II. Информационная безопасность предприятия (организации)

Действующие правовые документы в области защиты информации

Законодательные Акты

• Конституция Российской Федерации (1993 г.)

• Закон РФ "О безопасности" от 05.03.1992г. № 2446-1

• Закон РФ "О государственной тайне" от 21.07.1993г. №5485-1 (с изм. и доп., вступающими в силу с 15.12.2007)

• ФЗ РФ "Об информации, информационных технологиях и о защите информации" от 27.07.2006г. №149-ФЗ

• ФЗ РФ "О коммерческой тайне" от 29 июля 2004 г. N 98-ФЗ

• ФЗ РФ "О персональных данных" от 27 июля 2006 г. N 152-ФЗ

• ФЗ "О техническом регулировании" от 27 декабря 2002 г. N 184-ФЗ

• ФЗ РФ "Об обеспечении единства измерений" от 26 июня 2008 года № 102-ФЗ

• ФЗ РФ "Электронной цифровой подписи" от 10 января 2002 г. N 1-ФЗ

• ФЗ РФ "Об электронной подписи" от 6 апреля 2011 г. N 63-ФЗ

• ФЗ РФ "О связи" 7 июля 2003 г. N 126-ФЗ

• ФЗ "О лицензировании отдельных видов деятельности" от 8 августа 2001 года, N 128-ФЗ

• ФЗ "Об органах Федеральной Службы Безопасности в Российской Федерации" 03.04.95 №40-ФЗ (СЗ №15-95 г. ст.1269)

• Приказ ФСТЭК №58 от 5.02.2010г. "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"

• Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13.02.2008г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

• ФЗ от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности"

Нормативно-технические документы по защите информации:

• Документы, устанавливающие требования и рекомендации по защите информации

• Специальные требования и рекомендации по защите информации, от утечки по техническим каналам (СТР-К)

• Сборник норм защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН)

• Документы, устанавливающие критерии оценки защищенности информации (нормы эффективности защиты) и методы их контроля (в том числе при проведении сертификационных испытаний)

• РД. Показатели защищенности информации, обрабатываемой средствами ВТ и в АС, от НСД

• РД. Защита от несанкционированного доступа к информации. Общие технические требования

• Методики оценки защищенности информации от утечки по техническим каналам

Структура основных нормативно-методических документов по защите информации от НСД

• Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

• Руководящий документ. Концепция защиты СВТ и АС от несанкционированного доступа к информации.

• Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

• Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

• Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.

Возможные результаты нарушения информационной безопасности

Угроза ИБ – потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба. Воспринимать угрозу следует как объективную реальность - угрозы существуют постоянно. Уровень опасности, исходящей от потенциальных и действующих злоумышленников, никак не зависит от усилий по обеспечению безопасности. От подготовленности зависит, только ущерб к которому приведет реализация угрозы.

Нарушение конфиденциальности информации подразумевает, что защищаемая информация становится известной лицам, которые не имеют санкционированного доступа к этой информации. Конфиденциальная информация может быть разделена на предметную (например, информацию представляющую коммерческую ценность) и служебную (например, информация о сетевой инфраструктуре и средствах обеспечения информационной безопасности). Раскрытие служебной информации может нанести ущерб, как самой информационной системе, так и организации в целом, т.к. она может быть использована для раскрытия предметной информации.

Важный аспект при предотвращении угрозы конфиденциальности – непрерывность защиты данных на всем жизненном цикле ее хранения и обработки.

Пример реализации угрозы – доступное хранение резервных копий данных.

Нарушение целостности информации подразумевает, что защищаемая информация претерпела изменения, потеряла достоверность и отличается от информации, которая была получена первоначально как исходная информация. Целостность информации может быть разделена на статическую и динамическую.

Примерами нарушения статической целостности являются:

-вод неверных данных;

-есанкционированное изменение данных;

-зменение программного модуля вирусом;

Примеры нарушения динамической целостности:

-арушение атомарности транзакций;

-дублирование данных;

-внесение дополнительных пакетов в сетевой трафик.

Нарушение доступности информации подразумевает, что защищаемая информация становится недоступной для пользователей, для которых она предназначена. Это может происходить по причине того, что информация утрачена, или по причине того, что программные или технические средства, при помощи которых осуществляется доступ к информации, утратили свои функциональные качества. Отказ служб (отказа в доступе к ИС) относится к одним из наиболее часто реализуемых угроз ИБ. Относительно компонент ИС данный класс угроз может быть разбит на следующие типы:

-отказ пользователей (неумение работать с ИС);

-внутренний отказ информационной системы (ошибки при переконфигурировании системы, отказы программного и аппаратного обеспечения, разрушение данных);

-отказ поддерживающей инфраструктуры (нарушение работы систем связи, электропитания, разрушение и повреждение помещений).

