для периодической смены пароля необходимо ограничить срок действия пароля настройками Минимальный срок действия пароля и Максимальный срок действия пароля. По истечении установленного срока Программа предложит пользователю поменять пароль.
Максимальный срок действия пароля - срок после первого входа с новым паролем, после которого пользователю потребуется сменить пароль, по умолчанию 30 дней.
Минимальный срок действия пароля - срок после первого входа с новым паролем, в течение которого пользователь не может сменить пароль, по умолчанию 1 день.
Для смены пароля по требованию администратору необходимо установить флаг Потребовать установку пароля при входе в карточке пользователя. При первом входе в Программу она потребует сменить пароль, заданный администратором, на свой.
Контроль повторяемости
Чтобы исключить создание пользователями повторяющихся паролей, необходимо включить настройку Запретить повторение пароля среди последних и установить количество последних паролей, с которыми будет сравниваться новый пароль.
Ограничение входа для пользователей
Для защиты от несанкционированного доступа в Программу можно установить ограничение для пользователей, не работающих в программе определенный период времени, например, 45 дней.
По истечении указанного срока программа не позволит пользователю войти в Программу. Открытые сеансы пользователей автоматически завершаются не более чем через 25 минут после того, как вход в Программу был запрещен.
В карточке пользователя, которая доступна в персональных настройках Программы, по гиперссылке Установить ограничения можно указать дополнительные ограничения на вход в Программу (рис. 4).
Рис. 4
С помощью переключателя можно установить ограничение на вход в Программу:
- Согласно общим настройкам входа - установлено по умолчанию;
- Без ограничения срока;
- Вход разрешен до (следует установить срок - ввести дату вручную или выбрать из календаря с помощью кнопки). Для защиты от несанкционированного доступа к Программе у всех пользователей предусмотрен срок действия, который позволяет автоматически отключить пользователя по достижению указанной даты;
- Запретить вход, если не работает более (следует указать количество дней) - если пользователь не войдет в Программу больше указанного количества дней, то вход в Программу будет невозможен. В этом случае пользователь должен будет обратиться к администратору для возобновления работы в Программе.
Отчет «Сведения о пользователях»
Отчет Сведения о пользователях (рис. 5) предназначен для просмотра сведений о пользователях Программы, включая настройки для входа (свойства пользователя информационной базы). Необходимость в отчете возникает, если требуется выполнить групповой анализ настроек для входа (имени для входа, видов аутентификации и других).
Отчет открывается из списка Пользователи (Внешние пользователи) по команде Все действия - Сведения о пользователях (Все действия - О внешних пользователях). В зависимости от вида списка Программа автоматически выбирает нужный вариант отчета.
Сведения о внутренних и внешних пользователях в одном отчете можно открыть через панель действий раздела Администрирование по команде Сведения о пользователях.
Необходимость в отчете возникает, если требуется выполнить групповой анализ настроек для входа (имени для входа, видов аутентификации и других).
Рис. 5
С помощью кнопки Настройки... можно открыть список полей и при необходимости добавить нужные поля в отчет. Например, можно добавить в отчет поля Потребовать смену пароля при входе и Срок действия.
Обеспечение защиты персональных данных
В заключение следует отметить, что управление доступом в Программу - это только один из элементов защиты данных, предоставляемых Программой.
Постановлением Правительства РФ от 01.11.12 № 1119 утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных, где определены уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных. В соответствии с этими требованиями приказом ФСТЭК России от 18.02.13г. № 21 детализированы состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Нормы действующего законодательства о персональных данных предъявляют дополнительные требования и к программным продуктам, в частности, к программному обеспечению, являющемуся средствами защиты информации.
Для обеспечения защиты персональных данных предназначен защищенный программный комплекс (ЗПК) «1С:Предприятие, версия 8.3z», который является сертифицированным ФСТЭК России программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа (НСД) к информации, не содержащей сведений, составляющих гостайну.
ЗПК «1С:Предприятие 8.3z» позволяет блокировать:
- запуск COM-объектов, внешних обработок и отчетов, приложений, установленных на сервере 1С:Предприятие;
- использование внешних компонентов 1С:Предприятие;
- обращение к ресурсам Интернет.
Совместное использование типовой «1С:Бухгалтерии государственного учреждения» редакции 2 и ЗПК «1С:Предприятие 8.3z» позволяет создать информационную систему персональных данных всех уровней защищенности, и дополнительная сертификация этого прикладного решения не требуется.
Использование ЗПК«1С:Предприятие 8.3z» совместно с сертифицированными ФСТЭК операционными системами, СУБД и другими сертифицированными средствами позволяет полностью выполнить требования вышеуказанных нормативных документов.
Поскольку «1С:Бухгалтерия государственного учреждения» обеспечивает обмен данными с органами Федерального Казначейства, Налоговыми органами, с информационными системами о государственных и муниципальных платежах (ГИС ГМП), учета федерального имущества (АСУФИ), регистрации и начисления платежей (ИС РНИП) и др. через Интернет, для выполнения требований безопасности объект должен быть обеспечен сертифицированными средствами межсетевого экранирования.
Разумеется, необходимо ежедневно проверять компьютеры, на которых установлена Программа, на наличие вредоносных компьютерных программ с использованием сертифицированных в системе сертификации ФСТЭК России средств антивирусной защиты.
Решения по защите информации изложены частично только в части вопросов идентификация и аутентификация субъектов доступа и объектов доступа и управление доступом субъектов доступа к объектам доступа.
Отсутствует описание решений по выполнению всех мер, предусмотренных 21 приказом ФСТЭК по защите персональных данных, а именно:
- ограничение программной среды;
- защита машинных носителей персональных данных;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных;
- обеспечение доступности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных.