Грибунин В.Г. Комплексная система защиты информации на предприятии

Подождите немного. Документ загружается.

Гл а

Определение условий

функционирования КСЗИ

;

10.1.

Содержание концепции построения КСЗИ

При построении КСЗИ важно обеспечить полноту составляю-

щих защиты, учесть все факторы и обстоятельства, оказывающие

влияние на качество защиты. Необходимо обеспечить безопас-

ность всей совокупности подлежащей защите информации во всех

компонентах ее сбора, хранения, передачи и использования, а

также во время и при всех режимах функционирования систем

обработки информации.

Понятно, что выполнение вышеприведенных требований в

первую очередь требует создания замысла (концепции) построе-

ния КСЗИ. Рассмотрим содержательную составляющую написа-

ния такой концепции на примере «Концепции обеспечения без-

опасности информации в автоматизированной системе организа-

ции» [50] (далее — Концепция). Конечно, этот документ не охва-

тывает всех вопросов, связанных с защитой информации пред-

приятия, но обработка информации в электронном виде приоб-

ретает все больший вес, что объясняет важность изучения данной

концепции.

Рассматриваемая Концепция состоит из введения, восьми раз-

делов и приложений.

Основные разделы Концепции следующие:

1. Общие положения.

2. Объекты защиты.

3. Цели и задачи обеспечения безопасности информации.

Основные

угрозы безопасности информации АС организации.

5. Основные положения технической политики в области обес-

печения безопасности информации АС организации.

6. Основные принципы построения системы комплексной за-

щиты информации (КСЗИ).

7. Меры, методы и средства обеспечения требуемого уровня

защищенности информационных ресурсов.

8. Первоочередные мероприятия по обеспечению безопасно-

сти информации АС организации.

210

Во введении кратко описаны причины создания Концепции,

ее роль в создании КСЗИ предприятия. В приложениях даны ссыл-

ки на нормативные и правовые акты, приведены используемые

терминология и сокращения.

В разделе «Общие положения» детализируются вопросы, за-

тронутые во введении. Здесь же отмечается, что Концепция —

методологическая основа:

• для формирования и проведения единой политики в области

обеспечения безопасности информации в АС организации;

• принятия управленческих решений и разработки практиче-

ских мер по воплощению политики безопасности информации и

выработки комплекса согласованных мер нормативно-правово-

го, технологического и организационно-технического характе-

ра, направленных на выявление, отражение и ликвидацию по-

следствий реализации различных видов угроз безопасности ин-

формации;

• координации деятельности структурных подразделений орга-

низации при проведении работ по созданию, развитию и эксплу-

атации АС организации с соблюдением требований обеспечения

безопасности информации;

• разработки предложений по совершенствованию правового,

нормативного, методического, технического и организационного

обеспечения безопасности информации АС организации.

В этом разделе приведены ограничения по рассматриваемым в

Концепции вопросам. В частности, указано, что вне пределов

описания остались вопросы физической защиты объектов пред-

приятия. Кроме того, указано, что «основные положения Кон-

цепции базируются на качественном осмыслении вопросов без-

опасности информации и не концентрируют внимание на эконо-

мическом (количественном) анализе рисков и обосновании необ-

ходимых затрат на защиту информации».

Рассмотрим подробнее содержание других разделов Концеп-

ции.

10.2.

Объекты защиты

В данном разделе Концепции приведены сведения:

• о назначении, целях создания и эксплуатации АС организа-

ции как объекта информатизации;

• о структуре, составе и размещении основных элементов АС

организации, информационных связях с другими объектами;

•

о категориях информационных ресурсов, подлежащих защите;

• о категориях пользователей АС организации, режимах ис-

пользования и уровнях доступа к информации;

• об уязвимости основных компонентов АС.

211

В качестве основных объектов защиты выделены:

• информационные ресурсы, причем не только с ограничен-

ным доступом, но и иные, чувствительные по отношению к нару-

шению их безопасности;

• процессы обработки информации в АС;

• информационная инфраструктура, включающая системы об-

работки и анализа информации, технические и программные сред-

ства ее обработки, передачи и отображения, в том числе каналы

информационного обмена и телекоммуникации, системы и сред-

ства защиты информации, объекты и помещения, в которых раз-

мещены чувствительные компоненты АС.

