Пути создания КСЗИ 1 страница

Существует два основных пути создания КСЗИ.

Первый – построение системы, ориентированной на защиту от наиболее характерных и распространенных угроз информационной безопасности, выявленных в зарубежной и отечественной практике.

При выборе требований к комплексной системе информационной безопасности на основе характерных стандартных угроз обычно учитываются и обнаруженные уязвимости программно-технических средств. Опубликованные статистические данные показывают, что непрерывный рост функциональных возможностей этих средств и, соответственно, повышение их сложности объективно сопровождаются ростом числа уязвимостей. Это обусловлено, в частности, неизбежными ошибками, возникающими при разработке систем защиты.

В целом нужно отметить, что выбор требований к системе информационной безопасности на основе анализа характерных угроз требует сравнительно небольших затрат, что важно для организаций с ограниченным бюджетом. С другой стороны, этот метод может привести к избыточной защите или, наоборот, к реализации защиты, не учитывающих важных особенностей обработки информации в конкретной организации.

Второй – построение системы безопасности на основе результатов анализа уязвимости информационной системы конкретного предприятия с учетом особенностей циркулирующей в ней информации, используемых аппаратно-программных средств, сложившейся системы документооборота и др.

Наиболее вероятные угрозы выбираются на основе анализа существующей информационный системы предприятия, обрабатываемой в ней информации, используемого программно-аппаратного обеспечения и т.д. Такой подход позволяет сузить спектр реальных вероятных угроз и тем самым обеспечить более эффективную отдачу от средств, вложенных в создание системы. Однако реализация этого метода требует определенных затрат времени и привлечения квалифицированных специалистов, что требует дополнительных финансовых затрат.

В рамках этого метода можно выделить три основных варианта выполнения работ.

Тестирование на преодоление защиты заключается в попытке приглашенного консультанта обойти принятую в организации систему безопасности. Основными целями предпринимаемой попытки преодоления защиты являются доказательство возможности взлома системы и выявление реакции на атаку персонала организации. Недостаток - отсутствие в результате его осуществления целостной картины состояния информационной безопасности предприятия. Проведение определенной отдельной атаки не позволяет выявить весь набор уязвимых и слабых мест системы и не дает никаких рекомендаций по комплексному повышению уровня защищенности.

Под аудитом подразумевается оценка текущего состояния компьютерной системы на соответствие некоему стандарту или предъявляемым требованиям. В ходе аудита эксперты по формальным критериям стандарта оценивают, в какой мере данный компонент или процесс удовлетворяет приведенным в стандарте требованиям, одновременно формируя список уязвимых мест автоматизированной системы. Отчет об аудите содержит оценку соответствия системы данному стандарту, но не содержит рекомендаций и предложений по устранению выявленных уязвимых мест и повышению уровня защищенности.

Обследование автоматизированной системы - наиболее сложный и полезный вид работ по консалтингу в информационной безопасности. В рамках этой работы эксперты проводят комплексную оценку автоматизированной системы с учетом се особенностей. Такая оценка включает анализ информационных потоков, аппаратного и программного обеспечения, сетевой инфраструктуры, методов управления и администрирования ее компонентов.

В общем случае в ходе комплексного анализа выполняются:

- анализ существующей организационной структуры обеспечения информационной безопасности;

- анализ существующей нормативно-правовой базы информационной безопасности автоматизированной системы, в том числе оценка принятой политики безопасности, организационно-распорядительных документов, положений и инструкций по обеспечению защиты информации, а также анализ их соответствия существующим законодательным и нормативным актам;

- анализ средств программно-технической защиты информации и порядка их применения;

- выявление угроз безопасности (как внутренних, так и внешних) и существующих уязвимых мест в компонентах системы, а также оценка рисков. В результате составляется список наиболее опасных угроз безопасности, перечень и описание уязвимых мест компонентов, включая описание их источников (модель нарушителя) и механизмов их реализации;

- разработка рекомендаций по модернизации существующей системы защиты информации компании.

Таким образом, обследование автоматизированных систем позволяет не только оценить степень уязвимости, но и определить пути устранения наиболее вероятных угроз для минимизации возможных потерь.

ВЫБОР И РЕАЛИЗАЦИЯ ОРГАНИЗАЦИОННЫХ МЕР ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Практика показывает, что для эффективной реализации комплексной системы информационной безопасности предприятия необходимо решить ряд организационных задач, важнейшими из которых являются:

- создание специального подразделения, осуществляющего административную и техническую поддержку системы (разработку правил эксплуатации и определение полномочий пользователей, настройку программно-технических средств, контроль безопасности и реакцию на поступающие сигналы о нарушениях установленных правил и др.);

- разработка технологии обеспечения информационной безопасности, предусматривающей порядок взаимодействия подразделений организации по вопросам обеспечения безопасности при эксплуатации автоматизированной системы и модернизации ее программных и аппаратных средств;

- внедрение данной технологии путем разработки и утверждения необходимых нормативно-методических и организационно-распорядительных документов (концепций, положений, инструкций и т.п.).

С организационной точки зрения важно вполне определенное распределение обязанностей между службой информационной безопасности и службой информационных технологий. Обычно первая непосредственно отвечает за безопасность, а вторая - за конфигурирование сетей, работоспособность технических и программных средств [13]. Это делается для того, чтобы эти службы имели возможность эффективно взаимодействовать и чтобы не возникало конфликтов, когда одна сторона будет вмешиваться в сферу деятельности другой.

Аналогично в отдельных подразделениях организации с функциональной точки зрения можно выделить «администратора безопасности» и «администратора сети», обязанности которых распределяются сходным образом. Отметим, что поскольку администратор безопасности часто обладает практически неограниченными правами, иногда используется так называемый «контроль контролирующего» [14]. Для этой цели вводится «аудитор системы защиты информации», имеющий доступ к журналам регистрации событий в системе и фиксирующий действия администратора безопасности.

Состав документов, определяющих организационные вопросы внедрения технологии защиты информации, принятой в организации

Нормативного документа, полностью определяющего состав этих материалов, пока нет. Обычно этот состав выбирает сама организация или фирма-подрядчик, реализующая систему безопасности.

- Концепция обеспечения информационной безопасности в АС.

- План защиты подсистем АС.

- Положение о категорировании ресурсов АС.

- Порядок обращения с информацией, подлежащей защите.

- План обеспечения непрерывной работы и восстановления.

- Положение об отделе технической защиты информации.

- Обязанности главного администратора информационной безопасности организации.

- Обязанности администратора информационной безопасности, ответственного за обеспечение информационной безопасности в подразделении.

- памятка пользователю АС (общие обязанности по обеспечению ИБ).

- Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам АС.

- Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АС.

- Инструкция по организации парольной защиты.

- Инструкция по организации антивирусной защиты.

ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ ИБ ОБЪЕКТА

«принцип непрерывности совершенствования и развития системы информационной безопасности». Суть этого принципа заключается в постоянном контроле функционировании системы, выявлении ее слабых мест, потенциально возможных каналов утечки информации и НСД, обновлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации. Таким образом, обеспечение информационной безопасности не может быть одноразовым актом.

«Принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации».

Комплексный характер защиты информации проистекает прежде всего из характера действий злоумышленников, стремящихся любой совокупностью средств добыть важную для конкурентной борьбы информацию. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения.

Можно определить систему информационной безопасности как организованную совокупность органов, средств, методов и мероприятий, обеспечивающих защиту информации от разглашения, утечки и несанкционированного доступа к ней.

Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы ин-формационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.

Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты.

ТРЕБОВАНИЯ К СИСТЕМЕ ИБ ОБЪЕКТА

С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований. Защита информации должна быть:

- централизованной: необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;

- плановой: планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;

- конкретной и целенаправленной: защите подлежат конкретные информационной ресурсы, могущие представлять интерес для конкурентов;

- активной: защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности, что предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;

- надежной и универсальной: должна охватывать весь технологический комплекс информационной деятельности объекта; методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена,

- нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;

- открытой для изменения и дополнения мер обеспечения безопасности информации;

- экономически эффективной: затраты на систему защиты не должны превышать размеры возможного ущерба.

Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые будут небесполезны создателям систем информационной безопасности:

- средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей,

- каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;

- возможность отключения защиты в особых случаях, например, когда механизмы защиты реально мешают выполнению работ;

- независимость системы защиты от субъектов защиты;

- разработчики должны предполагать, что пользователи имеют наихудшие намерения (враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;

- отсутствие на предприятии излишней информации о существовании механизмов защиты.

Все перечисленные позиции должны лечь в основу формирования системы защиты информации.

При обеспечении информационной безопасности существуют два аспекта:

- формальный - определение критериев, которым должны соответствовать защищаемые информационные технологии;

- практический - определение конкретного комплекса мер безопасности применительно к рассматриваемой информационной технологии

Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности, можно говорить о единой концепции ИБ.

Теперь, владея основными концептуальными положениями, необходимо освоить механизм выработки детальных предложений по формированию политики и построению системы информационной безопасности.

ОРГАНИЗАЦИЯ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ

Организация и проведение работ по технической защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, при ее обработке техническими средствами, определяются действующими государственными стандартами и другими нормативными и методическими документами Гостехкомиссии России.

Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации - на руководителей подразделений по защите информации (служб безопасности) учреждения (предприятия).

Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) СЗИ объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.

Разработка СЗИ может осуществляться как подразделением учреждения (предприятия), так и специализированным предприятием, имеющим лицензии Гостехкомиссии России и/или ФСБ на соответствующий вид деятельности в области защиты информации.

В случае разработки СЗИ или ее отдельных компонентов специализированным предприятием в учреждении (на предприятии), для которого осуществляется разработка (предприятие-заказчик), определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и Эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием конфиденциальной информации.

Разработка и внедрение СЗИ осуществляются во взаимодействии разработчика со службой безопасности предприятия-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.

Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом на предприятии «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведения работ по защите информации» и должна предусматривать:

- порядок определения защищаемой информации;

- порядок привлечения подразделений предприятия, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;

- порядок взаимодействия всех занятых: в этой работе организаций, подразделений и специалистов;

- порядок разработки, ввода в действие и эксплуатацию объектов информатизации;

- ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.

В учреждении (на предприятии) должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

Стадии создания системы защиты информации:

1. Предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание.

На предпроектной стадии по обследованию объекта информатизации устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации, а также:

- определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;

- определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;

- определяются условия расположения объектов информатизации относительно границ контролируемой зоны (КЗ);

- определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, гак и с другими системами различного уровня и назначения;

- определяются технические средства и системы, предполагаемые к
использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;

- определяются режимы обработки информации в АС в целом и в отдельных компонентах;

- определяется класс защищенности АС;

- определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер взаимодействия сотрудников между собой и со службой безопасности;

- определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.

На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации, в том числе настоящего документа, с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.

Предпроектное обследование в части определения защищаемой информации должно базироваться на документально оформленных перечнях сведений конфиденциального характера.

Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и оформляется за подписью соответствующего руководителя.

Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия.

Ознакомление специалистов этого предприятия с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке.

Аналитическое обоснование необходимости создания СЗИ должно содержать:

- информационную характеристику и организационную структуру объекта информатизации;

- характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;

- возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

- перечень предлагаемых к использованию сертифицированных средств защиты информации;

- обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;

- оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;

- ориентировочные сроки разработки и внедрения СЗИ;

- перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика.

Техническое (частное техническое) задание на разработку СЗИ должно содержать:

- обоснование разработки,

- исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;

- класс защищенности АС;

- ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;

- конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленною класса защищенности АС;

- перечень предполагаемых к использованию сертифицированных средств защиты информации;

- обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;

- состав, содержание и сроки проведения работ по этапам разработки и внедрения;

- перечень подрядных организаций исполнителей работ;

- перечень предъявляемой заказчику научно-технической продукции и документации.

Техническое (частное техническое) задание на разработку СЗИ подписывается разработчиком, согласовывается со службой безопасности предприятия-заказчика, подрядными организациями и утверждается заказчиком.

В целях дифференцированного подхода к защите информации производится классификация АС по требованиям защищенности от НСД к информации.

Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации оформляется актом. Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

2. Стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;

На стадии проектировании и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

- разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;

- разработка раздела технического проекта на объект информатизации в части защиты информации;

- строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;

- разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

- закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;

- закупка сертифицированных технических, программных и программно-технических (в том числе криптографических) средств защиты информации и их установка;

- разработка (доработка) или закупка и последующая сертификация но требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;

- организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

- разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;

- определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работы по защите информации на стадии эксплуатации объекта информатизации;

- выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;

- разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций: и других документов);

- выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.

Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с ними.

На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проект и эксплуатационная документация СЗИ, состоящие из:

- пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим (в том числе криптографическим) средствам обеспечения безопасности информации, состава средств защиты информации с указанием их соответствия требованиям ТЗ;

- описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;

- плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации;

- технического паспорта объекта информатизации;

- инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для работников службы защиты информации.

3. Стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемосдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

На стадии ввода в действие объекта информатизации и СЗИ осуществляются.

- опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

- приемосдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком:

- аттестация объекта информатизации по требованиям безопасности информация.

На этой стадии оформляются:

- акты внедрения средств защиты информации по результатам их приемосдаточных испытаний;

- предъявительский акт к проведению аттестационных испытаний.

- заключение по результатам аттестационных испытаний.

При положительных результатах аттестации на объект информатизации оформляется «Аттестат соответствия» требованиям по безопасности информации.

Кроме вышеуказанной документации в учреждении (на предприятии) оформляются приказы, указания и решения:

- о проектировании объекта информатизации, создании соответствующих подразделений разработки и назначении ответственных исполнителей;

- о формировании группы обследования и назначении ее руководителя:

- о заключении соответствующих договоров на проведение работ;

- о назначении лиц, ответственных за эксплуатацию объекта информатизации;

- о начале обработки в АС (обсуждения в защищаемом помещении) конфиденциальной информации.

Для объектов информатизации, находящихся в эксплуатации до введения в действие настоящего документа, может быть предусмотрен по решению их заказчика (владельца) упрощенный вариант их доработки (модернизации), переоформления организационно-распорядительной, технологической и эксплуатационной документации.

Дата добавления: 2014-01-07; Просмотров: 1658; Нарушение авторских прав?; Мы поможем в написании вашей работы!