- •Введение
- •1. Сущность и задачи комплексной защиты информации
- •1.1 Понятийный аппарат в области обеспечения безопасности информации
- •1.2 Цели, задачи и принципы построения ксзи
- •1.3 О понятиях безопасности и защищенности
- •1.4 Разумная достаточность и экономическая эффективность
- •1.5 Управление безопасностью предприятия. Международные стандарты
- •1.6 Цели и задачи защиты информации в автоматизированных системах
- •1.7 Современное понимание методологии защиты информации
- •1.7.1 Особенности национального технического регулирования
- •1.7.2 Что понимается под безопасностью ит
- •1.7.3 Документы пользователя
- •1.7.4 Требования к средствам обеспечения безопасности
- •2. Принципы организации и этапы разработки ксзи
- •2.1 Методологические основы организации ксзи
- •2.2 Разработка политики безопасности и регламента безопасности предприятия
- •2.3 Основные положения теории сложных систем
- •2.4 Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями
- •2.5 Требования, предъявляемые к ксзи
- •2.5.1 Требования к организационной и технической составляющим ксзи
- •2.5.2 Требования по безопасности, предъявляемые к изделиям ит
- •2.5.2.1. Порядок задания требований
- •2.5.2.2. Разработка изделия ит
- •2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ит при эксплуатации
- •2.5.2.4 Подтверждение соответствия изделий ит требованиям безопасности информации
- •2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия
- •2.6 Этапы разработки ксзи
- •3. Факторы, влияющие на организацию ксзи
- •3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •Юридические лица, являющиеся коммерческими организациями
- •3.3 Характер основной деятельности предприятия
- •3.4 Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5 Структура и территориальное расположение предприятия
- •3.6 Режим функционирования предприятия
- •3.7 Конструктивные особенности предприятия
- •3.8 Количественные и качественные показатели ресурсообеспечения
- •3.9 Степень автоматизации основных процедур обработки защищаемой информации
- •4. Определение и нормативное закрепление состава защищаемой информации
- •4.1 Классификация информации по видам тайны и степеням конфиденциальности
- •4.2 Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение Задачи 1
- •4.2.2 Решение задачи 2
- •4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3 Методика определения состава защищаемой информации
- •4.4 Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5. Определение объектов защиты
- •5.1 Значение носителей защищаемой информации, как объектов защиты
- •5.2 Методика выявления состава носителей защищаемой информации
- •5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа
- •5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты
- •Основные принципы оборудования сигнализацией
- •5.7 Транспортные средства и особенности транспортировки
- •5.8 Состав средств обеспечения, подлежащих защите
- •6. Дестабилизирующие воздействия на информацию и их нейтрализация
- •6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз
- •6.2 Угрозы безопасности информации
- •6.3 Модели нарушителей безопасности ас
- •6.4 Подходы к оценке ущерба от нарушений иб
- •6.5 Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6 Реагирование на инциденты иб
- •6.7 Резервирование информации и отказоустойчивость
- •7. Определение потенциальных каналов и методов несанкционированного доступа к информации
- •7.1 Технические каналы утечки информации, их классификация
- •7.2 Задачи ксзи по выявлению угроз и куи
- •7.3 Особенности защиты речевой информации
- •7.4 Особенности защиты компьютерной информации от утечки по каналам пэмин
- •8. Определение возможностей несанкционированного доступа к защищаемой информации
- •8.1 Методы и способы защиты информации
- •8.2 Классификация сзи нсд
- •8.3 Механизмы обеспечения безопасности информации
- •8.3.1. Идентификация и аутентификация
- •8.2.2. Разграничение доступа
- •8.2.3. Регистрация и аудит
- •8.2.4. Криптографическая подсистема
- •8.2.5. Межсетевое экранирование
- •8.3 Методика выявления нарушителей, тактики их действий и состава интересующей их информации
- •9.1 Особенности синтеза сзи ас от нсд
- •9.2 Методика синтеза сзи
- •9.2.1 Общее описание архитектуры ас, системы защиты информации и политики безопасности
- •9.2.2 Формализация описания архитектуры исследуемой ас
- •9.2.3 Формулирование требований к системе защиты информации
- •9.2.4 Выбор механизмов и средств защиты информации
- •9.2.5 Определение важности параметров средств защиты информации
- •9.3 Оптимальное построение системы защиты для ас
- •9.4 Выбор структуры сзи ас
- •9.5 Проектирование системы защиты информации для существующей ас
- •10. Определение условий функционирования ксзи
- •10.1 Содержание Концепции построения ксзи
- •10.2 Объекты защиты
- •10.3 Цели и задачи обеспечения безопасности информации
- •10.4 Основные угрозы безопасности информации ас организации
- •10.5 Основные положения технической политики в области обеспечения безопасности информации ас организации
- •10.6 Основные принципы построения ксзи
- •10.7 Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- •10.8 Первоочередные мероприятия по обеспечению безопасности информации ас организации
- •11. Разработка модели ксзи
- •11.1 Общая характеристика задач моделирования ксзи
- •11.2 Формальные модели безопасности и их анализ
- •11.2.1 Классификация формальных моделей безопасности
- •11.2.2 Модели обеспечения конфиденциальности
- •11.2.3 Модели обеспечения целостности
- •11.2.4 Субъектно-ориентированная модель
- •11.3 Прикладные модели защиты информации в ас
- •11.4 Формальное построение модели защиты: пример
- •11.4.1 Описание объекта защиты
- •11.4.2 Декомпозиция ас на субъекты и объекты
- •11.4.3 Модель безопасности: неформальное описание
- •11.4.3.1 Неформальное описание правил разграничений доступа
- •11.4.3.2 Идентификация активов и определение их ценности
- •11.4.3.3 Некоторые особенности определения правил разграничения доступа
- •11.4.4 Декомпозиция системы защиты информации
- •11.4.5 Противостояние угрозам. Реализация системы защиты информации субъекта ас субъектно-объектной модели
- •11.5 Формализация модели безопасности
- •11.5.1 Процедура создания пары субъект-объект, наделение их атрибутами безопасности
- •11.5.2 Осуществление доступа субъекта к объекту
- •11.5.3 Взаимодействие с внешними сетями
- •11.5.4 Удаление субъекта-объекта
- •12. Технологическое и организационное построение ксзи
- •12.1 Общее содержание работ по организации ксзи
- •Раздел 1. Характеристика предприятия, как объекта защиты.
- •Раздел 2. Цели ксзи формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
- •Раздел 3. Типовые задачи ксзи:
- •Раздел 4. Принципы создания и функционирования ксзи (типовые):
- •Раздел 5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
- •Раздел 6. Организация защиты информации на предприятии:
- •12.2 Характеристика основных стадий создания ксзи Организационное направление работ по созданию ксзи
- •Техническое направление работ по созданию ксзи
- •12.3 Назначение и структура технического задания (общие требования к содержанию)
- •12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •13 Кадровое обеспечение функционирования комплексной системы защиты информации
- •13.1 Специфика персонала предприятия как объекта защиты
- •13.2 Распределение функций по защите информации
- •13.2.1 Функции руководства предприятия
- •13.2.2 Функции службы защиты информации
- •13.2.3 Функции специальных комиссий
- •13.2.4 Обязанности пользователей защищаемой информации
- •13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4 Подбор и обучение персонала
- •14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации
- •14.1 Значение материально-технического обеспечения функционирования ксзи, его состав
- •Перечень вопросов зи, требующих документационного закрепления
- •15. Назначение, структура и содержание управления ксзи
- •15.1 Понятие, сущность и цели управления ксзи
- •15.2 Принципы управления ксзи
- •15.3 Структура процессов управления
- •15.4 Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16. Принципы и методы планирования функционирования ксзи
- •16.1 Понятие и задачи планирования функционирования ксзи
- •16.2 Способы и стадии планирования
- •16.3 Факторы, влияющие на выбор способов планирования
- •16.4 Основы подготовки и принятия решений при планировании
- •16.5 Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6 Организация выполнения планов
- •17 Сущность и содержание контроля функционирования комплексной системы защиты информации
- •17.1 Виды контроля функционирования ксзи
- •17.2 Цель проведения контрольных мероприятий в ксзи
- •17.3 Анализ и использование результатов проведения контрольных мероприятий
- •18. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций
- •18.1 Понятие и основные виды чрезвычайных ситуаций
- •18.2 Технология принятия решений в условиях чс
- •18.3 Факторы, влияющие на принятие решений в условиях чс
- •18.4 Подготовка мероприятий на случай возникновения чс
- •19. Общая характеристика подходов к оценке эффективности ксзи
- •19.1 Вероятностный подход
- •19.2.Оценочный подход
- •19.3 Требования рд свт и рд ас
- •19.4 Задание требований безопасности информации и оценка соответствия им согласно гост 15408-2002
- •19.5. Экспериментальный подход
- •20. Методы и модели оценки эффективности ксзи
- •20.1 Показатель уровня защищенности, основанный на экспертных оценках
- •20.2. Методы проведения экспертного опроса
- •20.3. Экономический подход к оценке эффективности ксзи
- •20.3.1. Определение размеров ущерба с использованием моделей «осведомленность – эффективность»
- •20.3.2. Определение размеров ущерба с использованием экспертных оценок
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
- •Литература
15. Назначение, структура и содержание управления ксзи
15.1 Понятие, сущность и цели управления ксзи
Теория и практика обеспечения эффективности функционирования сложных организованных систем, к которым вне всяких сомнений относится и КСЗИ, немыслимы без применения современных технологий управления.
Существует ряд определений управления (как процесса).
Управление – элемент, функция организованных систем различной природы (биологических, социальных, технических), обеспечивающая сохранение их определенной структуры, поддержание режима деятельности, реализацию программы, целей деятельности.
Управление – процесс осуществления информационных воздействий на объекты управления для формирования их целенаправленного поведения.
Существуют и другие определения, зависящие от того, в какой сфере осуществляется управление. Вместе с тем, где бы ни протекали процессы управления – при управлении КСЗИ, в управляющих устройствах автоматических систем, в нервной системе человека, в экономических и других структурах общества, они подчиняются единым законам. Эти наиболее общие законы управления системами различной природы изучает наука об управлении – кибернетика.
С позиций кибернетики управление определяется как функция системы управления, обеспечивающая организацию целенаправленной деятельности управляемой системы.
Таким образом, смысл и цель управления в КСЗИ состоит в таких изменениях организационной структуры сил и средств ЗИ, их состояния, методов и способов применения, которые обеспечивают максимальную эффективность их применения для достижения целей защиты информации.
Необходимо отметить, что управление возможно не во всех системах (подсистемах), а только в тех, которым присущ ряд свойств:
в сохранении системы как целого решающая роль принадлежит информационным связям. Без обмена информацией между составляющими элементами такие системы не могут функционировать. При этом ослабление или потеря информационных связей между элементами системы неизбежно приводит к разрушению всех других связей и, как следствие, к распаду (разрушению) самой системы;
система способна переходить в различные состояния в соответствии с управляющими (информационными) воздействиями;
существует несколько допустимых линий поведения системы, из которых орган управления выбирает наиболее предпочтительную по тем или иным критериям. Если же возможности выбора лучшей линии поведения нет, то управление теряет смысл, т.е. фактически отсутствует;
процесс функционирования системы отличается целенаправленностью. Если цель не определена (или неизвестна), то, естественно, управление становится бессмысленным;
система открыта для внешнего воздействия, т.е. влияние внешних воздействий может иметь самые различные природу и последствия.
Системы, обладающие перечисленными особенностями, называются системами с управлением. К таким системам относится и система управления КСЗИ (СУ КСЗИ).
СУ КСЗИ имеют ряд особенностей:
они предназначены для функционирования в конфликтных ситуациях, так как ЗИ представляет собой сложный двусторонний процесс (СУ КСЗИ «злоумышленник»). СУ КСЗИ может подвергаться различным видам воздействия со стороны злоумышленника (взлом, несанкционированный доступ, уничтожение информации и т.п.), что, как правило, приводит к нарушению функционирования как составляющих систему элементов, так и системы в целом;
информация, на основе которой вырабатываются управляющие воздействия (производится выбор средств, методов и способов ЗИ), отличается значительной неполнотой, недостоверностью и противоречивостью. Злоумышленник постоянно изменяет средства и методы воздействия на систему.
Сущность управления КСЗИ заключается в целенаправленной деятельности руководства предприятия, должностных лиц и службы ЗИ, направленной на достижение целей защиты информации.
Что же это за цели?
Статьей 16 Закона Российской Федерации «Об информации, информационных технологиях и защите информации» определены следующие цели защиты информации:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
При этом требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3.
Исходя из положений закона, управление КСЗИ предназначено для обеспечения эффективного решения следующих задач:
1) предотвращения несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременного обнаружения фактов несанкционированного доступа к информации;
3) предупреждения возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущения воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянного контроля за обеспечением уровня защищенности информации.
Достижение основных целей ЗИ связано с решением целого круга задач, составляющих содержание управления КСЗИ. Основными из них являются:
непрерывное добывание, сбор, изучение и анализ данных обстановки;
поддержание системы в постоянной готовности к выполнению задач ЗИ;
принятие решений по ЗИ;
доведение задач до подчиненных;
планирование мероприятий ЗИ;
организация и поддержание взаимодействия структурных подразделений предприятия;
всестороннее обеспечение мероприятий ЗИ;
организация управления, под которой понимается создание системы управления, обеспечение ее эффективного функционирования (в том числе и защита системы управления от всех видов воздействия злоумышленника), а также совершенствование этой системы с применением, прежде всего, новых информационных технологий;
управление подготовкой подразделений ЗИ;
организация и осуществление контроля и помощи подчиненным.
Необходимо отметить, что среди указанных задач особое место занимает принятие решения, которое является центральным моментом, ядром управления. Согласно теории управления принятие решения в системах управления является прерогативой человека (руководителя).
Суть принятия решения состоит в том, что руководитель (начальник) должен творчески и ответственно определить:
замысел ЗИ;
задачи подразделениям и подчиненным;
основные вопросы взаимодействия и обеспечения;
организацию управления.
Следует подчеркнуть особую роль руководителя, которую он играет при принятии решения. В современных условиях принятие решения всегда осуществляется в условиях жесткого дефицита времени, нехватки исходной информации, а также в условиях ведения информационной войны. Чтобы комплексно решать все задачи управления необходимо создать стройную систему управления, на научной основе организовать работу подчиненных, а также важно применять современные методы и средства управленческой работы, основанные на широком использовании новых информационных и сетевых технологий.
При принятии решения руководитель должен учитывать объективные законы управления, которые выражают наиболее существенные связи и отношения различных сторон управления между собой и с внешней средой:
зависимость организационных форм и методов управления КСЗИ от структуры предприятия, материально-технической базы и условий управления;
единство организационно-методологических основ на всех уровнях управления КСЗИ;
сохранение пропорциональности и оптимального соотношения всех элементов системы управления;
совместимость систем и средств управления подчиненных предприятию организаций, а также взаимодействующих организаций;
единство и соподчиненность критериев эффективности, используемых при управлении КСЗИ;
соответствие потребного и располагаемого времени при решении задач управления;
зависимость эффективности решения задач управления от объема используемой информации и т.д.