Progress-servis55.ru

Новости из мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Организационная защита объектов информатизации

Организационная защита объектов информатизации

Дата добавления: 2013-12-23 ; просмотров: 2251 ; Нарушение авторских прав

Программно-технические способы и средства обеспечения информационной безопасности

Организационно-технические и режимные меры и методы

Органы (подразделения), обеспечивающие информационную безопасность

Нормативные документы в области информационной безопасности

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

· Международные договоры РФ;

o Конституция РФ;

o Законы федерального уровня (включая федеральные конституционные законы, кодексы);

o Указы Президента РФ;

o Постановления правительства РФ;

o Нормативные правовые акты федеральных министерств и ведомств;

o Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.

К нормативно-методическим документам можно отнести

· Методические документы государственных органов России:

o Доктрина информационной безопасности РФ;

o Руководящие документы ФСТЭК (Гостехкомиссии России);

· Стандарты информационной безопасности, из которых выделяют:

o Международные стандарты;

o Государственные (национальные) стандарты РФ;

o Рекомендации по стандартизации;

o Методические указания.

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

· Комитет Государственной думы по безопасности;

· Совет безопасности России;

· Федеральная служба по техническому и экспортному контролю (ФСТЭК России);

· Федеральная служба безопасности Российской Федерации (ФСБ России);

· Федеральная служба охраны Российской Федерации (ФСО России);

· Служба внешней разведки Российской Федерации (СВР России);

· Министерство обороны Российской Федерации (Минобороны России);

· Министерство внутренних дел Российской Федерации (МВД России);

· Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия

· Служба экономической безопасности;

· Служба безопасности персонала (Режимный отдел);

· Служба информационной безопасности.

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы [11] :

· Защита объектов информационной системы;

· Защита процессов, процедур и программ обработки информации;

· Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы;

· Подавление побочных электромагнитных излучений;

· Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

1. Определение информационных и технических ресурсов, подлежащих защите;

2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;

3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

4. Определение требований к системе защиты;

5. Осуществление выбора средств защиты информации и их характеристик;

6. Внедрение и организация использования выбранных мер, способов и средств защиты;

7. Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

В литературе предлагается следующая классификация средств защиты информации.

· Средства защиты от несанкционированного доступа (НСД):

o Средства авторизации;

o Мандатное управление доступом;

o Избирательное управление доступом;

o Управление доступом на основе ролей;

o Журналирование (так же называется Аудит).

· Системы анализа и моделирования информационных потоков (CASE-системы).

· Системы мониторинга сетей:

o Системы обнаружения и предотвращения вторжений (IDS/IPS).

o Системы предотвращения утечек конфиденциальной информации (DLP-системы).

o Цифровая подпись.

· Системы резервного копирования.

· Системы бесперебойного питания:

o Источники бесперебойного питания;

o Резервирование нагрузки;

o Генераторы напряжения.

o Ключ доступа (физический или электронный);

· Средства предотвращения взлома корпусов и краж оборудования.

· Средства контроля доступа в помещения.

· Инструментальные средства анализа систем защиты:

o Мониторинговый программный продукт.

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

· организацию охраны, режима, работу с кадрами, с документами;

· использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

· организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;

· организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

· организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение;

· организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

· организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

· организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Защита информации

Защита информации — это деятельность, которая направлена на предотвращение утечки защищаемых данных, непреднамеренных и несанкционированных воздействий на защищаемые данные.

Информационная безопасность

Государственная информационная безопасность представляет собою состояние сохранности всех информационных ресурсов государства, а также защищенность всех законных прав общества и личности в информационной сфере.

В сегодняшнем социуме сфера информации имеет две составные части:

  • информационно-техническую (созданный искусственно человеком мир технологий, техники и так далее);
  • и информационно-психологическую (естественный мир живой природы, который включает и самого человека).

Модель информационной безопасности

В виде стандартной модели информационной безопасности зачастую приводят модель, состоящую из трех различных категорий:

  • конфиденциальность — представляет собой состояние информации, при котором допуск к ней осуществляют лишь субъекты, которые имеют такое право;
  • целостность — представляет собой избежание несанкционированных изменений информации;
  • доступность — представляет собой избежание постоянного или временного сокрытия информации от юзеров, которые получили права доступа.
Читать еще:  Https ru iobit com products php

Можно выделить и другие, не всегда необходимые категории модели информационной безопасности:

  • апеллируемость или неотказуемость — способность подтверждать имевшее место событие или действие так, чтобы эти действия или события не могли оказаться позже опровергнутыми;
  • подотчетность – официальная регистрация данных;
  • достоверность — представляет собой свойство соответствия предусмотренным результатам или поведению;
  • аутентичность или подлинность — представляет собой свойство, которое гарантирует, что ресурс или субъект идентичен заявленным.