Общие сведения об АС приводятся в силу того, что КСЗИ яв-

ляется подсистемой АС и должна способствовать достижению сто-

ящих перед АС целей.

Сведения о размещении компонентов АС позволяют глубже

понять задачи КСЗИ. В частности, современные АС предприятия

территориально распределены, что накладывает требования защиты

каналов связи, проходящих вне контролируемой территории. Если

в АС циркулирует информация разных категорий, следовательно,

необходимо применение средств разграничения доступа. В случае

объединения локальных сетей, обрабатывающих информацию с

различным грифом конфиденциальности, необходимо примене-

ние межсетевого экранирования и т.д.

Приводимые сведения о комплексе технических средств АС

позволяют в дальнейшем определить уязвимые места, нуждающе-

еся в обновлении оборудование и определяют во многом выбор

сзи.

В этом разделе достаточно подробно перечисляются объекты

информатизации:

•

технологическое оборудование (средства вычислительной тех-

ники, сетевое и кабельное оборудование);

• информационные ресурсы, содержащие сведения ограничен-

ного доступа и представленные в виде документов или записей в

носителях на магнитной, оптической и другой основе, информа-

ционных физических полях, массивах и базах данных;

• программные средства (операционные системы, системы уп-

равления базами данных, другое общесистемное и прикладное про-

граммное обеспечение);

•

автоматизированные системы связи и передачи данных (сред-

ства телекоммуникации);

• каналы связи, по которым передается информация (в том

числе ограниченного распространения);

• служебные помещения, в которых циркулирует информация

ограниченного распространения;

•

технические средства (звукозаписи, звукоусиления, звуковос-

произведения, изготовления, тиражирования документов, пере-

212

говорные и телевизионные устройства и другие технические сред-

ства обработки графической, смысловой и буквенно-цифровой

информации), используемые для обработки информации;

•

технические средства и системы, не обрабатывающие инфор-

мацию (вспомогательные технические средства и системы —

ВТСС), размещенные в помещениях, где обрабатывается (цирку-

лирует) информация, содержащая сведения ограниченного рас-

пространения.

Категории информационных ресурсов, подлежащих защите,

определяют требования по их обязательной защите в соответ-

ствии с законодательством, выбор средств защиты того или ино-

го класса.

Например, в рассматриваемой АС имеются сведения:

• составляющие коммерческую тайну, доступ к которым огра-

ничен собственником информации в соответствии с Федераль-

ным законом «О коммерческой тайне»;

• составляющие банковскую тайну, доступ к которым ограни-

чен в соответствии с Федеральным законом «О банках и банков-

ской деятельности»;

• персональные данные, доступ к которым ограничен в соот-

ветствии с Федеральным законом «О персональных данных».

Описание категорий пользователей помогает, с одной сторо-

ны, определить необходимые права доступа, выделить нештатных

ответственных за ОБИ, а с другой стороны, выявить потенциаль-

ных нарушителей. Например:

• пользователи баз данных;

• ответственные за ведение баз данных (ввод, корректировка,

удаление данных в БД);

•

администраторы серверов (файловых серверов, серверов при-

ложений, серверов баз данных) и ЛВС;

•

системные программисты (ответственные за сопровождение

общего программного обеспечения) на серверах и рабочих стан-

циях пользователей;

• разработчики прикладного программного обеспечения;

• специалисты по обслуживанию технических средств вычис-

лительной техники;

• администраторы информационной безопасности (специаль-

ных средств защиты) и др.

Описание уязвимостей АС позволяет определить направления,

на которых нужно сосредоточить первоочередные усилия. Надо

отметить, что ряд уязвимостей можно закрыть организационно-

техническими мерами, тогда как для других это невозможно в

рамках принятой на предприятии технологии обработки инфор-

мации.

В рассматриваемой Концепции оцениваются уязвимости пер-

вого и второго

типов.

213

10.3.

Цели и задачи обеспечения

безопасности информации

В данном разделе Концепции приведены следующие сведения:

• интересы затрагиваемых при эксплуатации АС организации

субъектов информационных отношений;

• цели защиты;

•

основные задачи системы обеспечения безопасности инфор-

мации АС;

•

основные пути достижения целей защиты (решения задач си-

стемы защиты).

Выделяются следующие субъекты правоотношений при исполь-

зовании АС организации и обеспечении безопасности информации:

• организация как собственник информационных ресурсов;

• подразделения управлений и отделений организации, обес-

печивающие эксплуатацию системы автоматизированной обработ-

ки информации;

•

должностные лица и сотрудники структурных подразделений

организации как пользователи и поставщики информации в АС

организации в соответствии с возложенными на них функциями;

» юридические и физические лица, сведения о которых накап-

ливаются, хранятся и обрабатываются в АС организации;

• другие юридические и физические лица, задействованные в

процессе создания и функционирования АС организации (разра-

ботчики компонент АС, обслуживающий персонал, организации,

привлекаемые для оказания услуг в области безопасности инфор-

мационных технологий и др.).

Интересы данных субъектов состоят в обеспечении конфиден-

циальности, достоверности информации, защиты от навязывания

ложной информации, своевременного ее предоставления, разгра-

ничения ответственности за нарушения, возможности осуществ-

ления непрерывного контроля и управления процессами обработки

и передачи информации, защиты части информации от незакон-

ного ее тиражирования.

После того как определены субъекты информационных отно-

шений и их интересы, формулируется цель защиты информации.

Она состоит в защите этих субъектов от возможного нанесения

им ощутимого материального, физического, морального или ино-

го ущерба посредством случайного или преднамеренного несанк-

ционированного вмешательства в процесс функционирования АС

либо НСД к циркулирующей в ней информации в целях ее неза-

конного использования.

Из данной цели органично вытекают задачи КСЗИ [50]:

• защита от вмешательства посторонних лиц в процесс функ-

ционирования АС организации;

214

• разграничение доступа зарегистрированных пользователей к

аппаратным, программным и информационным ресурсам АС:

— к информации, циркулирующей в АС,

— средствам вычислительной техники АС,

— аппаратным, программным и криптографическим средствам

защиты, используемым в АС;

•

регистрация действий пользователей при использовании защища-

емых ресурсов АС в системных журналах и периодический контроль

корректности действий пользователей системы путем анализа содер-

жимого этих журналов специалистами подразделений безопасности;

•

контроль целостности (обеспечение неизменности) среды ис-

полнения программ и ее восстановление в случае нарушения;

• защита от несанкционированной модификации и контроль

целостности используемых в АС программных средств, а также

защита системы от внедрения несанкционированных программ,

включая компьютерные вирусы;

•

защита информации ограниченного распространения от утечки

по техническим каналам при ее обработке, хранении и передаче

по каналам связи;

•

защита информации ограниченного распространения, храни-

мой, обрабатываемой и передаваемой по каналам связи, от несанк-

ционированного разглашения или искажения;

• обеспечение аутентификации пользователей, участвующих в

информационном обмене (подтверждение подлинности отправи-

теля и получателя информации);

• обеспечение живучести криптографических средств защиты

информации при компрометации части ключевой системы;

• своевременное выявление источников угроз безопасности

информации, причин и условий, способствующих нанесению

ущерба заинтересованным субъектам информационных отноше-

ний, создание механизма оперативного реагирования на угрозы

безопасности информации и негативные тенденции;

• создание условий для минимизации и локализации наноси-

мого ущерба неправомерными действиями физических и юриди-

ческих лиц, ослабление негативного влияния и ликвидация по-

следствий нарушения безопасности информации.

Далее в этом разделе Концепции определяются пути решения

указанных задач.

10.4.

Основные угрозы безопасности

информации АС организации

В данном разделе Концепции описаны:

• угрозы безопасности информации и их источники;

• пути реализации непреднамеренных искусственных (субъек-

тивных) угроз безопасности информации в АС организации;

215

• умышленные действия сторонних лиц, зарегистрированных

пользователей и обслуживающего персонала;

• утечка информации по техническим каналам;

• неформальная модель возможных нарушителей.

Факторы и угрозы безопасности рассмотрены в разд. 6.1 учеб-

ного пособия.

Среди угроз безопасности выделяются наиболее опасные, на-

пример:

• нарушение конфиденциальности защищаемых сведений;

• нарушение работоспособности АС, блокирование информа-

ции, нарушение технологических процессов, срыв своевременно-

го решения задач;

• нарушение целостности информационных, программных и

других ресурсов АС, а также фальсификация (подделка) докумен-

тов.

Далее в Концепции описываются источники угроз, которые

могут быть преднамеренными и непреднамеренными и т.д. Пути

реализации всех угроз непосредственно увязываются с мерами по

их нейтрализации, как это представлено в табл. 10.1 [50] на при-

мере непреднамеренных угроз.

Вопросы, связанные с выявлением и оценкой технических ка-

налов утечки информации, рассмотрены в гл. 7.

В Концепции также приводятся неформальные модели нару-

шителей (см. разд. 6.3). В документе указано, что «пользователи и

обслуживающий персонал из числа сотрудников организации

имеют наиболее широкие возможности по осуществлению несанк-

ционированных действий вследствие наличия у них определен-

ных полномочий по доступу к ресурсам и хорошего знания техно-

логии обработки информации и защитных мер. Действия этой

группы лиц напрямую связаны с нарушением действующих пра-

вил и инструкций. Особую опасность эта группа нарушителей

представляет при взаимодействии с криминальными структурами

или спецслужбами».

От всех нарушителей защититься невозможно, поэтому при-

нимаются ограничения и предположения относительно характера

действий возможных нарушителей [50]:

• работа по подбору кадров и специальные мероприятия ис-

ключают возможность создания коалиций нарушителей, т.е. объ-

единения (сговора) и целенаправленных действий двух и более

нарушителей — сотрудников организации по преодолению систе-

мы защиты;

• нарушитель скрывает свои несанкционированные действия

от других сотрудников организации;

• несанкционированные действия могут быть следствием оши-

бок пользователей, администраторов безопасности, эксплуати-

рующего и обслуживающего персонала, а также недостатков при-

216

Таблица 10.1. Угрозы и меры по их нейтрализации

Основные пути реализации

непреднамеренных искусственных

(субъективных) угроз АС организации

Действия сотрудников организации,

приводящие к частичному или полно-

му отказу системы или нарушению

работоспособности аппаратных

или программных средств; отключе-

нию оборудования или изменение ре-

жимов работы устройств и программ;

разрушению информационных ресур-

сов системы (неумышленная порча

оборудования, удаление, искажение

программ или файлов с важной инфор-

мацией, в том числе системных, по-

вреждение каналов связи, неумыш-

ленная порча носителей информации

т.п.)

Несанкционированный запуск техно-

логических программ, способных при

некомпетентном использовании вы-

зывать потерю работоспособности

системы (зависания или зациклива-

ния) или осуществляющих необрати-

мые изменения в системе (формати-

рование или реструктуризацию носи-

телей информации, удаление данных

и т.

п.)

Несанкционированное внедрение

и использование неучтенных программ

(игровых, обучающих, технологиче-

ских и других, не являющихся необхо-

димыми для выполнения сотрудникам

и своих служебных обязанностей)

с последующим необоснованным

расходованием ресурсов (процессор-

ного времени, оперативной памяти,

памяти на внешних носителях

т.п.)

Непреднамеренное заражение

компьютера вирусами

Меры по нейтрализации угроз

и снижению возможного

наносимого ущерба

Организационные меры

(регламентация действий,

введение запретов).

2. Применение физических

средств, препятствующих

неумышленному совершению

нарушения.

3. Применение технических

(аппаратно-программных)

средств разграничения

доступа к ресурсам.

4. Резервирование критичных

ресурсов

1. Организационные меры

(удаление всех потенциально

опасных программ с дисков

ПЭВМ АРМ).

2. Применение технических

(аппаратно-программных)

средств разграничения досту-

па к технологическим и ин-

струментальным программам

на дисках ПЭВМ АРМ

1. Организационные меры

(введение запретов).

2. Применение технических

(аппаратно-программных)

средств, препятствующих

несанкционированному

внедрению и использованию

неучтенных программ

1. Организационные меры

(регламентация действий,

введение запретов).

217

Окончание табл. 10.1

Основные пути реализации

непреднамеренных искусственных

(субъективных) угроз АС организации

Разглашение, передача или утрата

атрибутов разграничения доступа

(паролей, ключей шифрования или

ЭЦП, идентификационных карточек,

пропусков и

т.п.)

Игнорирование организационных

ограничений (установленных правил)

при работе в системе

Некомпетентное использование, на-

стройка или неправомерное отклю-

чение средств защиты персоналом

подразделения безопасности

Ввод ошибочных данных

Меры по нейтрализации угроз

и снижению возможного

наносимого ущерба

2. Технологические меры

(применение специальных

программ обнаружения

и уничтожения вирусов).

3. Применение аппаратно-

программных средств, пре-

пятствующих заражению

компьютеров компьютерны-

ми вирусами

1. Организационные меры

(регламентация действий,

введение запретов, усиление

ответственности).

2. Применение физических

средств обеспечения сохран-

ности указанных реквизитов

1. Организационные меры

(усиление ответственности

и контроля).

2. Использование дополни-

тельных физических и техни-

ческих средств защиты

Организационные меры

(обучение персонала, усиле-

ние ответственности

и контроля)

1. Организационные меры

(усиление ответственности

и контроля).

2. Технологические меры

контроля за ошибками опе-

раторов ввода данных

нятой технологии обработки, хранения и передачи информа-

ции;

• в своей противоправной деятельности вероятный нарушитель

может использовать любое имеющееся средство перехвата инфор-

мации, воздействия на информацию и информационные систе-

мы, адекватные финансовые средства для подкупа персонала,

шантаж и другие средства и методы для достижения стоящих пе-

ред ним целей.

218

10.5.

Основные положения

технической политики

в области обеспечения безопасности

информации АС организации

Этот раздел Концепции состоит из следующих подразделов:

• техническая политика в области обеспечения безопасности

информации;

• формирование режима безопасности информации;

• оснащение техническими средствами хранения и обработки

информации.

Техническая политика заключается в комплексном, согласо-

ванном применении различных организационных мер и средств

защиты информации. В Концепции указываются основные на-

правления реализации технической политики, комплекс органи-

зационных, программных и технических средств и мер по защите

информации в процессе ее обработки и хранения, при передаче

информации по каналам связи, при ведении конфиденциальных

переговоров, раскрывающих сведения с ограниченным доступом,

при использовании импортных технических и программных

средств.

Под режимом безопасности понимается совокупность спосо-

бов и мер защиты циркулирующей в автоматизированной системе

информации и поддерживающей ее инфраструктуры от случай-

ных или преднамеренных воздействий естественного или искус-

ственного характера, влекущих за собой нанесение ущерба вла-

дельцам или пользователям информации и поддерживающей ин-

фраструктуры. В Концепции приводится комплекс мер по фор-

мированию режима безопасности организационного и техниче-

ского характера, включая оснащение техническими средствами за-

щиты.

Здесь даны требования к оборудованию режимных помеще-

ний, в которых ведется обработка конфиденциальной информа-

ции, помещений режимно-секретного органа. Приводятся требо-

вания к оснащению помещений пожарной и охранной сигнализа-

цией, требования к аттестации помещений и сертификации средств

защиты.

10.6.

Основные принципы построения КСЗИ

Принципы построения КСЗИ рассмотрены в разд. 1.2 учебно-

го пособия. В данном разделе Концепции приводится перечень

этих принципов и выполняется их детализация.

219