13. Определение компонентов комплексной системы защиты информации.

Организация КСЗИ на каждом конкретном предпри­ятии зависит от параметров рассмотренных характерис­тик данного предприятия. Эти характеристики определяют цели и задачи КСЗИ, объем ее материального обеспечения, состав и структуру КСЗИ, состав технических средств за­щиты, численность и квалификацию сотрудников СЗИ т. д. Однако степень воздействия различных характеристик предприятия на организацию КСЗИ различна. Из числа наиболее влиятельных можно выделить следующие:

• характер деятельности предприятия;

• состав защищаемой информации, ее объем, спосо­бы представления и отображения;

• численный состав и структура кадров предприятия;

• техническая оснащенность предприятия;

• экономическое состояние предприятия;

• организационная структура предприятия;

• нормативно-правовое обеспечение деятельности предприятия.

В меньшей степени на организацию КСЗИ на предпри­ятии могут влиять:

• режим работы предприятия;

• технология производства и управления;

• тип и объем производства;

• местоположение и архитектурные особенности пред­приятия;

• форма собственности предприятия.

Компоненты КСЗИ со слабой защитой – должны обеспечивать защиту информации в пределах серийных средств обработки информации с использованием общедоступных организационно-правовых мер.

Компоненты со средней защитой – дополнительно к вышеуказанным мерам должны иметь системы (средства) разграничения доступа и средства регулирования (управления) защитой информации.

Компоненты сильной защиты – должны обеспечиваться комплексом средств защиты и обязательная организационная структура по защите информации (служба защиты информации).

Компоненты очень сильной защиты – компоненты должны строиться на основе типового проектирования с наличием непрерывного цикла защиты информации.

Компоненты особой защиты – данные компоненты должны реализовываться на основе индивидуального проектирования, а также реализовываться мандатный доступ к информации.

Классификационная структура типовых компонентов КСЗИ (с учетом требуемых уровней защиты)

Уровень защиты	Стратегия защиты информации
	Оборонительная	Наступательная	Упреждающая
Слабый (<= 0,5)
Средний (0,5 – 0,75)
Сильный (0,75 – 0,87)
Очень сильный (0,87 – 0,93)
Особый (>0,93)

Более светлым цветом показано то, что возможно может быть допущено, более темным цветом – то, что должно быть.

Применительно к конфиденциальной информации можно указать следующие четыре требуемых уровня защиты информации:

1. Очень высокая защита (особо конфиденциально);

2. Высокая защита (строго конфиденциально);

3. Средняя защита (конфиденциально);

4. Низкая защита (открытая информации).

Допустимые и целесообразные компоненты КСЗИ (типы систем защиты информации) для различных уровней защиты

По активности реагирования на несанкционированные действия все компоненты КСЗИ (средства защиты информации) целесообразно делить на следующие три типа:

1. Пассивные. В которых не предусматривается сигнализация о несанкционированных действиях и не предусматривается воздействие на нарушителя.

2. Полуактивные. Предусматривается сигнализация о несанкционированных действиях, но не предусматривается воздействие на нарушителя.

3. Активные. Предусматривается сигнализация о несанкционированных действиях и воздействие на нарушителя.

Уровни защиты	Компоненты (средства) КСЗИ
	Пассивные	Полуактивные	Активные
Слабая защита (К)	Допустимые / целесообразные	Допустимые / целесообразные в особых случаях	Допустимые / нецелесообразно
Сильная защита (СК)	Недопустимые	Допустимо/целесообразно	Допустимо / целесообразно в особых случаях
Очень сильная защита (ОК)	Недопустимые	Допустимо / целесообразно в особых случаях	Допустимо / целесообразно обязательно в особых случаях
Особая защита (С)	Недопустимые	Не допустимо	Обязательно

Светлым цветом – базовые компоненты, более темным – допустимые компоненты.

К – конфиденциально

СК – строго конфиденциально

ОС – особо конфиденциально

С - секретно

Применительно к практике потенциально не обходимые компоненты КСЗИ (средств защиты информации) целесообразно привязать к типовым объектам защиты, например, подсистеме компьютерной безопасности:

• персональный компьютер,

• групповая ЭВМ (сервер),

• вычислительный центр предприятия,

• вычислительный центр коллективного пользования,

• локальная вычислительная сеть,

• городская вычислительная сеть.

