- •Введение
- •1.1. Понятийный аппарат в области обеспечения безопасности информации
- •1.2. Цели, задачи и принципы построения ксзи
- •1.3. О понятиях безопасности и защищенности
- •1.4. Разумная достаточность и экономическая эффективность
- •1.5. Управление безопасностью предприятия. Международные стандарты
- •1.6. Цели и задачи защиты информации в автоматизированных системах
- •1.7. Современное понимание методологии защиты информации
- •1.7.1. Особенности национального технического регулирования
- •1.7.2. Что понимается под безопасностью ит?
- •1.7.3. Документы пользователя
- •1.7.4. Требования к средствам обеспечения безопасности
- •2.1. Методологические основы организации ксзи
- •2.2. Разработка политики безопасности и регламента безопасности предприятия
- •2.3. Основные положения теории сложных систем
- •2.4. Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями
- •2.5. Требования, предъявляемые к ксзи
- •2.5.1. Требования к организационной и технической составляющим ксзи
- •2.5.2. Требования по безопасности, предъявляемые к изделиям ит
- •2.6. Этапы разработки ксзи
- •3.1. Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2. Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •3.3. Характер основной деятельности предприятия
- •3.4. Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5. Структура и территориальное расположение предприятия
- •3.6. Режим функционирования предприятия
- •3.7. Конструктивные особенности предприятия
- •3.8. Количественные и качественные показатели ресурсообеспечения
- •3.9. Степень автоматизации основных процедур обработки защищаемой информации
- •Глава 4
- •4.1. Классификация информации по видам тайны и степеням конфиденциальности
- •4.2. Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение задачи 1
- •4.2.2. Решение задачи 2
- •4.2.3. Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3. Методика определения состава защищаемой информации
- •4.4. Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5.1. Значение носителей защищаемой информации как объектов защиты
- •5.2. Методика выявления состава носителей защищаемой информации
- •5.3. Особенности взаимоотношений с контрагентами как объект защиты информации ограниченного доступа
- •5.4. Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.5. Особенности помещений как объектов защиты для работы по защите информации
- •5.6. Транспортные средства и особенности транспортировки
- •5.7. Состав средств обеспечения, подлежащих защите
- •6.1. Факторы, создающие угрозу информационной безопасности
- •6.2. Угрозы безопасности информации
- •6.3. Модели нарушителей безопасности ас
- •6.4. Подходы к оценке ущерба от нарушений иб
- •6.5. Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6. Реагирование на инциденты иб
- •6.7. Резервирование информации и отказоустойчивость
- •7.1. Технические каналы утечки информации, их классификация
- •7.2. Задачи ксзи по выявлению угроз и куи
- •7.3. Особенности защиты речевой информации
- •Глава 8
- •8.1. Методы и способы защиты информации
- •8.2. Классификация сзи нсд
- •8.3. Механизмы обеспечения безопасности информации
- •8.3.1. Идентификация и аутентификация
- •8.3.2. Разграничение доступа
- •8.3.3. Регистрация и аудит
- •8.3.4. Криптографическая подсистема
- •8.3.5. Межсетевое экранирование
- •8.4. Методика выявления нарушителей, тактики их действий и состава интересующей их информации
- •9.1. Особенности синтеза сзи ас от нсд
- •9.2. Методика синтеза сзи
- •9.2.1. Общее описание архитектуры ас, системы защиты информации и политики безопасности
- •9.2.2. Формализация описания архитектуры исследуемой ас
- •9.2.3. Формулирование требований к системе защиты информации
- •9.2.4. Выбор механизмов и средств защиты информации
- •9.2.5. Определение важности параметров средств защиты информации
- •9.3. Оптимальное построение системы защиты для ас
- •9.4. Выбор структуры сзи ас
- •9.5. Проектирование системы защиты информации для существующей ас
- •10.1. Содержание концепции построения ксзи
- •10.2. Объекты защиты
- •10.3. Цели и задачи обеспечения безопасности информации
- •10.4. Основные угрозы безопасности информации ас организации
- •10.5. Основные положения технической политики в области обеспечения безопасности информации ас организации
- •10.6. Основные принципы построения ксзи
- •10.7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- •10.8. Первоочередные мероприятия по обеспечению безопасности информации
- •11.1. Общая характеристика задач моделирования ксзи
- •11.2. Формальные модели безопасности и их анализ
- •11.2.1. Классификация формальных моделей безопасности
- •11.2.2. Модели обеспечения конфиденциальности
- •11.2.3. Модели обеспечения целостности
- •11.2.4. Субъектно-ориентированная модель
- •11.3. Прикладные модели защиты информации вАс
- •11.4. Формальное построение модели защиты: пример
- •11.4.1. Описание объекта защиты
- •11.4.2. Декомпозиция ас на субъекты и объекты
- •11.4.3. Модель безопасности: неформальное описание
- •11.4.4. Декомпозиция системы защиты информации
- •11.4.5. Противостояние угрозам. Реализация системы защиты информации субъекта ас субъектно-объектной модели
- •11.5. Формализация модели безопасности
- •11.5.1. Процедура создания пары субъект-объект, наделение их атрибутами безопасности
- •11.5.2. Осуществление доступа субъекта к объекту
- •11.5.3. Взаимодействие с внешними сетями
- •11.5.4. Удаление субъекта — объекта
- •12.1. Общее содержание работ по организации ксзи
- •12.2. Характеристика основных стадий создания ксзи
- •12.3. Назначение и структура технического задания (общие требования к содержанию)
- •12.4. Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •Глава 13
- •13.1. Специфика персонала предприятия как объекта защиты
- •13.2. Распределение функций по защите информации
- •13.2.1. Функции руководства предприятия
- •13.2.2. Функции службы защиты информации
- •13.2.3. Функции специальных комиссий
- •13.2.4. Обязанности пользователей защищаемой информации
- •13.3. Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4. Подбор и обучение персонала
- •14.1. Состав и значение материально-технического обеспечения функционирования ксзи
- •14.2. Перечень вопросов зи, требующих документационного закрепления
- •15.1. Понятие, сущность и цели управления ксзи
- •15.2. Принципы управления ксзи
- •15.3. Структура процессов управления
- •15.4. Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16.1. Понятие и задачи планирования функционирования ксзи
- •16.2. Способы и стадии планирования
- •16.3. Факторы, влияющие на выбор способов планирования
- •16.4. Основы подготовки и принятия решений при планировании
- •16.5. Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6. Организация выполнения планов
- •17.1. Виды контроля функционирования ксзи
- •17.2. Цель проведения контрольных мероприятий в ксзи
- •17.3. Анализ и использование результатов проведения контрольных мероприятий
- •18.1. Понятие и основные виды чрезвычайных ситуаций
- •18.2. Технология принятия решений в условиях чс
- •18.3. Факторы, влияющие на принятие решений в условиях чс
- •18.4. Подготовка мероприятий на случай возникновения чс
- •19.2. Оценочный подход
- •19.3. Требования рд свт и рд ас
- •19.4. Задание требований безопасности информации и оценка соответствия им согласно гост 15408—2002
- •19.5. Экспериментальный подход
- •Глава 20
- •20.1. Показатель уровня защищенности, основанный на экспертных оценках
- •20.2. Методы проведения экспертного опроса
- •20.3. Экономический подход к оценке эффективности ксзи
- •20.3.1. Определение размеров ущерба с использованием моделей «осведомленность — эффективность»
- •20.3.2. Определение размеров ущерба с использованием экспертных оценок
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
7.2. Задачи ксзи по выявлению угроз и куи
Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации — на руководителей подразделений по защите информации (служб безопасности) учреждения (предприятия) [40].
На предприятии должны быть определены подразделения (или шлельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работе использованием конфиденциальной информации.
Разработка и внедрение СЗИ осуществляются во взаимодействии разработчика со службой безопасности предприятия-заказчика, которая осуществляет методическое руководство и участвует: в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, со-i часовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объек-юн информатизации.
Организация работ по созданию и эксплуатации объектов ин-1 форматизации и их СЗИ определяется в разрабатываемом на предприятии «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведения работ по! зашите информации» и должна предусматривать:
• порядок определения защищаемой информации;
. порядок привлечения подразделений предприятия, специач лизированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информати! зации;
• порядок взаимодействия всех занятых в этой работе органи-J заций, подразделений и специалистов;
• порядок разработки, ввода в действие и эксплуатацию объек! тов информатизации;
• ответственность должностных лиц за своевременность и ка4 чество формирования требований по технической защите инфор! мации, за качество и научно-технический уровень разработки СЗИ1
Устанавливаются следующие стадии создания системы защити информации:
• предпроектная стадия, включающая предпроектное обследон вание объекта информатизации, разработку аналитического обо! снования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
• стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в состав объекта информатизации;
• стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации. На предпроектной стадии по обследованию объекта информатизации:
• устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
• определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
. определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;
• определяются условия расположения объектов информатизации относительно границ КЗ;
• определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент физические, функциональные и технологические связи как внуж
152
|ш этих систем, так и с другими системами различного уровня и назначения;
• определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, \с;гавия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
• определяются режимы обработки информации в АС в целом и в отдельных компонентах;
• определяется класс защищенности АС;
• определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодей-г гния между собой и со службой безопасности;
• определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.
По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.
На основе действующих нормативных правовых актов и мето-шческих документов по защите конфиденциальной информации с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.
Предпроектное обследование в части определения защищаемой информации должно базироваться на документально оформленных перечнях сведений конфиденциального характера. Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и оформляется за подписью соответствующего руководителя.
Предпроектное обследование может быть поручено специали-шрованному предприятию, имеющему соответствующую лицен-шю. но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия. Ознакомление специалистов мого предприятия с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке.
Аналитическое обоснование необходимости создания СЗИ должно содержать:
• информационную характеристику и организационную структуру объекта информатизации;
• характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, кинологического процесса обработки информации;
• возможные каналы утечки информации и перечень меропри-мгий по их устранению и ограничению;
• перечень предлагаемых к использованию сертифицирован^ ных средств зашиты информации;
• обоснование необходимости привлечения специализирован^ ных организаций, имеющих необходимые лицензии на право про! ведения работ по защите информации;
• оценку материальных, трудовых и финансовых затрат на рай работку и внедрение СЗИ;
• ориентировочные сроки разработки и внедрения СЗИ;
• перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизация
Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конем руктором (должностным лицом, обеспечивающим научно-техни! ческое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем пред| приятия-заказчика, -к- Техническое (частное техническое) задание на разработку СЗ!
должно содержать:
• обоснование разработки;
• исходные данные создаваемого (модернизируемого) объек информатизации в техническом, программном, информационно и организационном аспектах;
• класс защищенности АС;
• ссылку на нормативные документы, с учетом которых буд разрабатываться СЗИ и приниматься в эксплуатацию объект и; форматизации;
• конкретизацию требований к СЗИ на основе действующ нормативно-методических документов и установленного клас защищенности АС;
• перечень предполагаемых к использованию сертифицирова ных средств защиты информации;
• обоснование проведения разработок собственных средств щиты информации, невозможности или нецелесообразности и пользования имеющихся на рынке сертифицированных среде защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения;
• перечень подрядных организаций-исполнителей видов рабо
• перечень предъявляемой заказчику научно-технической продукции и документации.
Техническое (частное техническое) задание на разработку СЗ подписывается разработчиком, согласовывается со службой бе-опасности предприятия-заказчика, подрядными организациями утверждается заказчиком.
В целях дифференцированного подхода к защите информации производится классификация АС по требованиям защищенности от НСД к информации. Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями руководящего документа |1'Д) Гостехкомиссии России «Автоматизированные системы. liiiuiiTa от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» оформляются актом.
Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из кри-1гриев, на основании которых он был установлен.
На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и мланных заказчиком ограничений на финансовые, материальные, Трудовые и временные ресурсы осуществляются следующие мероприятия:
• разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;
• разработка раздела технического проекта на объект информатизации в части защиты информации;
• строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и мон-1ижом технических средств и систем;
• разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
• закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;
• закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств зашиты информации и их установка;
• разработка (доработка) или закупка и последующая сертифи-■Пия по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутству-н>| требуемые сертифицированные программные средства;
• организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к К'чническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
• разработка и реализация разрешительной системы доступа Пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;
155
• определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер зашиты информации, обучение назначенных лиц специфике работ по зашите информации на стадии эксплуатации объекта информатизации;
• выполнение генерации пакета прикладных программ в комплексе с программными средствами зашиты информации;
• разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по зашите информации (приказов, инструкций и других документов);
• выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.
Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической зашите информации и утверждается заказчиком.
Мероприятия по зашите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с ними.
На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проект и эксплуатационная документация СЗИ:
. пояснительная записка с изложением решений по комплексу! организационных мер и программно-техническим (в том числ! криптографическим) средствам обеспечения безопасности инфорЛ мации, состава средств защиты информации с указанием их соот! ветствия требованиям ТЗ;
• описание технического, программного, информационном обеспечения и технологии обработки (передачи) информации; 1
• план организационно-технических мероприятий по подго«| товке объекта информатизации к внедрению средств и мер защн ты информации;
• технический паспорт объекта информатизации;
• инструкции и руководства по эксплуатации технических I программных средств защиты для пользователей, администраторе системы, а также для работников службы защиты информации. I
На стадии ввода в действие объекта информатизации и СЗИ осуществляются:
• опытная эксплуатация средств зашиты информации в коми лексе с другими техническими и программными средствами в цо| лях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (пм редачи) информации;
156
• приемо-сдаточные испытания средств зашиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
• аттестация объекта информатизации по требованиям безопасности информации.
На этой стадии оформляются:
• акты внедрения средств зашиты информации по результатам их приемо-сдаточных испытаний;
• предъявительский акт к проведению аттестационных испытаний;
• заключение по результатам аттестационных испытаний.
При положительных результатах аттестации на объект информатизации оформляется аттестат соответствия требованиям по безопасности информации.
Кроме указанной документации в учреждении (на предприятии) оформляются приказы, указания и решения:
• о проектировании объекта информатизации, создании соответствующих подразделений разработки и назначении ответственных исполнителей;
• о формировании группы обследования и назначении ее руководителя;
• о заключении соответствующих договоров на проведение работ;
• о назначении лиц, ответственных за эксплуатацию объекта информатизации;
• о начале обработки в АС (обсуждения в защищаемом помещении) конфиденциальной информации.
В целях своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предот-нращения специальных программно-технических воздействий, нызываюших нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии), проводится периодический (не реже одного раза в год) контроль состояния зашиты информации. Контроль осуществляется службой безопасности учреждения (предприятия), а также отрасле-мыми и федеральными органами контроля (для информации, режим зашиты которой определяет государство) и заключается в оценке:
• соблюдения нормативных и методических документов Гос-|ехкомиссии России;
• работоспособности применяемых средств защиты информации в соответствии с их эксплутационной документацией;
• знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.
157L/l
Таблица 7.2. Основные методы и средства получения и защиты информации |
|
|
||||||||
Типовая ситуация |
Канал утечки информации |
Методы и |
средства |
|
||||||
получения информации |
зашиты |
|
||||||||
Разговор в помещении и на улице |
Акустический |
Подслушивание: диктофон, микрофон, полуактивная система |
Шумовые генераторы, поиск закладных устройств, защитные фильтры, ограничение доступа |
|
||||||
Виброакустический |
Стетоскоп, вибродатчик |
|
|
|
||||||
Гидроакустический |
Гидроакустический датчик |
|
||||||||
Акустоэлектронный |
Специальные радиоприемники |
|
||||||||
Разговор по телефону: проводному радиотелефону |
Акустический |
Подслушивание (диктофон, микрофон, полуактивная система) |
Тоже |
|
||||||
Сигнал в линии |
Параллельный телефон, прямое подключение, электромагнитный датчик, диктофон, телефонная закладка |
Маскирование, скремблирование, шифрование, спецтехника |
|
|||||||
Наводки |
Специальные радиотехнические устройства |
Спецтехника |
|
|||||||
ВЧ-сигнал |
Радиоприемники |
Маскирование, скремблирование, шифрование, спецтехника |
|
|||||||
Документ на бумажном носителе: изготовление |
Непосредственно документ |
Кража, прочтение, копирование, фотографирование |
Ограничение доступа, спецтехника |
|
||||||
Продавливание ленты или бумаги |
Кража, прочтение |
Оргтехмероприятия |
|
|||||||
почтовое отправление |
Акустический шум принтера |
Аппаратура акустического контроля |
Устройства шумоподавления |
|
||||||
Паразитные сигналы, наводки |
Специальные радиотехнические устройства |
Экранирование |
|
|||||||
Непосредственно документ |
Кража, прочтение |
Специальные методы |
|
|||||||
Документ на небумажном носителе: изготовление передача документа по каналам связи |
Носитель |
Хищение, копирование, считывание |
Контроль доступа, физическая защита, криптозащита |
|
||||||
Изображение на дисплее |
Визуальный, копирование, фотографирование |
Контроль доступа, физическая защита, криптозащита |
|
|||||||
Паразитные сигналы, наводки |
Специальные радиотехнические устройства |
Контроль доступ поиск закладок, |
а, криптозащита, экранирование |
|
||||||
Электрический сигнал |
Аппаратные закладки |
|
||||||||
Программный продукт |
Программные закладки |
|
||||||||
Электрические и оптические сигналы |
Несанкционированное подключение, имитация зарегистрированного пользователя |
Криптозащита |
|
|||||||
Производственный процесс |
Отходы, излучение и т. п. |
Спецаппаратура различного назначения |
Оргтехмероприятия, физическая защита |
|
||||||
Работа с удаленными базами данных |
Сигналы, наводки |
Программные и аппаратные закладки, несанкционированный доступ, компьютерные вирусы |
Криптозащита, специальное программное обеспечение, оргтехмероприятия, антивирусная защита |
|
||||||
Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.
При необходимости по решению руководителя предприятия в местах размещения средств обработки информации могут проводиться работы по обнаружению и изъятию «закладок», предназначенных для скрытого перехвата защищаемой информации. Такие работы могут проводиться организациями, имеющими соответствующие лицензии ФСБ России на данный вид деятельности.
При выборе средств защиты информации можно руководствоваться табл. 7.2 [3].