- •Введение
- •1.1. Понятийный аппарат в области обеспечения безопасности информации
- •1.2. Цели, задачи и принципы построения ксзи
- •1.3. О понятиях безопасности и защищенности
- •1.4. Разумная достаточность и экономическая эффективность
- •1.5. Управление безопасностью предприятия. Международные стандарты
- •1.6. Цели и задачи защиты информации в автоматизированных системах
- •1.7. Современное понимание методологии защиты информации
- •1.7.1. Особенности национального технического регулирования
- •1.7.2. Что понимается под безопасностью ит?
- •1.7.3. Документы пользователя
- •1.7.4. Требования к средствам обеспечения безопасности
- •2.1. Методологические основы организации ксзи
- •2.2. Разработка политики безопасности и регламента безопасности предприятия
- •2.3. Основные положения теории сложных систем
- •2.4. Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями
- •2.5. Требования, предъявляемые к ксзи
- •2.5.1. Требования к организационной и технической составляющим ксзи
- •2.5.2. Требования по безопасности, предъявляемые к изделиям ит
- •2.6. Этапы разработки ксзи
- •3.1. Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2. Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •3.3. Характер основной деятельности предприятия
- •3.4. Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5. Структура и территориальное расположение предприятия
- •3.6. Режим функционирования предприятия
- •3.7. Конструктивные особенности предприятия
- •3.8. Количественные и качественные показатели ресурсообеспечения
- •3.9. Степень автоматизации основных процедур обработки защищаемой информации
- •Глава 4
- •4.1. Классификация информации по видам тайны и степеням конфиденциальности
- •4.2. Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение задачи 1
- •4.2.2. Решение задачи 2
- •4.2.3. Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3. Методика определения состава защищаемой информации
- •4.4. Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5.1. Значение носителей защищаемой информации как объектов защиты
- •5.2. Методика выявления состава носителей защищаемой информации
- •5.3. Особенности взаимоотношений с контрагентами как объект защиты информации ограниченного доступа
- •5.4. Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.5. Особенности помещений как объектов защиты для работы по защите информации
- •5.6. Транспортные средства и особенности транспортировки
- •5.7. Состав средств обеспечения, подлежащих защите
- •6.1. Факторы, создающие угрозу информационной безопасности
- •6.2. Угрозы безопасности информации
- •6.3. Модели нарушителей безопасности ас
- •6.4. Подходы к оценке ущерба от нарушений иб
- •6.5. Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6. Реагирование на инциденты иб
- •6.7. Резервирование информации и отказоустойчивость
- •7.1. Технические каналы утечки информации, их классификация
- •7.2. Задачи ксзи по выявлению угроз и куи
- •7.3. Особенности защиты речевой информации
- •Глава 8
- •8.1. Методы и способы защиты информации
- •8.2. Классификация сзи нсд
- •8.3. Механизмы обеспечения безопасности информации
- •8.3.1. Идентификация и аутентификация
- •8.3.2. Разграничение доступа
- •8.3.3. Регистрация и аудит
- •8.3.4. Криптографическая подсистема
- •8.3.5. Межсетевое экранирование
- •8.4. Методика выявления нарушителей, тактики их действий и состава интересующей их информации
- •9.1. Особенности синтеза сзи ас от нсд
- •9.2. Методика синтеза сзи
- •9.2.1. Общее описание архитектуры ас, системы защиты информации и политики безопасности
- •9.2.2. Формализация описания архитектуры исследуемой ас
- •9.2.3. Формулирование требований к системе защиты информации
- •9.2.4. Выбор механизмов и средств защиты информации
- •9.2.5. Определение важности параметров средств защиты информации
- •9.3. Оптимальное построение системы защиты для ас
- •9.4. Выбор структуры сзи ас
- •9.5. Проектирование системы защиты информации для существующей ас
- •10.1. Содержание концепции построения ксзи
- •10.2. Объекты защиты
- •10.3. Цели и задачи обеспечения безопасности информации
- •10.4. Основные угрозы безопасности информации ас организации
- •10.5. Основные положения технической политики в области обеспечения безопасности информации ас организации
- •10.6. Основные принципы построения ксзи
- •10.7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- •10.8. Первоочередные мероприятия по обеспечению безопасности информации
- •11.1. Общая характеристика задач моделирования ксзи
- •11.2. Формальные модели безопасности и их анализ
- •11.2.1. Классификация формальных моделей безопасности
- •11.2.2. Модели обеспечения конфиденциальности
- •11.2.3. Модели обеспечения целостности
- •11.2.4. Субъектно-ориентированная модель
- •11.3. Прикладные модели защиты информации вАс
- •11.4. Формальное построение модели защиты: пример
- •11.4.1. Описание объекта защиты
- •11.4.2. Декомпозиция ас на субъекты и объекты
- •11.4.3. Модель безопасности: неформальное описание
- •11.4.4. Декомпозиция системы защиты информации
- •11.4.5. Противостояние угрозам. Реализация системы защиты информации субъекта ас субъектно-объектной модели
- •11.5. Формализация модели безопасности
- •11.5.1. Процедура создания пары субъект-объект, наделение их атрибутами безопасности
- •11.5.2. Осуществление доступа субъекта к объекту
- •11.5.3. Взаимодействие с внешними сетями
- •11.5.4. Удаление субъекта — объекта
- •12.1. Общее содержание работ по организации ксзи
- •12.2. Характеристика основных стадий создания ксзи
- •12.3. Назначение и структура технического задания (общие требования к содержанию)
- •12.4. Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •Глава 13
- •13.1. Специфика персонала предприятия как объекта защиты
- •13.2. Распределение функций по защите информации
- •13.2.1. Функции руководства предприятия
- •13.2.2. Функции службы защиты информации
- •13.2.3. Функции специальных комиссий
- •13.2.4. Обязанности пользователей защищаемой информации
- •13.3. Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4. Подбор и обучение персонала
- •14.1. Состав и значение материально-технического обеспечения функционирования ксзи
- •14.2. Перечень вопросов зи, требующих документационного закрепления
- •15.1. Понятие, сущность и цели управления ксзи
- •15.2. Принципы управления ксзи
- •15.3. Структура процессов управления
- •15.4. Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16.1. Понятие и задачи планирования функционирования ксзи
- •16.2. Способы и стадии планирования
- •16.3. Факторы, влияющие на выбор способов планирования
- •16.4. Основы подготовки и принятия решений при планировании
- •16.5. Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6. Организация выполнения планов
- •17.1. Виды контроля функционирования ксзи
- •17.2. Цель проведения контрольных мероприятий в ксзи
- •17.3. Анализ и использование результатов проведения контрольных мероприятий
- •18.1. Понятие и основные виды чрезвычайных ситуаций
- •18.2. Технология принятия решений в условиях чс
- •18.3. Факторы, влияющие на принятие решений в условиях чс
- •18.4. Подготовка мероприятий на случай возникновения чс
- •19.2. Оценочный подход
- •19.3. Требования рд свт и рд ас
- •19.4. Задание требований безопасности информации и оценка соответствия им согласно гост 15408—2002
- •19.5. Экспериментальный подход
- •Глава 20
- •20.1. Показатель уровня защищенности, основанный на экспертных оценках
- •20.2. Методы проведения экспертного опроса
- •20.3. Экономический подход к оценке эффективности ксзи
- •20.3.1. Определение размеров ущерба с использованием моделей «осведомленность — эффективность»
- •20.3.2. Определение размеров ущерба с использованием экспертных оценок
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
1.2. Цели, задачи и принципы построения ксзи
К настоящему времени в ведущих странах мира сложилась достаточно четко очерченная система концептуальных взглядов на проблемы обеспечения информационной безопасности. Тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Понимая это, большинство руководителей предприятий и организаций принимают меры по защите важной для них информации.
Для решения задач защиты информации на предприятии создается комплексная система защиты информации (КСЗИ). Имеются работы, в которых термин КСЗИ понимается в «узком» смысле, т.е. как система защиты информации от несанкционированного доступа в автоматизированных системах (АС). В настоящей книге принято «широкое» понимание КСЗИ как системы обеспечения безопасности предприятия в целом. Вместе с гем защита информации в АС является важнейшей составной ча-uiiio КСЗИ, поскольку подавляющая часть информационных ресурсов присутствует в электронном виде. Поэтому в некоторых главах книги речь идет именно об обеспечении безопасности информации в автоматизированных системах КСЗИ предприятия есть совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации предприятия [42].
Главной целью КСЗИ является обеспечение непрерывности бизнеса; устойчивого функционирования коммерческого предприятия и предотвращения угроз его безопасности.
КСЗИ направлена:
• на защиту законных интересов организации от противоправных посягательств;
• охрану жизни и здоровья персонала;
• недопущение: 1) хищения финансовых и материально-технических средств; 2) уничтожения имущества и ценностей; разглашения, утечки и несанкционированного доступа к служебной информации; 4) нарушения работы технических средств обеспечения производственной деятельности, включая информационные технологии.
Исходя из целей КСЗИ, можно определить стоящие перед ней залачи. К ним относятся:
• прогнозирование, своевременное выявление и устранение угроз безопасности персоналу и ресурсам коммерческого предприятия, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
• отнесение информации к категории ограниченного доступа (служебной и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использо-иания), а других ресурсов — к различным уровням уязвимости (опасности), подлежащих сохранению;
• создание механизма и условий оперативного реагирования на /грозы безопасности проявления негативных тенденций в функционировании предприятия;
• эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
• создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности предприятия.
Обеспечение безопасности предприятия должно основываться на следующих основных принципах: системности; комплексности; своевременности; непрерывности защиты; разумной достаточности; гибкости; специализации; взаимодействия и координации — должно осуществляться планирование; совершенствования; централизации и управления (процесс управления всегда централизован); активности; экономической эффективности; простоты применяемых защитных мер и средств.
Раскроем некоторые принципы построения КСЗИ подробнее.
Принцип системности требует применения системного подхода в качестве методологической базы при анализе и синтезе комплексной системы защиты информации. Основная цель системного подхода — формализация вербальных описаний и составление алгоритма деятельности. Суть его заключается в том, что при оценке эффективности мероприятий безопасности не ограничиваются рассмотрением только самой системы, но и учитывают влияния на нее внешних факторов. Применение системного подхода при разработке технологий управления безопасностью позволяет реализовать синергетический эффект, являющийся результатом упорядочения организационных структур управления, взаимодействия, кооперации и интеграции с другими подсистемами анализируемой системы, устранения ненужных процедур, а в итоге — результатом достижения равновесного состояния функционирования системы.
Системный подход к построению КСЗИ предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности предприятия.
При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места предприятия, а также характер, возможные объекты и направления атак на КСЗИ со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
Принцип комплексности предполагает, что система защиты предприятия должна включать совокупность объектов защиты, сил и средств, принимаемых мер, проводимых мероприятий и действий по обеспечению безопасности персонала, материальных и финансовых средств от возможных угроз всеми доступными законными средствами, методами и мероприятиями. Принцип комилексности позволяет оценить в целом главные вопросы защиты: что защищается, кто защищает и как защищается? В распоряжении специалистов по безопасности имеется широкий спектр мер, методов и средств защиты. Комплексность системы защиты информации достигается охватом всех возможных угроз и согласованием между собой разнородных методов и средств, обеспечивающих защиту всех элементов предприятия.
Защита должна строиться эшелонированно. Внешняя защита обеспечивается физическими средствами, организационными мерами и правовыми мерами. Прикладной уровень защиты, учиты-иающий особенности предметной области, образует внутренний рубеж обороны. Так, одной из наиболее укрепленных линий обороны должны быть средства защиты в автоматизированных системах.
Принцип своевременности означает, что меры защиты не должны «запаздывать». Например, бесполезно выводить охранную сигнализацию на пульт дежурного, который сможет прибыть в случае тревоги на объект охраны лишь спустя полчаса.
Принцип непрерывности: в настоящее время общепринятым является процессный подход к обеспечению безопасности информации. Защита информации — это не совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла систем предприятия, начиная с самых ранних стадий проектирования, а не только на этапе их эксплуатации.
Во многих зарубежных стандартах зафиксирована циклическая схема процесса обеспечения безопасности информации PDCA (Plan-Do-Check-Act). Кроме того, принцип непрерывности подчеркивает недопустимость перерывов в работе средств защиты, устанавливая повышенные требования к их надежности.
Принцип разумной достаточности учитывает тот факт, что создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту, поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Часто приходится создавать систему защиты в условиях большой неопределенности, поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровня защищенности средства защиты должны обладать определенной гибкостью. Особенно важно это свойство в тех случаях, когда средства зашиты необходимо устанавливать на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Принцип простоты применения состоит в том, что механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не следует требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).
Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы безопасности, подготовка пользователей средств вычислительной техники и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.