• Региональная вычислительная сеть.

• Глобальная вычислительная сеть.

Типовые объекты подсистемы компьютерной безопасности КСЗИ	Требуемые варианты систем (средств) защиты информации
	Слабая защита (пассивные)	Сильная защита (полуактивные)	Сильная защита (активные)	Очень сильная защита (активные)	Очень сильная защита (полуактивные)	Особая защита (активные)
ПК	Ц	Д/Ц*
Главная ЭВМ (сервер)	Ц*	Ц	Д/Ц*
ВЦ предприятия	Д*	Ц	Д/Ц*	Д*
ВЦ коллективного пользования			Ц	Ц*	Ц*	Д*
ЛВС		Ц*	Ц	Д*
Городская ВС		Ц*	Ц*	Ц	Ц*	Д*
Региональная ВС		Ц*	Ц*	Ц	Д*	Ц*
Глобальная ВС				Ц		Ц*

Выделены базовые позиции

Ц – целесообразные

Д – допустимые

* - в особых случаях

14. Определение условий функционирования комплексной системы защиты информации.

Изучение объекта защиты является важнейшим этапом в проектировании КСЗИ. Ошибки, допущенные в ходе этой работы, могут существенно снизить эффектив­ность создаваемой системы защиты, и, наоборот, тщатель­но проведенное обследование позволит сократить затраты на внедрение и эксплуатацию системы.

Изучение объекта защиты сводится к сбору и анализу следующей информации:

1) об организации процесса функционирования объекта. В состав этих данных входят сведения, характеризующие:

• график работы объекта и его отдельных подразде­лений;

• правила и процедуры доступа на объект, в отде­льные помещения и к оборудованию персонала и посетите­лей (регулярный, случайный, ограниченный доступ);

• численность и состав сотрудников и посетителей объекта (постоянный штат, персонал, работающий по кон­тракту, клиенты);

— процедуру доступа на территорию транспортных средств.

Для получения этих данных можно применять сле­дующие способы: анкетирование сотрудников; опрос со­трудников; личное наблюдение; изучение директивных и инструктивных документов. Следует иметь в виду, что ни один из этих способов не дает объективной информации: каждый имеет свои достоинства и недостатки. Поэтому их применяют вместе, в совокупности;

2) об организации транспортных и информационных потоков. В состав этих данных входят сведения, характеризующие:

• пути и организацию транспортировки и хранения материальных ценностей на территории объекта; уровни конфиденциальности информации, пути и способы ее обработки и транспортировки (документы, те­лефонная и радиосвязь и т. п.);

3) об условиях функционирования объекта. В состав этих данных входят сведения, характеризующие:

— пространство, непосредственно прилегающее к тер­ритории объекта;

— ограждение периметра территории и проходы;

• инженерные коммуникации, подземные хранилища и сооружения на территории;

• размещение подразделений и сотрудников по отде­льным помещениям (с поэтажными планами);

• инженерные коммуникации в помещениях;

• состояние подвальных и чердачных помещений;

— размещение, конструкции и состояние входов, две­рей, окон;

— существующую систему защиты;

— состав и настроение населения, экономические фак­торы и криминогенную обстановку на прилегающей тер­ритории.

На основе результатов анализа всех перечисленных сведений должны быть определены: назначение и основ­ные функции системы защиты; основные виды возможных угроз и субъекты угроз; внешняя среда; условия функци­онирования системы защиты (наличие энергетических и других ресурсов, естественные преграды и т. п.).

Эти данные рекомендуется систематизировать в виде пояснительной записки, структурных схем и планов.

Целесообразно иметь следующие планы:

1) план территории объекта с указанием расположе­ния всех зданий и других наземных сооружений; подземных сооружений; всех коммуникаций и мест их выхода за территорию объекта; всех ограждений, в том числе по пе­риметру территории объекта, с обозначением их техничес­кого состояния на момент обследования; средств защиты (существующей системы, если она имеется);

2. поэтажные планы, где должно быть указано распо­ложение всех помещений с обозначением дверных и окон­ных проемов, внутренних и наружных (пожарных) лест­ниц, толщины материала стен и существующих средств защиты; всех коммуникаций с обозначением коммуника­ционных шкафов и других мест санкционированного до­ступа к каналам связи и жизнеобеспечения;

3. планы помещений с указанием мест размещения оборудования и других технических средств (телефонов, персональных ЭВМ, принтеров и т. д.); расположения ком­муникаций и мест размещения коммутационного обору­дования (коробки, розетки и т. п.); функционального на­значения и степени конфиденциальности получаемой и обрабатываемой информации; особенностей технологичес­кого процесса (для производственных помещений), важ­ных с точки зрения обеспечения безопасности.

На основе этих планов целесообразно подготовить структурные схемы:

— ограждения каждого помещения, указав на ней (схе­матично) все стены и другие инженерно-технические со­оружения, окружающие помещение;

— документооборота (для документов с ограничен­ным доступом), указав источник и приемники документа; его связи с другими документами; способ подготовки (руч­ной, машинный); способ транспортировки (с курьером, по телефону, по факсу, по компьютерной сети и т. п.); место хранения;

15. Разработка модели комплексной системы защиты информации.

Целями моделирования КСЗИ являются:

1. Поиск оптимальных решений по управлению КСЗИ;

2. Оценка эффективности использования различных подсистем и мероприятий по защите информации;

3. Определение потребных параметров защиты информации

4. И другие цели

Применительно к КСЗИ создаются не одна, а несколько моделей различных типов:

• Модели анализа исследуемых процессов систем и подсистем;

• Модели синтеза (построения различных систем, подсистем и мероприятий);

• Модели управления исследуемыми процессами (подсистемами) с целью поиска оптимальных управленческих решений.

При этом рассматриваются

• общие модели (в масштабе всей КСЗИ или подсистемы)

• частные модели с целью определения отдельных параметров функционирования КСЗИ (подсистемы)

В основе каждой модели лежит определенный метод моделирования:

• Аналитические методы (модели);

• Имитационные методы (модели);

• Экспертные методы (модели).

Как правило, все указанные типы методов (моделей) реализуются на основании использования различных видов математических аппаратов: теории вероятности, исследовании операций, дискретной математики, теории нечетких множеств и т.д.

Виды моделей по защите информации

Характеристики	Аналитические модели	Имитационные модели	Экспертные модели
Решаемые задачи защиты информации (ИБ)	- определение узвимостей в системе защиты - вероятностное оценивание всех процессов, включая экономическую оценку - обоснование мер - и другие	- исследование объекта - оценка влияния различных факторов - процессы обучения - и т.д.	- оценка уровней безопасности - сравнение вариантов по ЗИ - анализ последствий реализации угроз - и т.д.
Достоинства	- достаточный уровень формализации ЗИ (ИБ) - формульное представление моделей - количественная оценка		- естественный язык моделирования (получение данных) - моделирование слабоформализуемых явлений
Недостатки	- сложность учета большого количества факторов - не стационарный характер анализируемых процессов		- субъективный характер оценки - трудность получения количественных характеристик

На практике при моделировании как правило используется сочетание различных видов моделей.

Обобщенная модель КСЗИ

Обобщенная модель представляет собой совокупность частных моделей отдельных компонентов, входящих в КСЗИ. Данная модель позволяет обосновывать стратегические решения (стратегии) по защите информации на основе перспективных планов развития предприятия.

Структура локальной пятимерной модели доступа к информации

Основные рекомендации по использованию моделей:

1. (основная) моделями должен пользоваться только квалифицированный специалист-профессионал по защите информации;

2. Модели надо использовать не просто для получения конкретных значений показателей, а для оценки поведения этих значений в тех или других ситуациях;

3. Для оценки адекватности моделей (правильности решений) в рассматриваемых условиях необходимо привлекать квалифицированных (опытных) экспертов по защите информации;

4. Необходимо постоянно уточнять исходные данные при использовании моделей, т.к. они имеют высокую степень неопределенности в различных ситуациях.

16. Содержание работ по организации КСЗИ.

Для решения сложных проблем, требуется организационная деятельность многих людей. Решение этих задач необходимо для обеспечения корректной работы КСЗИ. Такая деятельность в искусственных формированиях (сделанных человеком) называется организационными системами (ОС). ОС эквивалентно КСЗИ.

Технологические этапы ОС (не обязательно должны быть последовательными): 1. Постановка проблемы 2. Исследование проблемы: сбор и анализ всех данных и знаний о проблеме, и факторах, влияющих на ее решение 3. Определение границ проблемного объекта, т.е. потенциальных участников решения проблемы 4. Обследование проблемного объекта. Формируется целевая программа по решению проблемы и решается вопрос о целесообразности создания ОС. 5. Выбор критерия эффективности ОС 6. Выбор границ объекта управления 7. Обследование объекта управления 8. Разработка технического задания на создание ОС. Выбор эффективного варианта построения ОС. 9. Техническое и рабочее проектирование ОС 10. Внедрение ОС.

РИС. Общая схема решения организационных проблем. Проблема  Знания  Ресурсы: 1. Постановления, приказы, планы, договоры. 2. Целевые комплексные программы 3. Организационные системы.

17. Характеристика основных стадий создания КСЗИ.

Рекомендуются следующие стадии создания системы защиты информации:

1. Предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания системы защиты информации и технического (частного технического) задания на ее создание;

2. Стадия проектирования (разработки проектов), включает разработку системы защиты информации в составе объекта информатизации;

3. Стадия ввода в действие системы защиты информации, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствующие требования безопасности информации.

Выполняемые работы на предпроектной стадии по обследованию объекта информатизации

На предпроектной стадии по обследованию объекта информатизации выполняются следующие мероприятия:

1. Установление необходимости обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;

2. Определяется перечень сведений конфиденциального характера подлежащих защите;

3. Определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта;

4. Определяются условия расположения объекта информатизации относительно границ контролируемой зоны;

5. Определяются конфигурация и топология автоматизированной системы и систем связи в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

6. Определяются технические средства и системы, предполагаемые к использованию в разработанной автоматизированной системе и в системах связи, темные и прикладные программы средств, имеющиеся на рынке и предполагаемые к разработке;

7. Определяются режимы обработки информации в автоматизированных системах в целом и в отдельных компонентах;

8. Определяется класс защищенности в автоматизированной системе;

9. Определяется степень участия персонала в обработке (обсуждении, передачи, хранении) информации, характер их взаимодействия между собой и со службой безопасности;

10. Определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования объекта информатизации.

Содержание аналитического обоснования необходимости создания системы защиты информации

По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания системы защиты информации.

На основе действующих нормативно-методических документов по технической защите конфиденциальной информации с учетом установленного класса защищенности автоматизированной системы задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку системы защиты информации.

Предпроектное обследование в части касающейся определения защищаемой информации должно базироваться на документально оформленного перечня сведений конфиденциального характера составленного заказчиком объекта информатизации и утверждается руководителями организации-заказчика.

Аналитическое обоснование необходимости создания системы защиты информации должно содержать:

1. Информационную характеристику и организационную структуру объекта информатизации;

2. Характеристику комплекса основных и вспомогательных технических средств, программное обеспечение, режимов работы, технологического процесса обработки информации;

3. Возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

4. Перечень предлагаемых к использованию сертифицированных средств защиты информации;

5. Обоснование необходимости привлечения специализированных организаций, имеющие необходимые лицензии на право проведения работ по защите информации;

6. Оценку материальных, трудовых и финансовых затрат на разработку и внедрение системы защиты информации;

7. Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем организации, проводившей предпроектное обследование, согласовывается с главным конструктором (должностным лицом обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителями организации-заказчика.

Содержание технического задания на разработку системы защиты информации

Техническое (частное техническое) задание на разработку системы защиты информации должно содержать:

1. Обоснование разработки;

2. Исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;

3. Класс защищенности автоматизированных систем;

4. Ссылку на нормативно-методические документы, с учетом которых будет разрабатываться система защиты информации и приниматься в эксплуатацию объект информатизации;

5. Требования к системе защиты информации на основе нормативно-методических документов и установленного класса защищенности автоматизированной системы;

6. Перечень предполагаемых к использованию сертифицированных средств защиты информации;

7. Обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;

8. Состав, содержание и сроки проведения работ по этапам разработки и внедрения;

9. Перечень подрядных организаций-исполнителей видов работ;

10. Перечень предъявляемый заказчику научно-технической продукции и документации.

Техническое (частное техническое) задание на разработку системы защиты информации подписывается разработчиком, согласованным со службой безопасности организации-заказчика, подрядными организациями и утверждается заказчиком.

В целях дифференцированного подхода к защите информации производится классификация автоматизированных систем по требованиям защищенности от несанкционированного доступа к информации;

Класс защищенности автоматизированных систем от несанкционированного доступа к информации устанавливается совместно заказчиком и разработчиком автоматизированной системы с привлечением специалистов по защите информации соответствующих требованиям действующих нормативно-методических документов, а также СТР-К и оформляется актом.

Пересмотр класса защищенности автоматизированных систем производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

Содержание работ на стадии проектирования и создания объекта информатизации и системы защиты информации в его составе

На стадии проектирования и создания объекта информации и системы защиты информации в его составе на основе предъявленных требований и заданных заказчиком ограничении на финансовые, материальные, трудовые и временные ресурсы осуществляются следующими мероприятиями:

• Разработку задания и проекта на строительные, строительно-монтажные работы (реконструкцию) объекта информатизации с учетом требований технического задания на разработку системы защиты информации;

• Разработку раздела технического проекта на объект информатизации в части защиты информации;

• Строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;

• Разработку организационно-технических мероприятий по защите информации в соответствии с предъявленными требованиями;

• Закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации либо их сертификации;

• Закупка сертифицированных технических средств защиты информации программных и программно-технических средств защиты информации и их установка;

• Разработка, доработка или закупка и последующая сертификация по требованиям безопасности информации, программных средств защиты информации в случае, когда на рынке отсутствует требуемые сертифицированные программные средства;

• Организация охраны и физической защиты помещений объекта информатизации, исключая несанкционированный доступ к техническим средствам обработки, ранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

• Разработка и реализация разрешительной системы доступа пользователей и эксплуатации персонала к обрабатываемой (обсуждаемой) на объекте информатизированной информации;

• Выполнение инсталляции пакета прикладных программ в комплексе с программными средствами;

• Разработка эксплуатации документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказы, инструкции и другие документы);

• Выполнение других мероприятий специфичных для конкретных объектов информатизации и направлений защиты информации.

Техническое задание на проектирование объекта информатизации оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Мероприятие по защите информации от утечки по техническим каналам относятся основным элементам проектных решений, которые включаются в соответствующие разделы проекта и разрабатываются одновременно с ними.

На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проект и эксплуатационная документация системы защиты информации, состоящая из следующих документов:

• Пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу средств защиты информации с указанием их соответствия требованиям ТЗ;

• Описание технического, программного информационного обеспечения и технологии обработки (передачи) информации;

• Плана организационно-технических мероприятий по подготовки объекта информатизации к внедрению средств и мер защиты информации;

• Технического паспорта объекта информатизации (формы технических паспортов на автоматизированные системы и защищенные помещения приведены в СТР-К);

• Инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности.

На стадии ввода в действие объекта информатизации и системы защиты информации осуществляются:

• Опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

• Приемосдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

• Аттестация объекта информатизации по требованию безопасности информации.

На стадии ввода в действие объекта информатизации и системы защиты информации оформляются:

• Акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;

• Протоколы аттестационных испытаний и заключение по их результатам;

• Аттестат соответствия объекта информатизации требованиям по безопасности информации (формы «аттестатов соответствия» для автоматизированных систем и защищенного помещения приведены в приложениях СТР-К).

Кроме вышеуказанной документации в организации оформляются приказы, указания и решения:

• На проектирование объекта информатизации и назначение ответственных исполнителей;

• На проведение работ по защите информации;

• О назначении лиц, ответственных за эксплуатацию объекта информатизации;

• На обработку в защищенном помещении (обсуждение) или в автоматизированной системе конфиденциальной информации.

Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией с учетом требовании и положений СТР-К по защите речевой конфиденциальной информации и обрабатываемой в автоматизированных системах. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к ней и предотвращение специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности или доступности информации, в организации проводятся периодический (не реже 1 раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности информации.

Аттестация объекта информатизации – комплекс организационно-технические мероприятий, в результате которых посредством специального документа – аттестата соответствия подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации.