Козьминых С.И. Организация защиты информации в ОВД. Ч. 2

71

2.Подсистема криптографической защиты. Подсистема реализует функ-

цию шифрования конфиденциальной информации, записываемой на совместно используемых различными субъектами доступа носителях данных, а также на съемных носителях данных (диски, дискеты, флешки т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа, а также информации, передаваемой по линиям связи. Доступ к операциям шифрования и/или криптографическим ключам контролируется подсистемойуправлениядоступом.

Криптографическаяподсистемареализуетсяввиде:

–программно-аппаратных или программных средств, разрабатываемых (используемых) на основе действующих алгоритмов криптографического преобразования, криптосхемы, реализующей выбранный алгоритм, или других аттестованных аппаратных средств, предназначенных для шифрования/дешифрования с целью снятия грифа секретности информации, записываемой на учтенных носителях, внешних запоминающих устройствах ЭВМ (накопителях) или передаваемой по линиямсвязи;

–других криптографических средств для шифрования/дешифрования информации, включаяслужебнуюинформациюСЗИ НСД (ключи, пароли, таблицы санкционированияит.п.).

3.Подсистема обеспечения целостности. Является обязательной для любой СЗИ и включает в себя организационные, программно-аппаратные и другие средстваиметоды, обеспечивающие:

–контроль целостности программных средств АС и СЗИ над несанкционированнымиизменениями;

–периодическое и/или динамическое тестирование функций СЗИ НСД с помощьюспециальныхпрограммныхсредств;

–наличие администратора (службы) защиты информации, ответственного за ведение, нормальноефункционированиеиконтрольработыСЗИНСД;

–восстановлениеСЗИНСДприотказеисбое;

–резервированиеинформационныхресурсовнадругихтипахносителей;

–применение сертифицированных (аттестованных) средств и методов защиты, сертификациякоторыхпроводитсяспециальнымиииспытательнымицентрами.

4.Подсистема регистрации и учета. Включает в себя средства регистрации

иучетасобытийи/илиресурсовсуказаниемвременииинициатора:

–входа/выходапользователейв/изсистемы(узласети);

–выдачипечатных(графических) выходныхдокументов;

–запуска/завершения программ и процессов (заданий, задач), использующих защищаемыефайлы;

–доступа программ пользователей к защищаемым файлам, включая их созданиеиудаление, передачуполиниямиканаламсвязи;

–доступа программ пользователей к терминалам, ЭВМ, узлам сети ЭВМ, каналамилиниямсвязи, внешнимустройствамЭВМ, программам, томам, каталогам;

–измененияполномочийсубъектовдоступа;

–создаваемыхобъектовдоступа;

–носителейинформации.

Регистрация производится с помощью средств ручного или автоматического ведения журнала (системного) и выдачи из него протоколов работы пользователей повыбраннымрегистрируемымпараметрам.

72

Кроме того, данная подсистема включает в себя средства очистки (обнуления, обезличивания) областей оперативной памяти ЭВМ и внешних накопителей, использованных для обработки и/или хранения защищаемой информации. При ручном учете и регистрации эти функции реализуются организационными методами уничтоженияносителей.

5.Подсистема управления – управляющее звено, которое в специальных публикацияхполучилоназвание«ядроСЗИ».

Ядро системы защиты информации предназначено для объединения всех подсистем СЗИ в единую целостную систему для организации обеспечения управления ее функционированием. Ядро может включать организационные и техническиесоставляющие.

Организационная составляющая представляет собой совокупность специально выделенных для обеспечения ЗИ сотрудников, выполняющих свои функции

всоответствии с разработанными правилами, а также нормативную базу, регламентирующую выполнение этих функций службой защиты информации. Ее назначениеиосновныефункциибудутрассмотреныниже.

Техническая составляющая обеспечивает техническую поддержку организационной составляющей и представляет собой совокупность технических средств отображения состояния элементов СЗИ, контроля доступа к ним, управления их включением и т.д. Чаще всего эти средства объединены в соответствующий пульт управленияСЗИ.

Функции ядра системы защиты информации (СЗИ)

1.ПодсистемаОграничениедоступа:

–блокирование бесконтрольного доступа к носителям конфиденциальной информации и элементам СОИ (помещения объекта обработки информации и отдельные их элементы оборудуются средствами охранной сигнализации, пульт управления которыми входит в состав технического обеспечения ядра). Носители с защищаемыми данными хранятся в охраняемом помещении и отдельно от носителей с незащищаемыми данными. Для установки носителей с защищаемыми данными выделяются строго определенные устройства управления, оборудованные специальнымизамками, управлениекоторымиосуществляетсясредствамиядра;

–контроль и обеспечение реагирования на сигналы о попытках несанкционированного доступа (средства ядра должны обеспечивать контроль всех сигналов о несанкционированных действиях в любом структурном элементе ОИ). Могут быть предусмотрены следующие виды реагирования: звуковое, световое и документальное; зарегистрированный сигнал должен содержать следующую информацию: место несанкционированного действия, время и характер действия. Реагирование на сигналы должно обеспечивать прерывание обработки защищаемых данных, уничтожение информации в тех устройствах, которые могут быть доступны вследствие обнаруженных несанкционированных действий, и принятие мер для задержания нарушителя;

–при наличии нескольких уровней конфиденциальности информации – управление потоками информации, т.е. контроль ее передачи между строго установленными ресурсами (носителями) с учетом наличия разрешения на такой вид обмена. Управление осуществляется с помощью определенных меток конфиденциальности. При переводе информации на новый носитель (передаче другому пользователю) необходимо, чтобы уровень конфиденциальности этого носителя (пользователя) былненижеуровняконфиденциальностипередаваемойинформации.

73

2. ПодсистемаКриптостойкость:

–контроль выполнения требований к средствам шифрования информации (способность противостоять вскрытию содержания информации; имитозащищенность– способностьпротивостоятьвводуложнойинформации);

–управление ключами шифрования (разработка, доставка, обращение и уничтожение).

3.ПодсистемаОбеспечениецелостности:

–организация и обеспечение проверок правильности функционирования СЗИ (аппаратных средств – по тестовым программам и организационно; физических средств – организационно; программных средств – по специальным контрольным суммам (на целостность) и по другим идентифицирующим признакам; регистрационных журналов – программно и организационно на целостность и защищенность; организационныхсредствзащиты);

–контроль резервирования информационных ресурсов и при необходимости ихуничтожение;

–обеспечение недоступности средств управления доступом со стороны пользователейсцельюихмодификации, блокированияилиотключения.

4.ПодсистемаРегистрацияиучет:

–организация и контроль процесса регистрации всех случаев, рассмотренных выше;

–анализрегистрируемыхданныхдляоценкиуровнябезопасностиобъекта. Кроме того, в отношении общего управления ядро СЗИ обеспечивает текущее

планирование защиты информации, включение компонентов и технологических схем функционирования СЗИ в работу при поступлении запросов на обработку защищаемыхданных, подготовкуперсоналаобъектаит.д.

Организационное построение СЗИ – это общая организация системы, адекватно отражающая основные принципы построения ОИ. При этом основные элементы СЗИ территориально привязываются к основным организационным составляющимобъекта.

Одним из весьма перспективных вариантов такого построения является так называемаясемирубежнаямодельзащитыобъектаинформатизации(рис. 2).

Существо подхода состоит в следующем. Очевидно, что защита информации на объекте информатизации может быть обеспечена лишь в том случае, если будут защищеныэлементы, имеющиеотношениекОИ:

–территория, впределахкоторойрасположенысредстваОИ;

–зданияипомещения, вкоторыхразмещенысредстваОИ;

–ресурсы, используемыедляобработкиихранениязащищаемойинформации;

–линии (каналы) связи, используемые для сопряжения элементов ОИ и ОИ с другими(внешними) объектами.

Организационное построение СЗИ в общем случае может быть представлено совокупностьюследующихрубежейзащиты:

–территории, занимаемойОИ;

–зданий, расположенныхнатерритории;

–помещений внутри здания, в которых расположены ресурсы ОИ и защищаемаяинформация;

–ресурсов, используемых для обработки и хранения информации и самой защищаемой информации: технических ресурсов (средств обработки информации, технических средств шифрования и т.д.), устройств хранения конфиден-

74

циальной информации (сейфов, электронных устройств), самой конфиденциальнойинформации, ееносителей;

–линий связи, проходящих в пределах одного и того же здания;

–линий (каналов) связи, проходящих между различными зданиями, расположенными на одной и той же охраняемой территории;

–линий(каналов) связи, выходящихзапределыобъекта.

Здание №1

Рубеж № 2

Рубеж № 6

Здание № 2

Рубеж № 1

Рис. 2. Семирубежная модель защиты объекта информатизации.

В зависимости от требований к уровню безопасности информации на каждом из рубежей защиты могут быть реализованы функции одной или нескольких подсистемзащиты, указанныхвыше.

Рассмотрим вопрос о структурном построении СЗИ. Поскольку СЗИ является подсистемой системы обработки информации, ее структурное построение может быть определено по аналогии со структурным построением ОИ. Сформированная такимобразомструктурнаясхемаСЗИпредставленаниже(рис. 3).

75

Рис. 3. Общая структурная схема системы защиты информации.

Содержание выделенных структурных компонентов в общем виде может быть представлено следующим образом. Человеческий компонент составляют те лица (или группы лиц, коллективы, подразделения), которые имеют непосредственное отношение к защите информации в процессе функционирования ОИ. К ним должныбытьотнесены:

1)абоненты ОИ, имеющие доступ к ресурсам и участвующие в обработке информации;

2)администрация объекта, обеспечивающая общую организацию функционированиясистемыобработки, втомчислеиСЗИ;

3)операторы ОИ, осуществляющие прием информации, подготовку ее к обработке, управление средствами вычислительной техники в процессе обработки, контроль и распределение результатов обработки, а также некоторые другие процедуры, связанныесциркуляциейинформационныхпотоков;

4)администраторы банков данных, отвечающие за организацию, ведение и использование баз данных ОИ, а также специалисты, занимающиеся ведением защищенного документооборота;

5)обслуживающий персонал, сотрудники, обеспечивающие работу техническихсредствОИ, втомчислеисредствСЗИ;

6)системные программисты, осуществляющие управление программным обеспечениемОИ;

7)служба защиты информации, которая несет полную ответственность за защиту информации и имеет особые полномочия. Если эта служба в виде самостоятельного подразделения не создается, то ее функции должны быть возложены на сотрудников ОИ и администрацию банков данных с соответствую- щимизменениемееорганизационно-правовогостатуса.

Ресурсы информационно-вычислительной системы, необходимые для создания и поддержания функционирования СЗИ, как и любой другой автоматизиро-

76

ванной системы, объединяются в техническое, математическое, программное, информационное и лингвистическое обеспечение. Состав и содержание перечисленных видов обеспечения определяются следующим образом:

–техническое обеспечение – это совокупность технических средств, необходимыхдлятехническойподдержкирешениявсехтехзадачпозащитеинформации, решение которых может потребоваться в процессе функционирования СЗИ. В него должны быть включены все технические средства защиты, которые могут оказатьсянеобходимыми в конкретнойСЗИ. Книмотносятсятакже техническиесредства, которые необходимы для решения задач по управлению механизмами защиты информации;

–математическое обеспечение – это совокупность математических методов, моделей и алгоритмов, необходимых для оценки уровня защищенности информацииирешениядругихзадачпозащите;

–программное обеспечение – это совокупность программ, реализующих программные средства защиты, а также программ, необходимых для решения задач по управлению механизмами защиты. К ним должны быть отнесены также сервисные

ивспомогательныепрограммыСЗИ;

–информационное обеспечение – это совокупность систем классификации и кодирования данных о защите информации, массивы данных СЗИ, а также входныеивыходныедокументыСЗИ;

–лингвистическое обеспечение – это совокупность языковых средств, необходимых для обеспечения взаимодействия компонентов СЗИ между собой, с компонентамиОИивнешнейсредой.

Организационно-правовое обеспечение как компонент СЗИ представляет собой совокупность организационно-технических мероприятий и организационноправовых актов. Организационно-технические мероприятия, с одной стороны, участвуют в непосредственном решении задач по защите (чисто организационными средствамиилисовместносдругимисредствамизащиты), асдругой– объединяют всесредствавединыекомплексызащитыинформации.

Нормативные правовые акты являются правовой основой, регламентирующей

ирегулирующей функционирование всех элементов СЗИ. В целом же организаци- онно-правовое обеспечение служит для объединения всех компонентов в единую системузащиты.

3.Задачи и функции службы защиты информации в ОВД

Ворганах внутренних дел, использующих в своей деятельности сведения с ограниченным доступом, для разработки и проведения организационных и технических мероприятий по защите информации в соответствии с установленным порядком создаются соответствующие службы. В соответствии с Федеральным законом «Огосударственнойтайне» онимогутиметьследующиеназвания:

–структурныеподразделенияпозащитегосударственнойтайны;

–структурныеподразделенияпозащитеинформации.

Конкретное наименование службы определяется в зависимости от объема и характера выполняемых работ и согласовывается с ведомственным специальным отделом. Такими наименованиями могут быть служба защиты информации, отдел защитыинформации, службаинформационнойбезопасностиидр.

Служба защиты информации, как правило, является самостоятельным структурным подразделением, подчиненным непосредственно руководителю и (при на-

77

личии) заместителю по безопасности (режиму). При наличии в организации службыбезопасностислужбазащитыинформациивходитвееструктуру.

В структурных подразделениях организации при необходимости могут создаваться части, группы службы защиты информации или назначаться приказом руководителя уполномоченные, на которых распространяются права и обязанности работниковуказаннойслужбы.

Служба защиты информации относится к подразделениям, непосредственно участвующим в деятельности по выполнению работ с использованием сведений с ограниченнымдоступом.

Структура и штаты службы защиты информации определяются руководителем организации в зависимости от объема и сложности работ по защите информации. Нормативной правовой базой для решения этой задачи является комплекс следующихактов:

–Федеральныйзакон«Огосударственнойтайне»;

–руководящие документы ФСТЭК России («Защита от несанкционированного доступа к информации», «Классификация автоматизированных систем и требованияпозащитеинформации»);

–Квалификационные характеристики должностей руководителей и специалистов, обеспечивающихзащитуинформации;

–Квалификационные характеристики работников режимно-секретных органов министерств, ведомств, учреждений, предприятий и организаций Российской Федерации;

–КонцепциязащитыСВТиАСотНСД кинформации.

Служба защиты информации комплектуется соответствующими сотрудниками, отвечающими требованиям квалификационныххарактеристикна специалистов покомплекснойзащитеинформации.

Назначение и освобождение от должности руководителя службы защиты информации производятся руководителем организации. Руководитель службы защиты информации обязан организовывать и систематически проводить учебу сотрудников службы и уполномоченных по защите информации в целях повышения деловой квалификации, уровня знаний и приобретения практических навыков в выполнениивозложенныхнаслужбузащитыинформациизадач.

Работа службы защиты информации проводится в соответствии с перспективными, годовымииквартальнымипланамиработ.

Служба защиты информации в своей деятельности руководствуется законодательством Российской Федерации, нормативными документами по защите информации, приказами и указаниями вышестоящего министерства (ведомства) России и руководителяорганизации.

Проведение любых мероприятий и работ с использованием сведений с ограниченным доступом без принятия необходимых мер защиты не допускается. Служба защиты информации обеспечивается необходимыми служебными помещениями, оборудованием, вычислительной техникой, контрольно-измерительной аппаратуройирасходнымиматериалами.

Основнымизадачамислужбызащитыинформацииявляются:

–обеспечение и организация разработки перечней сведений конфиденциальногохарактера;

–анализ возможностей возникновения новых каналов утечки и разработка методовирекомендацийпоихпресечению;

78

–выявление, локализация и оперативное пресечение возможных каналов утечки защищаемой информации в процессе повседневной деятельности и в экстремальныхситуациях;

–профилактическая деятельность, направленная на предотвращение открытия потенциальныхканаловиисточниковутечкиинформации;

–анализ и оценка реальной опасности перехвата информации техническими средствами негласного съема информации, предотвращение возможных несанкционированных действий по уничтожению, модификации, копированию и блокированиюинформации;

–обеспечение режима конфиденциальности при проведении всех видов деятельности, включаяразличныевстречи, переговоры, совещания;

–изучение, анализ и оценка состояния системы технической защиты информации, разработкапредложенийирекомендацийпоеесовершенствованию.

Всоответствии с перечисленными задачами служба защиты информации выполняетследующиеобщиефункции:

1.Организация и обеспечение режима ограничения доступа к источникам и носителямзащищаемойинформации.

2.Организационно-правовое и методическое обеспечение работ по регулированию отношений, связанных с использованием сведений с ограниченным доступом.

3.Обследование производственной и административной деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, ведениеучетаианализнарушенийрежимабезопасностиинформации.

4.Организация и проведение служебных расследований по фактам нарушения правилфункционированиясистемызащитыинформации.

5.Обеспечение строгого выполнения требований нормативных документов по защитеинформации.

6.Осуществление руководства и контроля деятельности подразделений защитыинформациивструктурныхподразделенияхорганизацииприихналичии.

7.Регулярное проведение учебы сотрудников по всем направлениям защиты информации.

8.Ведение учета технических средств, в том числе специальных хранилищ, средств вычислительной техники, используемых для работы с данными ограниченногораспространения.

9.Разработка совместно с руководителями структурных подразделений орга- низационно-распорядительных документов по вопросам защиты информации в организации, обеспечениеихутверждениявустановленномпорядке.

10.Проведение профилактической работы с сотрудниками структурных подразделений организации по соблюдению требований при работе с защищаемой информациейограниченногодоступа.

11.Создание специального информационно-справочного фонда по вопросам защитыинформации.

12.Сбор и анализ сведений по различным аспектам защиты информации для использованиявработе.

13.Обеспечение своевременного выявления недостатков и совершенствование комплекса мероприятий по реализации политики защиты информации в организации.

79

14.Сбор, аналитическая обработка и оценка сведений о потенциальных и реальных конкурентах, в том числе зарубежных, по выявлению возможных противоправных действий (добывание охраняемых сведений и перекрытие каналов утечки информации).

Основными функциями службы защиты информации по организации подготовки, издания, хранения и использования документов с ограниченным дос-

тупомявляются:

1.Обеспечение организации и ведения делопроизводства конфиденциального характера.

2.Организация проведения служебных расследований по фактам разглашения конфиденциальных сведений, а также утраты документов, содержащих такие сведения.

3.Контроль соблюдения установленного порядка изменения условных и открытыхнаименованийтем, работит.п.

4.Контроль соблюдения исполнителями правил обращения с конфиденциальнымидокументами.

Основными функциями службы защиты информации по организации и обеспечениюрежимаограничениядоступаявляются:

1.Разработка совместно с руководителями структурных подразделений номенклатуры должностей сотрудников, подлежащих оформлению на допуск к сведениямконфиденциальногохарактера.

2.Ограничение по режиму допуска и доступа к сведениям конфиденциального характера.

3.Ведение учета спецлитературы, организация контроля за обеспечением требований режима конфиденциальности уполномоченными лицами в структурных подразделениях, проведениепроверокналичияспецлитературы.

4.Участие в проведении мероприятий по соблюдению режима конфиденциальности приосуществлениипрямыхсвязейсзарубежнымистранами.

5.Участие в подготовке приказов и распоряжений по вопросам обеспечения режимаконфиденциальности проводимыхработ.

Основными функциями службы защиты информации от ее утечки по техническимканаламявляются:

1.Обследование объекта с целью выявления потенциально возможных каналов утечкиинформации.

2.Формирование перечней каналов утечки информации на основе анализа моделейтехническихразведокиугроз.

3.Разработка и внедрение средств инженерно-технической защиты информациииконтроляихэффективности.

4.Анализ эффективности применения средств защиты и контрольноизмерительнойаппаратуры.

5.Установка, монтаж, наладка и эксплуатация комплекса инженернотехническихсредствзащитыинформации.

6.Обеспечение защиты в системах связи от прослушивания, разрыва линий, фальсификации и ложных сообщений; обеспечение юридической значимости электронныхдокументов.

7.Регистрация, сбор, хранение, обработка и выдача сведений о событиях, касающихся законных обращений, ошибочных и незаконных обращений; аналитикосинтетическаяобработказарегистрированныхсведений.

80

8.Оптимизация использования информационных и вычислительных ресурсов путем контроля параметров надежности технических средств, а также выявление и прогнозированиекритическихситуаций.

9.Контроль и поддержание целостности ресурсов автоматической системы обработкиданных(АСОД) исредыисполненияприкладныхпрограмм.

Службазашитыинформацииимеетправо:

1.Запрашивать и получать в пределах своей компетенции необходимые сведения и материалы для организации и проведения работ по вопросам защиты информации.

2.Контролировать деятельность структурных подразделений по выполнению имитребованийпозащитеинформации.

3.Разрабатывать и направлять на утверждение в установленном порядке проекты организационных, распорядительных, нормативных методических документов по защите информации; принимать участие в разработке организационнотехнической документации в части формирования требований по обеспечению защитыинформации.

4.Привлекать в установленном порядке по согласованию с руководством организации необходимых специалистов и специальную контрольно-измерительную аппаратуру для разработки решений, мероприятий, нормативных методических документов по вопросам защиты информации, а также для проведения контроля и оценкиэффективностипринятыхмер.

5.Вносить предложения руководителю организации о приостановке работ в случае обнаружения утечки или предпосылок к утечке информации, содержащей сведениясограниченнымдоступом, инесанкционированногодоступакней.

6.Получать в установленном порядке лицензии на выполнение работ по защите информации и при их получении оказывать услуги в этой области другим органам(организациям, предприятиям).

7.Участвовать в расследовании причин выявленных нарушений установленныхтребованийинормвобластизащитыинформации.

8.В необходимых случаях требовать от должностных лиц организации предоставленияписьменныхобъясненийпофактамустановленныхнарушенийрежима.

На руководителя службы защиты информации возлагается персональная ответственность:

– за обеспечение установленного порядка функционирования системы защиты информации;

– оформление разрешительной документации (лицензий и т.д.) на выполнение специальныхисследованийиработпозащитеинформации;

– выполнениеуказанийипорученийруководства, планаработыслужбы;

– своевременную разработку положений о структурных подразделениях службыидолжностныхинструкцийееработников;

– созданиенеобходимыхусловийтрудадляработниковслужбы;

– соблюдениетрудовойипроизводственнойдисциплиныработникамислужбы. На сотрудников службы защиты информации возлагается персональная ответственность за обеспечение установленного порядка функционирования системы защиты информации в пределах их функций, определяемых в должностных инст-

рукциях.

Служба защиты информации по характеру деятельности находится в тесном взаимодействии: