9. Понятие и сущность политики информационной безопасности.

Политика безопасности информации - совокупность принципов, правил, и рекомендаций, определяющих порядок организации ЗИ, циркулирующей в конкретной АС, зафиксированная документально

Информационная политика включает политику формирования и использования информационных ресурсов, политику информационной безопасности и техническую политику.

Политика формирования и использования информационных ресурсов определяет принципы, порядок и правила санкционированного включения и изъятия информационных ресурсов из единого информационного пространства, а также осуществления доступа к ним субъектов информационных отношений. Эта политика в большей мере находится в сфере правового и административного регулирования.

Политика информационной безопасности создается с целью организационно-технической поддержки политики формирования и использования информационных ресурсов при осуществлении доступа к информации. Политика информационной безопасности системы должна учитывать политики безопасности субъектов информационных отношений, требования нормативно-руководящих документов по защите информации и возможные каналы реализации угроз безопасности информации.

Техническая политика вырабатывается с целью обеспечения технологической поддержки политики формирования и использования информационных ресурсов с учетом ограничений, накладываемых политикой информационной безопасности и технологическими особенностями интегрируемых информационных и коммуникационных ресурсов.

ПОЛИТИКА БЕЗОПАСНОСТИ ВЕРХНИХ УРОВНЕЙ - ПРАВОВОГО И АДМИНИСТРАТИВНОГО

К политике безопасности верхнего уровня можно отнести решения, затрагивающие организацию в целом. Они носят общий характер и, как правило, исходят от командования организации. Список подобных решений включает в себя следующие элементы:

• формирование или пересмотр комплексной программы обеспечения БИ, определение ответственных за продвижение программы;

• формулировка целей, которые преследует организация в области БИ, определение общих направлений в достижении этих целей;

• обеспечение базы для соблюдения законов и правил;

• формулировка решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом

Политика безопасности верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины:

• организация должна соблюдать существующие законы;

• следует контролировать действия лиц, ответственных за выработку программы безопасности;

• необходимо обеспечить определенную степень послушания персонала, а для этого нужно выработать систему поощрений и наказаний

На верхний уровень политики безопасности выносится минимум вопросов. Подобное вынесение целесообразно, если оно сулит значительную экономию средств или когда иначе поступить просто невозможно. Условно верхний уровень подразделяется на 2 подуровня: правовой и административный .

На верхний уровень политики безопасности выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального личного состава для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим секретности.

Политика безопасности правового уровня

Правовое обеспечение БИ в РФ регулируется следующими законами:

• Конституция Российской Федерации от 12.12.93 г;

• Закон РФ «Об информации, информационных технологиях и защите информации» от 26.07.06;

• Закон РФ «О государственной тайне» от 21.07.93.

• Концепция информационной безопасности РФ от 9.9.2000 г.

Политика безопасности административного уровня

Административный уровень предусматривает поддержание правовой базы БИ и разработку (введение в действие) следующих документов:

• Положение о сохранности информации ограниченного распространения.

• Перечень сведений, составляющих служебную, коммерческую, банковскую или другую тайну.

• Приказы и распоряжения по установлению режима БИ:

- о создании комиссии по формированию Перечня сведений, составляющих служебную, коммерческую, банковскую или другую тайну;

- о назначении постоянно действующей комиссии по категорированию и аттестации объектов информатизации;

- о вводе в эксплуатацию объектов информатизации;

- о назначении выделенных помещений;

- о допуске сотрудников к работе с информацией ограниченного распространения;

- о назначении лиц ответственных за обеспечение сохранности информации ограниченного распространения в АС.

• Инструкции и функциональные обязанности личному составу:

- по организации охранно-пропускного режима;

- по организации делопроизводства;

- по организации работы с информацией на магнитных носителях;

- о защите информации ограниченного распространения в АС;

- по организации модификаций аппаратно-программных конфигураций ЭВМ.

Административные мероприятия по ЗИ в процессе создания системы включают:

• разработку должностных инструкций по обеспечению режима секретности в соответствии с действующими в стране инструкциями и положениями;

• при необходимости выделение

• отдельных помещений с охранной сигнализацией и пропускной системой;

• разграничение задач по исполнителям и выпуску документации;

• присвоение грифа секретности материалам, документации, аппаратуре и хранение их под охраной в отдельных помещениях с учётом и контролем доступа исполнителей;

• постоянный контроль за соблюдением исполнителями режима и соответствующих инструкций;

• установление и распределение ответственных лиц за утечку информации.

ПОЛИТИКА БЕЗОПАСНОСТИ СРЕДНЕГО УРОВНЯ – ПРОЦЕДУРНОГО

К среднему уровню относятся вопросы, касающиеся отдельных аспектов БИ, но важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов - отношение к передовым, но еще недостаточно проверенным технологиям, как сочетание свободы получения информации с защитой от внешних угроз, применение пользователями неофициального программного обеспечения и т.д.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

а) описание аспекта.

б) область применения.

в) позиция организации по данному аспекту.

г) роли и обязанности.

д) законопослушность.

е) точки контакта.

ФУНКЦИОНИРОВАНИЕ АС

К основным особенностям функционирования АС, относятся:

• большая территориальная распределённость системы;

• объединение в единую систему большого количества разнообразных технических средств обработки и передачи информации;

• большое разнообразие решаемых задач и типов обрабатываемых сведений (данных), сложные режимы автоматизированной обработки информации с широким совмещением выполнения информационных запросов различных пользователей;

• объединение в единых БД информации различного назначения, принадлежности и грифов секретности;

• непосредственный доступ к вычислительным и информационным ресурсам большого числа различных категорий пользователей (источников и потребителей информации) и обслуживающего личного состава;

• наличие большого числа источников и потребителей информации;

• непрерывность функционирования АС;

• высокая интенсивность информационных потоков в АС;

• наличие в АС ярко выраженных функциональных подсистем с различными требованиями по уровням защищённости (физически объединенных в единую сеть);

• разнообразие категорий пользователей и обслуживающего личного состава системы.

Общая структурная и функциональная организация АС определяется организационно-штатной структурой организации и задачами, решаемыми его структурными подразделениями с применением средств автоматизации.

Объекты информатизации АС включают:

• технологическое оборудование (СВТ, сетевое и кабельное оборудование);

• информационные ресурсы, содержащие сведения ограниченного доступа и представленные в виде документов или записей в носителях на магнитной, оптической и другой основе, информационных физических полях, массивах и базах данных;

• программные средства;

• АС связи и передачи данных (средства телекоммуникации);

• каналы связи по которым передается информация;

• служебные помещения, в которых циркулирует информация ограниченного распространения;

• технические средства, используемые для обработки информации;

• технические средства и системы, не обрабатывающие информацию (вспомогательные технические средства и системы - ВТСС), размещенные в помещениях, где обрабатывается информация, содержащая сведения ограниченного распространения.

КАТЕГОРИИ ЗАЩИЩАЕМЫХ РЕСУРСОВ

В каждой АС необходимо отрабатывать общий Перечень защищаемых ресурсов и Перечни защищаемых ресурсов подразделений или отдельных объектов ВТ, входящих в состав АС в качестве относительно независимых функциональных компонентов.

Перечни разрабатываются в процессе анализа решаемых в интересах подразделений функциональных задач, состава автоматизированных рабочих мест, организуемых БД, возможностей и режимов использования программных средств, а также средств, обеспечивающих обмен информацией между объектами АС. В Перечнях защищаемых ресурсов указываются сведения о допуске к этим ресурсам соответствующих подразделений или должностных лиц организации. Составление Перечней защищаемых ресурсов осуществляется совместно представителями подразделений, органов автоматизации, связи и защиты информации АС.