Составляющие информационной безопасности

Системный подход к описанию безопасности информации предлагает выделить такие составляющие безопасности информации:

  • Научная, нормативно-правовая и законодательная база.
  • Задачи и структура органов (подразделений), которые обеспечивают безопасность ИТ.
  • Режимные и организационно-технические методы защиты информации (политика безопасности информации).
  • Программные, а также технические средства защиты информации.

Задачей реализации безопасности информации какого-либо объекта считается построение СОИБ (система обеспечения безопасности данных). Для формирования и действенной эксплуатации СОИБ нужно:

  • выявить требования к защите информации, специфические для этого объекта защиты;
  • принять во внимание требования международного и национального Законодательства;
  • использовать существующие практики (методологии, стандарты) построения подобных систем;
  • определить подразделения, которые ответственны за реализацию и поддержку системы;
  • распределить между всеми подразделениями области их ответственности в исполнении требований СОИБ;
  • на основе управления рисками безопасности информации установить общие положения, организационные и технические требования, которые составляют политику безопасности информации объекта защиты;
  • исполнить требования политики безопасности информации посредством внедрения соответствующих программно-технических способов и средств информационной защиты;
  • реализовать систему управления (менеджмента) безопасности информации (СМИБ);
  • применяя СМИБ, организовать постоянный контроль действенности СОИБ и при необходимости корректировку и пересмотр СОИБ и СМИБ.

Судя по последнему этапу работ, процесс реализации системы обеспечения безопасности данных беспрерывный и циклично (после каждого из пересмотров) возвращается к первому шагу, повторяя поочередно все остальные. Таким образом, СОИБ корректируется для действенного выполнения собственных задач информационной защиты, и соответствия новым требованиям регулярно обновляющейся системы информации.

Нормативные документы в сфере безопасности информации

В России к нормативно-правовым актам в сфере информационной безопасности причисляются:

1) Федеральные законодательные акты:

  • Международные договоры России.
  • Конституция России.
  • Закон о защите информации федерального уровня (сюда включены конституционные федеральные кодексы, законы).
  • Указы Президента России.
  • Правительственные постановления Российской Федерации.
  • Правовые нормативные акты федеральных ведомств и министерств.
  • Правовые нормативные акты субъектов России, а также государственных органов местного самоуправления и так далее.

2) К нормативно-методическим документам возможно причислить:

  • Методические документы правительственных органов России:

а) Доктрина безопасности информации России.

б) Руководящие документы государственной технической комиссии (ФСТЭК) Российской Федерации.

в) Приказы Федеральной службы безопасности.

  • Стандарты безопасности информации, из которых можно выделить:

а) Международные стандарты.

б) Национальные (государственные) стандарты России.

в) Рекомендации по стандартизации.

г) Указания методические.

Органы (подразделения), которые обеспечивают информационную безопасность

Правительственные органы РФ, которые контролируют деятельность в области информационной защиты:

  • Комитет Госдумы по безопасности.
  • Совет безопасности России.
  • ФСТЭК (Федеральная служба по экспортному и техническому контролю) РФ.
  • ФСБ (Федеральная служба безопасности) России.
  • ФСО (Федеральная служба охраны) РФ.
  • СВР (Служба внешней разведки) России.
  • Минобороны (Министерство обороны) РФ.
  • МВД (Министерство внутренних дел) России.
  • Роскомнадзор (Федеральная служба по контролю в сфере массовых коммуникаций, информационных технологий, а также связи).

Организационная защита различных объектов информатизации

Организация защиты информации представляет собою регламентацию взаимоотношений исполнителей, а также производственной деятельности на нормативно-правовой основе, которая исключает или существенно затрудняет неправомерное овладение какой-либо конфиденциальной информацией и выражение внешних, внутренних угроз. Организационная информационная защита обеспечивает:

  • организацию режима, охраны, работу с документами, с кадрами;
  • применение технических средств информационной безопасности, а также информационно-аналитическую деятельность по обнаружению внешних, внутренних угроз деятельности предпринимателя.

К основным мероприятиям защиты информации можно причислить:

  • Организацию охраны, режима. Их цель — исключить возможность тайного проникновения в помещения и на территорию каких-либо сторонних лиц;
  • Организацию работы с сотрудниками, которая предполагает подбор и расстановку всего персонала, сюда включено ознакомление с работниками, их изучение, обучение всем правилам работы с данными конфиденциального характера, ознакомление с мерами их ответственности за нарушение каких-либо правил информационной защиты и так далее.
  • Организацию работы с документированной информацией и документами, включая организацию использования и разработки документов и носителей информации конфиденциального характера, их учет, возврат, исполнение, хранение, а также уничтожение.
  • Организацию применения технических средств для сбора, обработки, хранения и накопления информации конфиденциального характера.
  • Организацию работы по исследованию внешних и внутренних угроз информации конфиденциального характера и выработке мер по формированию ее защиты.
  • Организацию работы по осуществлению систематического контроля за работой сотрудников с конфиденциальной информацией, порядком хранения, учета и устранения документов, а также технических носителей.

Во всякой конкретной ситуации организационные мероприятия принимают специфическое для каждой организации содержание и форму, и такие меры направлены на обеспечение информационной безопасности в конкретных условиях.

Организационная защита объектов информатизации

Методы и средства обеспечения информационной безопасности

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

1) организацию охраны, режима, работу с кадрами, с документами;

2) использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

1) организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;

2) организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

3) организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

· организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

· организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

· организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности:

· средства идентификации и аутентификации пользователей (так называемый комплекс 3А);

· средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;

· виртуальные частные сети;

· средства контентной фильтрации;

· инструменты проверки целостности содержимого дисков;

· средства антивирусной защиты;

системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности и конфигурации, не зависящих от используемых платформ.

«Комплекс 3А» включает аутентификацию (или идентификацию), авторизацию и администрирование. Идентификация и авторизация − это ключевые элементы информационной безопасности. При попытке доступа к информационным активам функция идентификации дает ответ на вопрос: «Кто вы?» и «Где вы?» − являетесь ли вы авторизованным пользователем сети. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий.

Читать еще:  Точка в matlab

Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты – обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования – высокий уровень криптостойкости и легальность использования на территории России (или других государств).

Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network – VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам.

Рис.2 Virtual Private Network

Использование VPN можно свести к решению трех основных задач:

1. защита информационных потоков между различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть);

2. защищенный доступ удаленных пользователей сети к информационным ресурсам компании, как правило, осуществляемый через интернет;

3. защита информационных потоков между отдельными приложениями внутри корпоративных сетей (этот аспект также очень важен, поскольку большинство атак осуществляется из внутренних сетей).

Рис.3 Сетевой экран

Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.

Основной принцип действия межсетевых экранов − проверка каждого пакета данных на соответствие входящего и исходящего IP‑адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

· обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

· на уровне каких сетевых протоколов происходит контроль потока данных;

· отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

1) традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.

2) персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

3) Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

· сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

· сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.

· уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Эффективное средство защиты от потери конфиденциальной информации − фильтрация содержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется.

Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети или другим авторизованным пользователем благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC‑сумм).

Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux‑системы, Novell) на процессорах различных типов.

Фильтры спама значительно уменьшают непроизводительные трудозатраты, связанные с разбором спама, снижают трафик и загрузку серверов, улучшают психологический фон в коллективе и уменьшают риск вовлечения сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирусных программ) часто имеют признаки спама и отфильтровываются. Правда, положительный эффект от фильтрации спама может быть перечеркнут, если фильтр наряду с мусорными удаляет или маркирует как спам и полезные сообщения, деловые или личные.

Для противодействия естественным угрозам информационной безопасности в компании должен быть разработан и реализован набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению физической защиты данных от пожара) и минимизации ущерба в том случае, если такая ситуация всё-таки возникнет. Один из основных методов защиты от потери данных – резервное копирование с четким соблюдением установленных процедур (регулярность, типы носителей, методы хранения копий и т.д.).

Реализация организационных и технических мер по защите информации при подготовке АС / ИС к аттестации

Архитектура систем, построенных на современных информационных технологиях, становится всё сложнее. Вместе с этим растёт и количество угроз, оказывающих влияние на основные свойства информации — конфиденциальность, целостность и доступность. Для того чтобы противостоять угрозам информационной безопасности, система защиты информации должна обладать высокой эффективностью. Дать оценку её эффективности, в свою очередь, можно путём проведения аттестационных испытаний.

Введение

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утверждённых регулирующими органами Российской Федерации. Таким образом фиксируются эффективность системы защиты и соответствие объекта информатизации требуемому уровню безопасности информации в реальных условиях. Наличие подтверждающего документа — аттестата соответствия — даёт право обрабатывать информацию на определённый период времени.

Под объектом информатизации подразумевается совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров (ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения).

В роли объекта информатизации могут выступать:

  • автоматизированная система на базе автономного рабочего места (АРМ) или локальной вычислительной сети (ЛВС);
  • средство изготовления или размножения документов;
  • информационные системы;
  • помещения для ведения конфиденциальных переговоров.
Читать еще:  Среднее арифметическое matlab

Аттестация бывает обязательной и добровольной. Обязательной аттестации подлежат:

  • государственные информационные системы;
  • информационные системы, обрабатывающие сведения, содержащие государственную тайну;
  • информационные системы управления экологически опасными объектами;
  • объекты информатизации, предназначенные для ведения конфиденциальных и секретных переговоров.

Добровольная аттестация также подтверждает эффективность системы защиты, но при наличии юридически закреплённого согласия со стороны владельца объекта выполнять требования положений по аттестации, федеральных законов и других нормативных правовых актов.

Эффективность системы обеспечения безопасности зависит от того, какие меры защиты информации будут реализованы на объекте информатизации и какими способами это будет достигаться.

Прежде чем реализовать организационные и технические меры защиты информации в АС / ИС, нужно ответить на три основополагающих вопроса: «что защищаем?», «зачем защищаем?» и «как защищаем?». В конце концов, оборонять компьютер среднестатистического сотрудника компании с установленным на нём World of Tanks или Warcraft незачем. Ответы на эти вопросы мы получаем при создании системы защиты информации (СЗИ).

Создание СЗИ информационной системы состоит из трёх последовательных частей: предпроектная стадия, стадия проектирования и стадия ввода в эксплуатацию.

Предпроектная стадия

На предпроектной стадии проходит обследование АС / ИС, разрабатывается обоснование необходимости создавать систему защиты, формулируется техническое задание.

На этапе обследования определяются перечень сведений, подлежащих защите, и границы контролируемой зоны. Также фиксируются требования к АС / ИС и, следовательно, базовый набор организационно-технических мер по защите информации. Происходят изучение структурно-функциональных характеристик АС / ИС, описание потенциального нарушителя, анализ угроз безопасности; определяется класс АС / ИС.

Важным аспектом здесь является модель угроз безопасности, ведь имея необходимый базовый набор мер для защищаемого объекта информатизации, нужно понять, каких из этих мер будет достаточно для реализации защиты, какие меры следует исключить, а какие — усилить. Модель является документом, описывающим возможные угрозы безопасности конфиденциальной информации; другими словами, итогом моделирования будет определение рисков, актуальных для объекта информатизации.

В рамках разработки модели угроз решаются следующие задачи:

  • анализ угроз безопасности;
  • описание потенциальных нарушителей;
  • анализ возможных уязвимостей;
  • описание способов реализации угроз;
  • описание последствий нарушения свойств информации.

Говоря о модели угроз, нельзя не упомянуть и о модели нарушителя. Модель нарушителя позволяет определить злоумышленника и его потенциал.

Различают нарушителя внутреннего и внешнего, т.е. действующего внутри контролируемой зоны или за её пределами. Возможности каждого вида нарушителя по реализации угроз безопасности информации называются его потенциалом. Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для успешной вредоносной активности в информационной системе с заданными характеристиками и особенностями функционирования. В зависимости от потенциала злоумышленники подразделяются на нарушителей, обладающих базовым (низким), базовым повышенным (средним) и высоким потенциалом нападения. Суммарно тип и потенциал нарушителя позволяют идентифицировать угрозы безопасности.

Заключительным этапом предпроектной стадии является техническое задание, в котором будут определены требования для СЗИ объекта информатизации.

Стадия проектирования

На стадии проектирования системы выполняется разработка технического проекта и организационно-технических мероприятий по защите информации на основе предъявленных требований, осуществляется закупка СЗИ, составляется необходимая документация на объект информатизации. В ходе данных работ определяется то, каким способом будут реализованы организационные и технические меры.

Организационные меры регламентируют процессы функционирования АС / ИС, использование их ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз для безопасности информации. Технические меры основаны на использовании аппаратных средств и специальных программ, входящих в состав АС / ИС и выполняющих функции защиты.

Для примера разберём реализацию некоторых организационно-технических мер для государственной информационной системы (ГИС) 3-его класса защищённости.

Регулирующими нормативными правовыми актами для нас будут приказ ФСТЭК России №17 от 11 февраля 2013 г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и методический документ «Меры защиты информации в государственных информационных системах», также изданный 11 февраля 2013 года.

Одной из обязательных мер для ГИС 3-его класса защищённости является реализация методов, типов и правил разграничения доступа (УПД.2). В усиление этой меры должны быть реализованы правила разграничения доступа к техническим средствам, внутренним и внешним устройствам и т.д. Поскольку данную меру невозможно полностью реализовать штатными средствами операционной системы, необходимо применение средства защиты информации от несанкционированного доступа.

Другой обязательной мерой является реализация антивирусной защиты (АВЗ.1), требующая внедрить соответствующее специализированное решение.

ЗСВ.1 — защита среды виртуализации — также обязательна для нашего примера. В данном требовании должна выполняться идентификация и аутентификация субъектов и объектов доступа в виртуальной инфраструктуре, в том числе — администраторов управления средствами виртуализации. Предположим, что в результате обследования структурно-функциональной схемы ГИС технологии виртуализации выявлены не были, вследствие чего эта мера неприменима.

Другим примером может быть ЗТС.1 — обеспечение защиты информации, обрабатываемой техническими средствами, от её утечки по техническим каналам. Это требование не является обязательным, но его применение зависит от актуальных проблем безопасности. Допустим, что в нашем случае по результатам моделирования угроз была установлена неактуальность таких рисков; соответственно, применение данного требования нецелесообразно.

В качестве варианта реализации организационных мер рассмотрим ЗТС.2 (защиту технических средств). Методические документы говорят нам о том, что должна быть организована контролируемая зона, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, а также средства защиты данных и обеспечения функционирования. Решением для выполнения этого требования будет «Приказ о контролируемой зоне».

Следует оговориться, что перечисленное выше — лишь малая доля количества мер, необходимых для обеспечения защиты ГИС 3-его класса.

Завершая эту часть материала, добавим ещё несколько важных тезисов в отношении выбора СЗИ для приведённого примера. При выборе программных или программно-аппаратных средств защиты информации главным критерием является наличие сертификата соответствия, потому что в ГИС применяются только те СЗИ, которые сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным ФСТЭК России, или требованиям, указанным в технических условиях. При этом функциональность таких средств должна обеспечивать выполнение требований, предъявляемых к ГИС. В сертификате соответствия СЗИ должны быть перечислены конкретные требования, на соответствие которым проводилась сертификация, а также указано, где может применяться данное средство защиты информации.

Стадия ввода в эксплуатацию

Ввод в эксплуатацию является заключительной частью деятельности по созданию системы защиты. На этой стадии выполняются мероприятия, предусмотренные техническим проектом, такие как монтаж технических средств, установка и настройка СЗИ, а также опытная эксплуатация в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации.

По завершении ввода СЗИ в эксплуатацию проводится аттестация объектов информатизации по требованиям безопасности. Эта процедура официально подтверждает эффективность комплекса реализованных на объекте мер и средств защиты информации.

Выводы

Подводя итоги, можно сказать, что реализация организационно-технических мер защиты информации при подготовке объекта к аттестации является сложной задачей, требующей тщательного анализа информационной системы. Прежде всего это — комплекс мероприятий, направленных на обеспечение безопасности информации. Используемые технологии, распределённость и сложность АС / ИС, наличие уязвимостей в системном и прикладном программном обеспечении не только оказывают влияние на обработку и анализ существующих требований регуляторов, но и заставляют применять дополнительные организационные, технические и комплексные меры, направленные на обеспечение конфиденциальности, целостности и доступности информации для её владельца.

Ссылка на основную публикацию
Adblock
detector