Рекомендации по информационной безопасности

Информационная безопасность при проведении турниров по спортивному ЧГК

Подкомиссия по информационной безопасности турнирной комиссии МАК


Оглавление

  1. Используемые термины
  2. Требования и рекомендации для оргкомитетов турниров, касающиеся определения круга лиц, имеющих доступ к пакету вопросов
    1. Обязательные требования
    2. Доступ к вопросам при редактировании
    3. Порядок бета-тестирования
    4. Порядок ознакомления с вопросами ведущего и ИЖ
  3. Административные и технические меры безопасности для редакторов и прочих лиц, имеющих доступ к пакету вопросов до начала игры
    1. Защита компьютера
    2. Защита почтовых ящиков
    3. Установление факта утечки
    4. Обращение с вопросами во время проведения турниров
Приложение. Инструкция по генерации стойкого пароля


  1. Используемые терминыТермины, описанные в Кодексе спортивного ЧГК, приводятся без расшифровки.ОС - Оргкомитет соревнования.ИЖ - Игровое Жюри.ТК - Техническая комиссия.АЖ - Апелляционное Жюри. РК - Редакционная Коллегия. ГБТ - Группа бета-тестерования. Турниры высшего уровня - чемпионат мира, кубок мира, чемпионаты стран. Аффилированные лица участников турнира - лица, являющиеся по отношению к участникам турнира:
    • близкими родственниками;
    • игроками одной команды в чемпионате города или другом многотуровом турнире, а также турнирах высшего уровня.
    Турниры, проводимые на внутренних пакетах - турниры, в которых круг авторов вопросов ограничен, они ведут между собой активную переписку и практически не принимают вопросов извне. Турниры, проводимые на внешних пакетах - турниры, вопросы на которые принимаются на конкурсной основе от заранее не определённого круга авторов.
  2. Требования и рекомендации для оргкомитетов турниров, касающиеся определения круга лиц, имеющих доступ к пакету вопросов
    1. Обязательные требованияПри проведении турниров высшего уровня не допускается, а в турнирах более низкого уровня не рекомендуется участие аффилированных лиц участников турнира в:
      • ИЖ,
      • ТК,
      • АЖ,
      • РК,
      • ГБТ.
      ОС обязан обеспечить, чтобы до начала игры с содержанием вопросов были ознакомлены только следующие лица:
      • члены РК,
      • члены ГБТ,
      • ведущий,
      • члены ИЖ.
      Не следует до игры знакомить с содержанием вопросов членов АЖ.
    2. Доступ к вопросам при редактированииВ процессе редактирования пакета вопросов члены РК не имеют права знакомить с их содержанием кого-либо, за исключением членов ГБТ (согласно процедуре, описанной в параграфе 1.4). Обмен информацией с авторами вопросов должен осуществляться членами РК с соблюдением всех мер безопасности, описанных в Разделах 2 и 3.
    3. Порядок бета-тестированияПод бета-тестированием понимается проверка предварительной версии подготовленного пакета вопросов (“бета-версии”) независимыми экспертами.Целями бета-тестирования являются:
      • выявление вопросов, близких по тематике к игравшимся ранее,
      • отсев некачественных вопросов,
      • поиск ошибок и неточностей,
      • оценка уровня сложности,
      • улучшение формулировок.
      Состав ГБТ определяется РК и в обязательном порядке должен утверждаться ОС. Все члены ГБТ должны быть предупреждены о недопустимости разглашения содержания вопросов. Отправка вопросов членам ГБТ и получение рецензии осуществляется специально уполномоченным членом РК с соблюдением всех мер безопасности, описанных в Разделах 2 и 3. При проведении турниров высшего уровня рекомендуется не пользоваться услугами ГБТ.
    4. Порядок ознакомления с вопросами ведущего и ИЖТекст вопросов каждого тура должен быть предоставлен ведущему не ранее, чем за 1 час до объявленного времени начала игр в игровой день.Текст вопросов каждого тура должен быть предоставлен членам ИЖ не ранее, чем за 15 минут и не позже, чем за 5 минут до объявленного времени начала соответствующего тура.Ведущий и члены ИЖ с момента получения доступа к вопросам не имеют права знакомить других лиц с их содержанием. Они должны предпринимать все необходимые меры для исключения возможности несанкционированного - как случайного, так и намеренного - доступа других лиц к вопросам. Члены АЖ (если они не являются одновременно членами ИЖ) и игроки получают доступ к вопросам, только после того, как эти вопросы уже сыграны (как правило, после окончания соответствующего тура игры).
  3. Административные и технические меры безопасности для редакторов и прочих лиц, имеющих доступ к пакету вопросов до начала игры
    1. Защита компьютераНеобходимым условием информационной является отсутствие физического доступа к компьютеру редактора со стороны злоумышленника в отсутствие автора. Все прочие меры безопасности при несоблюдении этого пункта бессмысленны.Работать с пакетом вопросов можно только на компьютере, монопольным пользователем которого является член РК (не считая членов его семьи). Компьютер должен быть защищен от несанкционированного доступа стойким паролем (см. Приложение).Желательно, но редко достижимо, чтобы формирование и редактирование пакета делалось на компьютере, не подключенном к Интернету. Достаточной мерой безопасности является вариант, когда файлы пакета хранятся на отчуждаемом носителе (флеш-карта, 3.5’ дискета, CD-RW), недоступном во время пребывания редактора online.В случае, когда используемый при подготовке пакета текстовый редактор поддерживает шифрование, им не следует пренебрегать. В программах пакета MS Office должно быть отключено быстрое сохранение - во избежание попадания части текста редактируемого пакета вопросов в посторонний документ. На компьютере редактора должен быть установлен межсетевой экран (firewall), сообщающий о попытках коммуникации вовне программного обеспечения, к этому не предназначенного. При обнаружении попыток коммуникаций должен быть запущен антивирус и антитроян, после обезвреживания вируса или троянской программы - сменены пароли доступа к Интернет-соединениям и почтовым ящикам.