УСЛОВНО ЗАЩИЩАЕМЫЕ РЕСУРСЫ МОЖНО РАЗДЕЛИТЬ НА ЧЕТЫРЕ КАТЕГОРИИ:

а) помещения.

П1 – помещения, в которых находятся серверы, магнитные накопители с секретной

информации, секретные документы;

П2 – помещения, в которых обрабатывается секретная информация;

П3 – помещения, в которых обрабатывается несекретная информация;

П4 – помещения, смежные с помещениями П1;

П5 – помещения, предназначенные для приёма посетителей и ведения несекретных

совещаний.

б) технические средства.

ТС1 – технические средства, хранящие и обрабатывающие секретную информацию;

ТС2 – технические средства для ввода-вывода секретной информации;

ТС3 – технические средства, хранящие и обрабатывающие несекретную информацию;

ТС4 – технические средства удалённого доступа;

ТС5 – технические средства передачи информации.

в) программные средства.

ПС1 – ПО серверов централизованной обработки секретной и несекретной информации;

ПС2 – ПО БИ и управления сетью;

ПС3 – ПО, предназначенное для ввода-вывода секретной информации на АРМ;

ПС4 – ПО, предназначенное для ввода-вывода несекретной информации на АРМ;

ПС5 – ПО, предназначенное для передачи несекретной информации с АРМ.

г) информационные массивы.

N1 – наиболее важная информация, хранящаяся на серверах;

N2 – важная информация, хранящаяся на АРМ;

N3 – важная информация, которую разрешено передавать по каналам связи;

N4 – информация для служебного пользования;

N5 – информация, к которой не предъявляются по защите.

ПОЛИТИКА БЕЗОПАСНОСТИ НИЖНЕГО УРОВНЯ - ПРОГРАММНО-АППАРАТНОГО

Политика безопасности нижнего уровня относится к конкретным элементам АС. Она включает себя два аспекта - цели и правила их достижения, поэтому её порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней политики безопасности, рассматриваемая политика конкретнее, так как рассматриваются настройки системы ЗИ. Приводятся вопросы, на которые следует дать ответ при следовании политике безопасности нижнего уровня:

• кто имеет право доступа к объектам, поддерживаемым сервисом?

• при каких условиях можно читать и модифицировать данные?

• как организован удаленный доступ к сервису

Ключевыми механизмами политики безопасности нижнего уровня являются:

а) идентификация и аутентификация.

Идентификация – присвоение какому-либо объекту или субъекту уникального образа, имени или числа.

Аутентификация – установление подлинности, заключающаяся в проверке, является ли проверяемый объект или субъект тем, за кого себя выдаёт.

Объектами идентификации и аутентификации в АС являются:

• человек (оператор, пользователь, должностное лицо);

• техническое средство (дисплей, ЭВМ);

• документы (распечатки, листинги);

• носители информации (магнитные ленты, диски).

б) управление доступом.

Управление доступом может быть достигнуто при использовании следующих моделей:

• дискреционное управление доступом;

• мандатное управление доступом.

Способы, обеспечивающие управление доступом, предлагаются ниже:

• использование прав доступа (определение прав владельца, группы пользователей);

• использование списков управления доступом, профилей пользователей и списков возможностей;

• использование механизмов мандатного управления доступом.

в) конфиденциальность данных и сообщений.

г) целостность данных и сообщений.

д) контроль участников взаимодействия.

г) регистрация и наблюдение.

Задачами регистрации и наблюдения являются:

• обнаружение возникновения угрозы;

• обеспечение администраторов статистикой.

Способы, обеспечивающие регистрацию и наблюдение, предлагаются ниже:

• регистрация информации о сеансах пользователей;

• регистрация изменений прав пользователей для управления доступом;

• регистрация использования секретных файлов;

• регистрация модификаций, сделанных в ПО;

• использование средств аудита.