Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Етапи створення комплексної системи захисту інформації




Організація та порядок виконання робіт із захисту інформації у АС згідно з законодавством України, нормативними документами у сфері технічного та криптографічного захисту інформації передбачає визначення порядку прийняття рішень щодо складу КСЗІ кожного з вузлів (підсистем) АС залежно від умов їх функціонування і видів оброблюваної інформації, визначення переліку та обсягів робіт, етапності їх реалізації, основних завдань та порядку приймання робіт на кожного етапі.

Порядок створенняКСЗІ в АС є єдиним незалежно від того, створюється КСЗІ в елементах (підсистемах) системі, які проектуються, чи в діючих елементах АС.

Якщо певний вид робіт не нормовано національною нормативною базою з технічного захисту інформації, то допускається використання рекомендацій міжнародних стандартів, що не суперечить нормативно-правовим актам та нормативним документам України.

В рамках послуг із формування вимог до системи захисту та проектування системи захисту передбачається виконання наступних етапів:

ü проведення обстеження АС;

ü формування завдання (вихідних вимог) на створення КСЗІ;

ü розробка моделі загроз інформації;

ü розроблення ТЗ на створення КСЗІ в АС та його погодження з Держспецзв'язку України.

1. Обстеження АС. Вважається, що під час виконання цих робіт розглядається організаційно-технічна система, яка поєднує обчислювальну систему, фізичне середовище, середовище користувачів, оброблювану інформацію і технологію її обробки (далі - середовища функціонування АС).

Метою обстеження є підготовка вихідних даних для формування вимог до КСЗІ у вигляді опису кожного середовища функціонування АС та виявлення в ньому елементів, які безпосередньо чи опосередковано можуть впливати на безпеку інформації, виявлення взаємного впливу елементів різних середовищ, документування результатів обстеження для використання на наступних етапах виконання робіт.

АС вважається інтегрованою, якщо за суттю вона є сукупністю декількох взаємопов’язаних інформаційних та телекомунікаційних систем, в яких функціонування будь якої складової залежить від інших. Цей випадок потребує прискіпливої уваги під час обстеження.

Зокрема, інтегрована АС за архітектурою обчислювальної системи, функціональним завданнями компонент, особливостями середовища користувачів та технологій обробки інформації тощо може бути неоднорідною системою. У цьому випадку визначаються межі однорідних підсистем, які потім розглядаються як умовно окремі об’єкти захисту.

2. На етапі формування вихідних вимог для створення КСЗІ:

ü визначаються завдання захисту інформації в АС, мета створення КСЗІ, варіант вирішення задач захисту відповідно до стандарту ДСТУ 3396.1, основні напрями забезпечення захисту;

ü здійснюється аналіз ризиків, включаючи вивчення моделі загроз і моделі порушника, можливих наслідків від реалізації потенційних загроз, величини можливих збитків тощо, визначається перелік суттєвих загроз;

ü визначаються загальна структура та склад КСЗІ в АС, вимоги до можливих заходів, методів та засобів захисту інформації, допустимі обмеження щодо застосування певних заходів і засобів захисту, інші обмеження щодо середовищ функціонування АС, обмеження щодо використання ресурсів АС для реалізації задач захисту, припустимі витрати на створення КСЗІ, умови створення, введення в дію і функціонування КСЗІ.

3. У ході розробки моделі загроз інформації в АС створюється документ (неформальна модель), що описує можливі методи та засоби реалізації загроз для інформації в конкретних умовах функціонування автоматизованої системи.

Формування моделі загроз є одним з головних чинників забезпечення безпеки інформації АС, оскільки безпосередньо пов'язано з вибором необхідного переліку послуг безпеки, заходів і засобів захисту, що реалізуються в системі.

Всебічність та повнота аналізу загроз дає необхідну впевненість, що враховано всі суттєві загрози безпеки інформації.

Конструктивним шляхом створення моделі загроз є формування окремих моделей загроз для кожного типового компоненту системи (зокрема для локально обчислювальних мереж підрозділів, вузла Інтернет, вузлів зв'язку з Інтернет, каналів зв'язку і вузлів зв'язку з підрозділами) та типових об'єктів захисту (робочих станцій, серверів, мережевого обладнання локальних обчислювальних мереж тощо).

Формування окремих моделей загроз повинно здійснюватись на підставі загальної класифікації загроз інформації, загальної моделі порушника, моделі загроз.

На протязі життєвого циклу АС модель загроз необхідно переглядати у зв'язку з модернізацією та розвитком АС, а також з удосконаленням технічних та програмних засобів подолання механізмів захисту.

Під час створення моделі загроз виконується оцінка, у процесі здійснення якої, фахівці у галузі інформаційної безпеки одержують інформацію для її використання на всіх наступних етапах побудови комплексної системи забезпечення інформаційної безпеки. А саме:

ü класифікація та опис ресурсів АС: операційних систем, засобів зв'язку і комунікацій, інформації, її категорій, виду подання, технології обробки тощо, обслуговуючого персоналу і користувачів, території і приміщень тощо;

ü аналіз інформаційної моделі існуючої АС, тобто неформальний опис інформаційних потоків АС;

ü визначення переліку загроз і можливих каналів витоку інформації;

ü визначення послуг безпеки, які треба реалізувати;

ü визначення вимог до нормативно-правових, організаційних, інженерно-технічних, та інших заходів захисту, що реалізуються у доповнення до комплексу програмно-апаратних засобів захисту;

ü прийняття остаточного рішення про склад КСЗІ.

4. Розробка політики (основних правил) безпеки інформації є ключовим етапом створення КСЗІ, що визначає ефективність усіх наступних кроків.

Політикою безпеки інформації за суттю є сукупністю законів, правил, обмежень, рекомендацій тощо регламентують порядок обробки інформації та спрямовані на захист інформації від впливу реалізації визначених загроз.

Політика безпеки повинна визначати ресурси, що потребують захисту. Мають бути визначені загрози для інформації і вимоги до захисту від цих загроз.

Кожен користувач, а також адміністратори та особи, яких призначено відповідальними за безпеку інформації, мають бути ознайомлені з положеннями політики безпеки в частині, що їх стосується, і нести персональну відповідальність за додержання цих положень.

Політика безпеки повинна встановлювати функціональні обов'язки керівників, користувачів, адміністраторів і осіб, яких призначено відповідальними за безпеку інформації.

Політика інформаційної безпеки являє собою головний нормативний документ, який затверджується керівництвом власника АС. Документ розробляється з урахуванням особливостей діяльності органу (підприємства, організації), його організаційної структури, структури й розміщення корпоративної інформаційної системи й характеру розв'язуваних завдань.

Політика безпеки визначає порядок забезпечення безпеки у всіх областях діяльності органу (підприємства) й на всіх ділянках автоматизованої системи:

ü на кожному окремому об'єкті (центральний офіс, підрозділи, регіональні філії);

ü при взаємодії між підрозділами;

ü при інформаційному обміні з партнерами й клієнтами;

ü при використанні ресурсів відкритих мереж.

Політика забезпечення інформаційної безпеки включає наступні основні розділи:

ü основні цілі й напрямки забезпечення інформаційної безпеки корпоративної інформаційної системи;

ü основні загрози інформаційної безпеки органу (підприємства), способи їхньої реалізації й можливі види збитку;

ü необхідні заходи, методи й засоби забезпечення інформаційної безпеки корпоративної системи (організаційні, програмно-технічні, фізичні);

ü порядок організації робіт із забезпечення інформаційної безпеки корпоративної інформаційної системи.

5. Розроблення технічного завдання на створення КСЗІ в АС. ТЗ на створення КСЗІ в АС є основним організаційно-технічним документом, який визначає вимоги із захисту оброблюваної в АС інформації, порядок створення КСЗІ, порядок проведення всіх видів випробувань КСЗІ та введення її в експлуатацію в складі АС.

ТЗ на створення КСЗІ розробляється на відповідній стадії робіт зі створення АС, яка визначається ТЗ на створення АС, з урахуванням комплексного підходу до побудови КСЗІ, який передбачає об’єднання в єдину систему усіх необхідних заходів і засобів захисту від визначених загроз безпеці інформації на всіх етапах життєвого циклу АС.

В ТЗ на КСЗІ встановлюються вимоги до функціонального складу, порядку розробки і впровадження технічних та програмних засобів, що забезпечують безпеку інформації в процесі її оброблення в АС.

Додатково будуть викладені вимоги до організаційно-технічних, нормативно-правових та інших заходів захисту, що реалізуються поза АС у доповнення до комплексу програмних та програмно-апаратних засобів захисту інформації.

У випадку інтегрованої АС створення КСЗІ може відбуватися за модульним принципом, коли кожна умовно незалежна компонента АС має свій власний модуль КСЗІ, а КСЗІ інтегрованої АС є сукупністю всіх модулів, управління якими здійснюється централізовано.

Розроблення та оформлення ТЗ на КСЗІ його зміст, порядок погодження та затвердження відповідатиме вимогам нормативно-правових актів та нормативних документів у сфері технічного захисту інформації та аналізу загроз інформації.

Проект технічного завдання повинен бути сформований відповідно до вимог нормативних документів у галузі захисту інформації і включати наступні розділи:

ü загальні вимоги щодо створення КСЗІ в АС;

ü перелік і вимоги до нормативних документів, які необхідно розробити і погодити під час побудови КСЗІ в АС;

ü перелік етапів по створенню КСЗІ;

ü перелік устаткування й програмних засобів для створення КСЗІ;

ü термін виконання робіт по створенню КСЗІ.

Для побудови КСЗІ можуть бути використані апаратні та програмні засоби, що мають експертні висновки (сертифікати відповідності) Дежспецзв’язку, наприклад, програмні та апаратні засоби захисту інформації від несанкціонованого доступу «Гриф», «Лоза», «Рубіж».

Склад комплексу засобів захисту може бути уточнений виконавцем робіт та погоджений з замовником КСЗІ на етапі розроблення технічного проекту.

3. Комплекс засобів захисту інформації (КЗЗІ)

КЗЗІ від несанкціонованого доступу розміщується в межах контрольованої території, у визначеному приміщенні разом з іншим телекомунікаційним обладнанням або окремо.

Маскування топології взаємодіючих мереж, автентифікація користувачів та ресурсів, управління зовнішнім доступом до ресурсів локальної мережі досягається шляхом впровадження організаційно-технічних (нормативно-розпорядчих) заходів, мережевих екранів, засобів криптографічного захисту інформації, а також завдяки належному настроюванню та конфігуруванню операційних систем та відповідного прикладного програмного забезпечення.

Шифрування інформаційного обміну, створення VPN-каналів, захист трафіку і з’єднань клієнтів з серверами баз забезпечується використанням засобів криптографічного захисту інформації.

Наприклад, за допомогою програмного засобу ‑ криптографічний сервер (КС) “Славутич” ‑ забезпечується захист загальнодоступних серверів від сторонніх осіб, а також гарантується конфіденційність передачі даних і їх цілісність.

КС реалізує наступні функції:

ü захист TCP/IP з’єднань за допомогою шифрування запитів "клієнтів" та відповідей серверів;

ü контроль цілісності даних за рахунок формування та перевірки хеш-коду;

ü автентифікація інших криптографічних серверів.

КС може функціонувати під управлінням операційних систем Microsoft Windows, Linux та інших, що підтримують технологію програмування Java.

Надійність захисту інформації за допомогою КС досягається шляхом застосування криптографічного алгоритму згідно з вимогами міждержавного стандарту ГОСТ 28147-89, спеціального алгоритму формування спільного ключа і комплексу організаційно-технічних заходів.

У випадку інтегрованої АС переважно використовується модульний принцип побудови КСЗІ, що надасть спрощує процедуру поступового розширення системи, та забезпечує можливість її модернізації без порушення політики безпеки та загальної працездатності системи.




Поделиться с друзьями:


Дата добавления: 2014-01-07; Просмотров: 6854; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.006 сек.