По способу осуществления, угрозы делятся на естественные и искусственные, случайные и преднамеренные.

Естественные угрозы – угрозы, вызванные воздействием на АС и её элементы объективно-физического процесса или стихийно-природного явления, независящего от человека. К угрозам естественного характера следует отнести аварийные ситуации, которые могут возникнуть на объекте размещения автоматизированной системы.

Искусственные – угрозы, вызванные деятельностью человека.

Случайные угрозы (непреднамеренные) - угрозы безопасности, происхождение которых не связано с преднамеренными действиями злоумышленника и реализуются в случайные моменты времени. К данному классу угроз относятся случайные нарушения сотрудниками установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации, и другие действия сотрудников, приводящие к несанкционированному распространению сведений ограниченного доступа, потере или модификации ценной информации, нарушению работоспособности или доступности отдельных элементов АС

Преднамеренные угрозы – это угрозы безопасности, в основе которых лежит злой умысел человека (корыстные стремления). Данный класс угроз очень динамичен и постоянно пополняется. На даны момент, основной преднамеренной угрозой является - несанкционированный доступ к информации. По данным некоторых источников, он составляет 60 – 75 % от числа всех преднамеренных угроз.

По расположению источника, угрозы делятся на внутренние и внешние.

Внутренние угрозы - угрозы исходящие от действий сотрудников (пользователей), допущенных к работе с АС, или сотрудников (администраторов и технического персонала), отвечающих за функционирование и обслуживание программного и аппаратного обеспечения, технических средств защиты.

Внешние угрозы – угрозы связанные с противоправной деятельностью преступных групп или отдельных лиц, не имеющих доступа к АС.

Информационная политика безопасности

Политика безопасности - это совокупность технических, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, четко регламентирующих все вопросы обеспечения безопасности информации.

Для того, чтобы сформировать и определить Вашу политику информационной безопасности, Вам понадобятся следующие исходные данные:

• Необходимо определить информацию которая подлежит защите и создать перечень сведений конфиденциального характера, в соответствии с защищаемой информацией

• Определить топологии средств автоматизации (физической и логической)

• Необходимо описать административную структуру и категории зарегистрированных пользователей, описать технологию обработки информации и выделить потенциальных субъектов и объектов доступа

• Определить угрозы безопасности информации и создать модель нарушителя

• Обнаружить и описать известные угроз и уязвимости

• Расположить угрозы по убыванию уровня уровня риска (провести анализ рисков)

Так же, необходимо описать общую характеристику и специализацию организации (наименование организации, специализация, род деятельности, решаемые задачи, характер и объем работ, расположение угроз по убыванию уровня уровня риска).

Необходимо описать организационно-штатню структуру организации (отделы и отделения организации, наименования отделов, решаемые задачи, общая технологическая схема функционирования подразделений). Так же составляется общее описание рабочего процесса, технологическая схема операций при выполнении рабочего процесса, интенсивность с которой выполненяется рабочий процесс, технологические ограничения, средства контроля и критерии качества результатов рабочего процесса, перечень проблемных вопросов подразделений по обеспечению защиты информации.

Должны быть описаны так же следующие данные:

Используемые на предприятии средства вычислительной техники и программное обеспечение

• Сведения об используемых СВТ (описание аппаратных средств, коммуникационного оборудования удаленного доступа)

• Сведения об используемом общем ПО (наименование и назначение, фирма разработчик, аппаратные требования, размещение)

• Сведения об используемом специальном ПО (наименование и назначение, фирма разработчик, аппаратные требования, функциональные возможности, размещение)

Организация и структура информационных потоков и их взаимодействие

• Топология ЛВС

• Схема коммуникационных связей

• Структура и состав потоков данных (еречень входных информационных объектов и их источники, перечень выходных информационных объектов и их получатели, перечень внутренних информационных объектов)

• Организация хранения данных

Общая характеристика автоматизированных систем организации

• Расположение ЛВС

• Технические и программные средства ЛВС (физическая среда передачи, используемые протоколы, операционные системы, серверы баз данных, места хранения конфиденциальных данных, средства защиты информации)

• Технические и программные средства доступа к ЛВС из сетей общего доступа

• Принадлежность и типы каналов связи

• Сетевые протоколы удаленного доступа

Угрозы информационной безопасности

• Сведения о распределении обязанностей и инструкциях по обработке и защите информации

• Вероятные угрозы (угроза, ее вероятность и возможный ущерб)

• Применяемые меры защиты (организационные меры, средства защиты ОС, средства защиты, встроенные в ПО, специализированные средства защиты).