- •Южно-уральский государственный университет
- •Курс лекций
- •Челябинск
- •Введение
- •Стандарты обеспечения информационной безопасности.
- •Раздел 1. Информация и ее свойства.
- •1.1 Основные определения. Законы информации1
- •1.2 Свойства информации
- •Раздел 2. Информационные технологии
- •2.1 Содержание информационной технологии
- •2.1.1 Определение информационной технологии4
- •2.1.2 Инструментарий информационной технологии
- •2.1.3 Информационная технология и информационная система
- •2.2 Этапы развития информационных технологий
- •2.3 Особенности современных информационных технологий
- •2.4 Проблемы использования информационных технологий
- •Раздел 3. Система информационной безопасности
- •3.1 Информационная безопасность – определение, цель, компоненты.
- •3.2 Место подсистемы иб в общей системе безопасности организации
- •Раздел 4. Нормативно-правовое обеспечение информационной безопасности
- •4.1 Нормативно-правовые акты в области защиты информации.
- •4.2 Стандарты обеспечения информационной безопасности
- •4.3 Виды и способы защиты информации
- •4.4 Виды тайн, предусмотренные законодательством России.
- •4.5 Ответственность за нарушения правил обращения с конфиденциальной информацией
- •4.5.1 Трудовой кодекс рф от 30.12.2001 № 195-фз.
- •4.5.2 Кодекс рф об административных правонарушениях от 30.12.2001 № 195-фз.
- •4.5.3 Уголовный кодекс Российской Федерации от 13.06.1996 № 63-фз.
- •Раздел 5. Нормативно-методическое обеспечение информационной безопасности
- •5.1 Значение нормативно-методического обеспечения
- •8.2 Модель угроз и модель нарушителя. 23
- •8.3 Методология формирования модели угроз
- •1 Этап - описать информационную систему.
- •Раздел 6. Организационно-техническое обеспечение информационной безопасности
- •6.1 Основные организационные мероприятия по обеспечению иб.
- •6.2 Технические методы обеспечения иб.
- •Раздел 7. Психологическое обеспечение информационной безопасности
- •7.1 Особенности использования полиграфа - детектора лжи.
- •7.2 Признаки сотрудника, работающего на злоумышленника.
- •Раздел 8 Документирование деятельности по обеспечению иб организации.31
- •Порядок проведения врутреннего служебного расследования34
- •Экспертное заключение
- •Служебная записка на имя директора
- •Приказ о создании комиссии по расследованию инцидента
- •Объяснительная записка нарушителя
- •Характеристика непосредственного руководителя нарушителя
- •Протокол заседания комиссии по расследованию
- •Заключение комиссии
- •Приказ о дисциплинарном взыскании
- •Приложение
Раздел 5. Нормативно-методическое обеспечение информационной безопасности
5.1 Значение нормативно-методического обеспечения
Методология построения КСЗИ – это совокупность способов и приемов рассмотрения вопросов информационной безопасности и методов их решения в целях построения комплексной системы.
Методология позволяет в рамках единого подхода использовать согласованное применение разнородных средств для построения целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Методология построения комплексной системы защиты информации (КСЗИ) описывает основные методы и принципы решения следующих вопросов:
Обеспечение комплексной безопасности.
Компоненты комплексной системы защиты информации:
методологические, организационные, технические.
Направления работ по созданию комплексной системы защиты информации.
Основные принципы построения комплексной системы защиты информации:
принцип законности;
принцип превентивности;
принцип полноты состава защищаемой информации;
принцип обоснованности защиты информации;
принцип экономической целесообразности;
принцип персональной ответственности;
принцип сочетания гласности с конспирацией;
принцип гибкости системы защиты;
принцип равномощности (комплексности);
принцип непрерывности защиты;
принцип независимости стойкости средств защиты информации (СЗИ) от раскрытия информации о механизмах ее использования;
принцип простоты применения.
Основные организационно-методические мероприятия по созданию и поддержанию функционирования комплексной системы защиты информации:
создание подразделения, отвечающего за обеспечения конфиденциальности данных;
создание перечня основных нормативных и организационно-распорядительных документов, необходимых для организации КСЗИ.
Рекомендации по методологии построения матрицы конфиденциальности:
определение субъектов и объектов информационных потоков;
определение характеристик и признаков субъектов и объектов информационных потоков (матрица конфиденциальности);
построение правил разграничения доступа субъектов к объектам информационных потоков на основании матрицы конфиденциальности.
Методика оценки рисков:
методика анализа угроз конфиденциальной информации и построения неформальной модели нарушителя;
методика определения общих требований к защищенности АС:
классификационные требования Федеральной службы по техническому и экспортному контролю (ФСТЭК России) к защищенности от НСД средств вычислительной техники и автоматизированных систем;
основные механизмы защиты компьютерных систем от проникновения с целью дезорганизации их работы и несанкционированного доступа к информации.
Методика определения уровня защиты информации в соответствии с руководящими документами (РД) ФСТЭК России.
Нормативно-методическое обеспечение КСЗИ представляет собой комплекс положений, законодательных актов, нормативов, методик, правил, регламентирующих создание и функционирование КСЗИ, взаимодействие подразделений и лиц, входящих в структуру системы, а также статус органов, обеспечивающих функционирование КСЗИ.
К содержанию нормативно-методических документов по ЗИ предъявляется ряд требований:
ИС должна быть защищена путем внедрения продуманных правил безопасности;
система ЗИ (СЗИ) должна использовать набор правил, определяющий возможность данного субъекта получить доступ к данному объекту;
внедрение правил обеспечения безопасности и получение полномочий должно помочь организации эффективно реализовать доступ к конфиденциальной информации;
пользователи, не обладающие соответствующими полномочиями, не должны получать доступ к конфиденциальной информации.
Кроме того, необходимо применение дискриминационных методов управления, обеспечивающих доступ к данным только для определенных пользователей или пользовательских групп, например, исходя из служебных обязанностей. ИС должна быть защищена с помощью правил безопасности, которые ограничивают доступ к объектам (файлы, приложения) со стороны субъектов (пользователи).
Нормативные документы, определяющие порядок защиты информации, должны удовлетворять следующим требованиям:
соответствовать структуре, целям и задачам организации;
описывать общую программу обеспечения ИБ организации, включая вопросы эксплуатации и усовершенствования;
перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры;
определять ответственных за внедрение и эксплуатацию всех средств защиты;
определять права и обязанности пользователей, причем таким способом, чтобы этот документ можно было использовать в суде при нарушении правил ИБ.
Прежде чем приступить к разработке документов, определяющих порядок ЗИ, нужно провести оценку угроз (построить модель угроз), определить информационные ресурсы, которые целесообразно защищать в первую очередь, и подумать, что необходимо для обеспечения их безопасности. Правила должны основываться на здравом смысле.
Целесообразно обратить внимание на следующие вопросы:
принадлежность информации (о ЗИ обязан заботиться ее владелец);
определение важности информации (пока не определена ценность информации, не следует ожидать проявлений должного отношения к ней);
значение секретности (нужна ли она вообще?);
Нормативно-технические документы по защите информации.
Защита информации осуществляется путем выполнения комплекса организационных и технических мероприятий:
по предотвращению утечки информации по техническим каналам;
по предотвращению несанкционированного доступа к защищаемой информации;
по предупреждению программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе её обработки, передачи и хранения, а также работоспособности технических средств;
по выявлению специальных электронных устройств перехвата информации, возможно внедренных в технические средства и защищаемые помещения.
Нормативно-технические документы по защите информации подразделяются на две группы.
Первая группа включает в себя документы, устанавливающие требования и рекомендации по защите информации. К ним относятся:
специальные требования и рекомендации по ЗИ от утечки по техническим каналам;
руководящие документы (РД).
Например, РД «Автоматизированные системы. Защита от несанкционированного доступа (НСД) к информации. Классификация автоматизированных систем (АС) и требования по ЗИ».
Определены требования по ЗИ в АС различных классов. Класс выбирается заказчиком и разработчиком с привлечением специалистов. Определяющие признаки группировки - наличие информации различного уровня конфиденциальности, полномочия субъектов на доступ к ней, режим обработки данных. Установлено 9 классов защищенности. Каждый характеризуется минимальной совокупностью требований по защите. Классы делятся на 3 группы, отличающиеся особенностями обработки информации.
Вторая группа включает в себя документы, устанавливающие критерии оценки защищенности информации (нормы эффективности защиты) и методы их контроля (в том числе при проведении сертификационных испытаний). К ним относятся:
сборник норм ЗИ от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН);
методики оценки защищенности информации от утечки по техническим каналам;
руководящие документы.
Например, РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
Документ устанавливает классификацию средств вычислительной техники (СВТ) по уровню защищенности от НСД к информации. Классификация базируется на перечне показателей защищенности и совокупности описывающих их требований. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. Показатели защищенности применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ). Перечни показателей определяют классы защищенности СВТ. Сокращать или изменять перечни нельзя.
В рамках методического направления необходимо разработать концепцию (политику) безопасности, которая призвана сформулировать цель и обеспечить поддержку ИБ руководством организации. Высшее руководство должно поставить четкую цель и всесторонне оказывать свою поддержку в реализации ИБ посредством распространения политики безопасности среди сотрудников организации. Мероприятия по созданию КСЗИ, реализуемые вне единого комплекса мер, прописанных в рамках концепции безопасности, бесперспективны с точки зрения ожидаемой отдачи по решению проблем безопасности.
Под концепцией безопасности понимается взаимоувязанный комплекс организационно-технических мер, методологических указаний, регламентов, комплектов форм типовых документов, решающих задачи защиты конфиденциальной информации.
Концепция (Политика) безопасности - документ, в котором:
применяется методика определения и описания информационных потоков, описанная в методологии, представляющая собой формальное и точное описание работы с информацией в подразделениях, с учетом их изменения со временем. Определены критерии, по которым принимается решение о появлении или прекращении конкретного информационного потока;
анализируются, описываются и фиксируются информационные потоки, существующие при работе с информацией на текущий момент;
определяются для каждого информационного потока фазы существования информации (например, бумажный документ, электронный документ, запись в базе данных);
определяются категории конфиденциальной информации, разрабатывается классификация информации по категориям конфиденциальности;
проводится категорирование информации по категориям и фазам, создается матрица конфиденциальности;
определяются возможные пути разглашения конфиденциальной информации (модель угроз);
для каждой угрозы и атаки определяется модель нарушителя;
определяются уровни риска для всей матрицы конфиденциальности, вероятности реализации каждой атаки, стоимость ущерба при каждой атаке и усредненные вероятные величины убытков (риски);
определяются порядок изменения Концепции безопасности и Регламента обеспечения безопасности.
Письменный документ о политике безопасности должен быть доступен всем сотрудникам, отвечающим за обеспечение режима ИБ. Высшее руководство должно предоставить за документированную политику информационной безопасности всем подразделениям организации.