    2. Защита почтовых ящиковВ турнирах, проводимых на внутренних пакетах, могут использоваться главным образом вопросы, авторами которых являются члены РК. В крайних случаях допускается принятие единичных вопросов от авторов, не являющихся членами РК. Информация о пакете, известная лицам, не являющимся членами РК и ГБТ, должна ограничиваться вопросами их авторства.Для подготовки пакета вопросов всем членам РГ желательно создать новые ящики со стойким паролем (см. Приложение). Не рекомендуется использовать почтовые ящики на бесплатных серверах. Во время подготовки желательно менять пароль каждые несколько дней. Пароль желательно генерировать случайным образом.Электронные адреса, используемые для обсуждения вопросов (адреса членов РК и мейл-листа) должны быть известны только членам РК. Крайне рекомендуется использовать только те почтовые сервисы, с которых можно получить статистику соединений.Рекомендуется использовать безопасные соединения (POP3 over SSL, IMAP over SSL), если они поддерживаются провайдером. Это резко снижает вероятность утечки пароля к злоумышленнику. При работе с IMAP-серверами необходимо копировать всю информацию, относящуюся к пакету, с сервера на локальный компьютер, после чего уничтожать ее на сервере. Рекомендуется как можно чаще забирать почту (при постоянном подключении - раз в несколько минут). Почта, относящаяся к пакету, должна стираться с почтового сервера немедленно по получению. Рекомендуется внутри РК пересылать вопросы в зашифрованных файлах (RAR-архив со случайным паролем не короче 8 символов, PGP). Zip с паролем не рекомендуется. Для обсуждения вопросов с помощью листа рассылки можно использовать только листы, не использовавшиеся ранее для этих целей. Название листа не должно давать информацию о том, для чего он используется. Лист должен быть закрытым, т.е. подписка на него возможно только через модератора, а доступ к веб-архиву возможен только для подписчиков листа. (Листы, удовлетворяющие этим требованиям, можно создать на YahooGroups). Владельцем и модератором листа могут быть только члены РК. После окончания работы над пакетом рекомендуется удалить использовавшиеся для этого почтовые ящики и мейл-листы. При подготовке турниров, проводимых на внешних пакетах, для сбора вопросов на конкурс следует использовать почтовые ящики, на которых установлена автоматическая пересылка на другие адреса с немедленным удалением писем. Эти ящики также должны иметь стойкий пароль и не иметь секретного вопроса. Сервер, на котором организованы ящики, должен ограничивать число адресов для пересылки. Все эти адреса должны быть использованы, и РК должна постоянно контролировать прохождение почты на них.
    3. Установление факта утечкиПодозрения об утечке должны возникать в случае необъяснимого исчезновения писем из почтового ящика или неполучения заведомо ожидаемой корреспонденции, а также в случае получения внезапного запроса пароля на доступ к ящику (злоумышленник мог сменить пароль на известный ему, а затем восстановить).Для установления факта утечки необходимо запросить соответствующую информацию у провайдера. Если статистика показывает подключения в период, когда редактор их явно не осуществлял, утечка считается доказанной. При этом редактор должен известить остальную редакторскую группу и ОС об утечке и сменить пароль. Остальные члены РК группа должна осуществить аналогичные проверки. Компрометированной считается вся информация, проходившая через почтовый ящик с момента доказанного несанкционированного доступа.Непосредственный (без использования средств коммуникации) несанкционированный доступ к пакету практически с абсолютной надежностью отслеживается, помещением, например, компакт-диска с пакетом в запечатанный конверт с характерными признаками.Окончательное решение о действиях в случае обнаружение утечки (вплоть до отмены турнира) принимает ОС.
    4. Обращение с вопросами во время проведения турниров.Вопросы должны находиться на съёмном носителе информации, желательно в зашифрованном виде. Непосредственно перед туром вопросы должны расшифровываться, если они зашифрованы, и распечатываться в отдельном помещении исключительно в присутствии лиц, имеющих право на доступ к вопросам до их отыгрыша, либо копироваться со съёмного носителя на рабочий компьютер. Вопросы каждого тура должны быть в отдельных файлах, которые, если применяется шифрование, должны быть зашифрованы различными паролями. Пароли, использующиеся для шифрования вопросов разных туров, должны быть непохожими друг на друга. Если рабочим компьютером является один из компьютеров, на котором производилось редактирование вопросов, перед началом турнира необходимо стереть с его жесткого диска всю информацию, имеющую отношение к пакету (в идеале - переформатировать).

Приложение. Инструкция по генерации стойкого пароля

  1. Зайти на страницу http://www.pgpru.com/apg/index.php.
  2. В поле инициализация ГСЧ введите случайный набор символов (их запоминать не потребуется, поэтому набор должен быть действительно случайным).
  3. Установите возможные символы пароля и длину. Минимальная длина пароля, в который могут входить строчные и заглавные буквы, цифры и спецсимволы (непроизносимого) - 8 символов. Изменение типа пароля на произносимый, как и устранение любого набора символов, увеличивают минимальную длину пароля на 2 символа. Максимальная длина пароля должна как минимум на 4 символа превышать минимальную.
  4. Выберите один из предложенного вам набора паролей.
 


Утверждено на заседании Правления МАК 11.12.2005 г.