Козьминых С.И. Организация защиты информации в ОВД. Ч. 2

81

–с руководителями структурных подразделений организации и подведомственной сети – по вопросам функционирования, контроля и проверки системы защиты информации, подготовки и предоставления необходимых руководству материаловпопрофилюдеятельностислужбы;

–юридической службой – по правовым вопросам, связанным с обеспечением защитыинформации;

–службами кадров – по вопросам подбора, расстановки кадров, проведения проверочных мероприятий, повышения квалификации сотрудников, предоставленияльготиоплатытруда;

–постоянно действующей технической комиссией (ПДТК) – по вопросам эффективностиисовершенствованиясистемызащитыинформации;

–службами материально-технического снабжения и хозяйственного обслуживания.

Служба защиты информации организует при необходимости взаимодействие с аналогичными подразделениями сторонних организаций, участвующими в выполнениисовместныхпрограмм.

Служба защиты информации проводит свою работу во взаимодействии с представителями территориальных органов ФСБ, ФСО, ФСТЭК России, военными представительствами, правоохранительными органами, другими министерствами и ведомствами.

Контрольные вопросы

1.Какие требования предъявляются к системе защиты информации на объекте информатизацииОВД?

2.Какие подсистемы входят в состав функционального построения системы защитыинформациинаобъектеинформатизацииОВД?

3.Какиефункциивозложенынаядросистемызащитыинформации?

4.В чем преимущества семирубежной модели защиты объекта информатиза-

ции?

5.Какие компоненты входят в организационное построение системы защиты информации?

6.Какиеосновныезадачидолжнарешатьслужбазащитыинформации?

7.Какиеобщиефункциивозлагаютсянаслужбузащитыинформации?

8.Какими правамидолжнаобладатьслужбазащитыинформации?

Г л а в а 7. ОРГАНИЗАЦИЯ И ОБЕСПЕЧЕНИЕ РАБОТ

ПО ЗАЩИТЕ ИНФОРМАЦИИ

По мере разработки теоретических основ решения проблемы организации и обеспечения работ по защите информации сформировалось понятие «обеспечение защиты информации» как процесс реализации комплекса различных мероприятий по обеспечению информационной безопасности, объединенных единой целевой программой. Основными направлениями деятельности в соответствии с этой целевойпрограммойявляются:

1.Определениетребованийксистемезащитыинформации.

2.Подбор сотрудников, ответственных за обеспечение безопасности информа-

ции.

82

3.Проектирование, создание и эксплуатация системы защиты информации объекта.

4.Научно-методологическое и документационное обеспечение работ по защитеинформации.

5.Установление мер контроля и ответственности за соблюдение всех правил защитыинформации.

Рассмотрим эти направления деятельности, необходимые для обеспечения безопасностиобъектаинформатизации, подробнее.

1. Определение требований к системе защиты информации

Необходимая степень защиты информации, обрабатываемой на объекте, задается конкретными требованиями к защите, обусловленными спецификой системы обработки информации. Эти требования определяются совокупностью следующих факторов:

1.Характером обрабатываемой информации. С точки зрения требуемой за-

щиты информацию можно подразделять на общедоступную, конфиденциальную, служебную и секретную. Процесс отнесения информации к различной степени конфиденциальности также может быть различным. Так, отнесение сведений к государственной тайне и присвоение ей соответствующей степени секретности производятся в соответствии с государственными правовыми актами, например Перечнем сведений, составляющих государственную тайну, утверждаемым Президентом Российской Федерации. Определение же степени конфиденциальности сведений, составляющих профессиональную тайну, производится самим владельцемэтойинформации.

2.Объемом обрабатываемой информации. Этот фактор определяется количе-

ствомиразнообразиемносителейконфиденциальнойинформациинаобъекте.

3.Продолжительностью пребывания информации в системе обработки. При этом информация разового использования подлежит защите в процессе подготовки, ввода, решения задач и выдачи результатов решения, после чего должна быть уничтожена во всех элементах объекта. Информация временного хранения дополнительно к предыдущему подлежит защите в течение объявленного времени хранения и после этого уничтожается. Информация длительного хранения подлежит постоянной защите, уничтожение ее должно осуществляться по специальному решению.

4.Структурой системы обработки информации. Исходя из требования о не-

обходимости защиты информации во всех структурных элементах систем обработки, степень сложности этой структуры также должна определять уровень защиты информации.

5.Видом защищаемой информации. Данное требование определяется типом носителей конфиденциальной информации. Так, уровень защиты только документальной информации отличается от защиты информации, выраженной в виде образов объекта, сигналов, полученных в результате ее обработки техническими средствами.

6.Технологическими схемами и организацией процесса обработки информа-

ции. Этот фактор вытекает из требований функциональной комплексности защиты, подразумевающих необходимость ее проведения во всех режимах и на всех технологическихучасткахсистемы обработкиинформации.

7.Этапомжизненногоцикла. Этитребованияформулируютсятак:

83

–на этапе создания систем обработки информации должно быть обеспечено соответствие возможности системы защиты требованиям к защите информации, сформулированным в задании на проектирование, кроме того, должно быть исключенонесанкционированноевключениеэлементоввкомпонентысистемы;

–на этапе функционирования в пассивном состоянии системы обработки должна быть обеспечена надежная защита хранящейся информации и исключена возможностьнесанкционированногоизменениякомпонентовсистемы;

–на этапе функционирования в активном режиме дополнительно должна быть обеспеченанадежнаязащитавовсехрежимахобработки.

8.Условиями функционирования объекта обработки информации. Определя-

ется возможностями злоумышленника по добыванию конфиденциальных сведений. В зависимости от возможности выполнения этих требований объекты обработки могут быть отнесены к соответствующим классам защищенности, как правило, устанавливаемым государственными стандартами. Так, в США документом, определяющим критерии оценки защищенности вычислительных систем и механизмы их защиты, является «Оранжевая книга», представляющая собой стандарт «Критерии оценки гарантированно защищенных вычислительных систем в интересах Министерства обороны США», принятый в 1983 г. В соответствии с этим стандартом все автоматизированные системы делятся на четыре группы: D – с минимальной защитой, С – с индивидуальной защитой, В – с мандатной защитой, А –

сверифицированнойзащитой.

Аналогичный подход реализован и в руководящем документе ФСТЭК России «Классификация автоматизированных систем и требования по защите информации».

2. Подбор сотрудников, ответственных за обеспечение безопасности информации

Система защиты информации по своему функциональному предназначению и структуре является человекомашинной системой. Специфика ее такова, что человек является в ней не только основным структурным элементом, но и носителем сведений как об информации, обрабатываемой в системе, так и о принципах построения самой системы защиты. Следовательно, сотрудники, участвующие в процессе защиты информации, потенциально могут стать как непосредственными источниками конфиденциальной информации для противника, так и косвенными источниками таких угроз информации, как сбои и ошибки в эксплуатации систем обработки. Так, по статистике в 70–80 % случаев утечка секретной информации происходит по вине сотрудников объектов, на которых она обрабатывается. Все это подчеркивает особую актуальность работ, проводимых в рассматриваемом направлении. Основнымивидамидеятельностиявляются:

–подбор сотрудников, допускаемых к секретным работам, их проверка и изучениеихповедения;

–обучениелиц, допущенныхксекретам, правиламихсохранения;

–воспитание у сотрудников понимания важности сохранения в тайне доверенныхимсекретныхиликонфиденциальныхсведений;

–стимулирование заинтересованности в работе с засекреченной информацией

исохраненияэтихсведенийвтайне;

–создание угрозы ответственности и серьезных последствий для сотрудников занесохранениедоверенныхимсекретов;

84

– иные меры (добровольное согласие на ограничение прав человека, допускаемого к работе с засекреченной информацией, в частности запрет на работу по совместительству, вступление без служебной необходимости в контакты с иностранцами, ограничения на выезд и возможные служебные командировки за границу и др.).

Взависимости от важности обрабатываемой информации уровень требований

кподбору сотрудников может быть разным. Так, для сотрудников, работающих с информацией, составляющей государственную тайну, требования строго регламентируютсяведомственнымиприказамииинструкциями.

При реализации рассматриваемого направления работ по защите информации важными являются не только подбор и расстановка сотрудников, но и создание необходимой штатно-должностной структуры службы защиты информации объекта, способной обеспечить требуемый уровень безопасности в процессе функционированияобъектаинформатизации.

3. Проектирование, создание и эксплуатация системы защиты информации объекта

Данное направление работ является наиболее ресурсоемким как по времени, необходимому для его проведения, так и по материальным и трудовым затратам. Работы по созданию систем защиты информации, как и любых других сложных систем, выполняютсявтриэтапа: подготовительный, основной, заключительный.

Назначениеиобщеесодержаниеназванныхэтаповявляются общепринятыми:

–на подготовительном этапе изучаются и оцениваются все факторы, влияющиеназащитуинформации;

–на этапе основных работ принимается принципиальное решение о необходимомуровнезащиты, атакжеосуществляетсяпроектированиесистемызащиты;

–на этапе заключительных работ производится оценка системы защиты, причем как по критериям эффективности, так и по технико-экономическим показателям.

Однако, как показал многолетний опыт организации защиты информации на объекте, в том числе и зарубежный, каким бы ни был совершенным проект системы защиты информации и его первоначальная реализация, в процессе функционирования объекта неизбежно возникают непредвиденные обстоятельства. Эти обстоятельства обусловлены, с одной стороны, действиями факторов, не учтенных (или неадекватно учтенных) на этапе создания системы защиты, а с другой – изменениями, происходящими в процессе функционирования этих объектов. Неизбежно возникает необходимость изменения и/или совершенствования системы защиты. Весь процесс организации работ по защите удобно представить в виде циклическойпроцедуры, структураисодержаниекоторойотображенынарис. 4.

Как следует из структурной схемы, основу представленной технологии составляютследующиеположения:

–непрерывный сбор информации о функционировании механизмов защиты и

опроводимыхработах;

–систематическийанализсостояниязащищенностиинформации;

–систематическоеуточнениетребованийкзащитеинформации;

–постоянное проведение (при возможном неудовлетворительном состоянии защищенности или изменении требований) всего цикла работ по организации защиты.

85

Рис. 4. Структура и содержание цикла работ по защите информации.

Процесс проектирования систем защиты информации является сложным самостоятельнымвопросомибудетрассмотренниже.

Функционирование СЗИ организуется в соответствии с принципами управлениязащитойинформации.

4. Управление процессами функционирования систем защиты информации

Рассмотрим модель управления системой защиты информации (рис. 5). Как следует из представленной модели, исходной основой для управления защитой служат планы обработки информации на объекте информатизации. На основе анализа параметров подлежащей обработке информации обосновываются требования к защите информации, которые в самом общем виде могут быть выражены вероятностьютребуемойзащитыРтр.

В соответствии с требуемым значением показателя защищенности должны быть определены оптимальные наборы мер защиты (технических (Т), программных (П), организационных (О), законодательных (3), морально-этических (М), обеспечивающихтребуемыйуровеньзащищенности.

Обоснование указанных наборов мер защиты является общей задачей механизмовуправлениясистемойзащитыинформации.

Выбранные наборы мер защиты способны обеспечить вполне определенный ожидаемый уровень защищенности информации (Рож), который может отличаться от требуемого уровня. Если это отличие превышает допустимые значения (Рдоп), то, очевидно, надоскорректироватьвыбранныенаборымерзащиты.

Однако не исключены такие случаи, когда имеющимися мерами требуемый уровень защиты не достигается. Тогда надо или менять планы обработки информации (например, исключать из обработки информацию повышенной секретности), или снижать требуемый уровень защищенности. Не следует идти на риск обработкиинформациипринедостаточномуровнееезащиты.

86

Рис. 5. Общая модель управления системой защиты информации.

Сформированные по изложенной выше процедуре наборы мер защиты реализуются в процессе автоматизированной обработки информации. Для определения действительного уровня защищенности должен осуществляться соответствующий контроль. На основе данных контроля определяется показатель действительного уровня защищенности РД. Этот показатель сопоставляется с требуемым уровнем (Ртр), и если рассогласование указанных показателей превышает допустимое значение, то система управления защитой информации должна отреагировать изменением набора используемых мер защиты или показателя требуемого уровня защищенностиинформации.

87

Указанная модель должна быть реализована системой управления защитой информации.

Основными макропроцессами управления в системах организационнотехнологического типа являются планирование, оперативное управление, кален- дарно-плановое руководство выполнением планов и обеспечением повседневной деятельностисистемыуправлениязащитойинформации.

Планирование защиты информации – это процесс обработки программы оптимального использования в предстоящий (планируемый) период обработки данных имеющихся мер и средств защиты. При этом под оптимальностью использования СЗИ понимается достижение одной из двух целей (в зависимости от постановки задачи): или достижение максимальной защищенности информации при данных расходах на защиту (прямая постановка задачи), или достижение заданной защищенности информации при минимальных расходах на защиту (обратная постановказадачи).

Основными задачами оперативного управления защитой информации в комплексныхсистемахобработкиданныхявляются:

–регулированиеиспользованияСЗИвпроцессеобработкиинформации;

–сбор, обработка и организация массивов (баз) оперативных данных, относящихсякзащитеинформации;

–непрерывныйанализуровнязащищенностиинформации;

–принятие решения по оперативному вмешательству в функционирование

СЗИ;

–реализацияпринятыхрешений;

–анализипрогнозированиеразвитияситуации;

–разработкапредложенийпокорректировкеплановзащитыинформации;

–обработка учетно-отчетных документов, относящихся к функционированию

СЗИ.

Основное содержание действий лиц, отвечающих за безопасность информации, можетбытьсведеноктакойпоследовательности:

1)получение достоверных данных о характере нештатной или чрезвычайной ситуации;

2)принятие неотложных мер по спасению людей, материальных ценностей и информации;

3)принятие мер по локализации дестабилизирующего воздействия нарушителя наинформацию;

4)принятие мер по пресечению злоумышленных действий и задержанию нарушителя;

5)докладруководствуоситуацииипринятыхмерах.

Основными функциями календарно-планового руководства являются принятие текущих решений, связанных с обеспечением выполнения текущих плановыхзадач, ислежениезаходомвыполненияплана.

Осуществление первой функции заключается в принятии плановых решений, т.е. таких, которые обусловлены естественным ходом выполнения плана. В дальнейшем перечень, содержание и сроки принятия таких решений должны стать составнойчастьюсамогоплана.

Слежение за ходом выполнения плана заключается в периодической оценке соответствия действительного протекания управляемой деятельности запланированной. Если в какой-либо момент времени отклонение действительного хода дея-

88

тельности от запланированного превысит допустимые пределы, то в план должны бытьвнесенынеобходимыекоррективы.

Для обеспечения регулярной и эффективной защиты информации большое значение имеет повседневная деятельность всех сотрудников, имеющих отношение к защите, особенно службы защиты информации ОИ. На практике эта деятельность регламентируется соответствующими нормативными документами, разрабатываемыми на каждом объекте. При этом количество организационных мероприятий по обеспечению информационной безопасности, реализуемых на ОИ, может быть столь велико, что имеет смысл выделить лишь основные направления такой работы:

1. Обеспечениережимасекретности:

–организация специального делопроизводства, включающего документирование информации, обеспечение документооборота, учет, надежное хранение и своевременное уничтожение документов и носителей, контроль их наличия, правильностиисвоевременностиисполнения;

–организацияиподдержаниенадежногопропускногорежима;

–подбор, оценкаирасстановкаобслуживающегоперсонала;

–реализация специальных правил работы с ЭВТ и другими техническими средствамиобработкиконфиденциальнойинформации.

2.Противодействиетехническимразведкам:

–оценка и своевременное выявление угроз утечки информации по техническимканалам;

–обеспечение выполнения специальных требований к помещениям, где обрабатываетсяконфиденциальнаяинформация;

–организация специальных проверок и специальных исследований техническихсредствобработкиконфиденциальнойинформации;

–организация специальных проверок помещений на наличие закладных устройств;

–аттестация объектов, сертификация технических средств защиты информа-

ции;

–определениеконтролируемыхзонОИ;

–контрольэффективноститехническойзащитыинформации.

3.Обеспечениебезопасностишифрованнойсвязи:

–разработка, распределение, доставка и надежное хранение ключей шифрова-

ния;

–контроль выполнения требований к аппаратуре шифрования и правил обращениясключевымидокументами.

4.Научно-методологическое и документационное обеспечение работ по защитеинформации.

Анализ процесса управления защитой информации показывает, что наиболее важную группу задач, подлежащих решению в повседневной деятельности службы защиты информации, составляют задачи информационного обеспечения системы управления.

5.Установление мер контроля и ответственности за соблюдение всех правилзащитыинформации.

Основной задачей контроля СЗИ является получение сведений о параметрах и показателях безопасности информации и эффективности функционирования механизмов защиты для выработки необходимых воздействий на контролируемую сис-

89

тему или условия ее функционирования в целях обеспечения максимального эффектаотиспользованияеепоназначению.

С точки зрения непосредственной организации контроля на ОИ необходимо объединить два его варианта:

1)контроль состояния параметров средств защиты, средств обработки информации и качества выполнения мероприятий по обеспечению безопасности информации, определяющих значения контролируемых показателей уровня безопасности;

2)контроль наличия (проявления) типовых нарушений правил защиты информации.

Организация контроля по первому варианту сопряжена с решением следующих задач:

–обоснование перечня и содержания тех показателей безопасности, которые должны контролироваться;

–формирование минимального множества параметров средств защиты, средств обработки информации и качества выполнения организационных мероприятий, которые могут быть измерены (сняты) и получены в результате проверок и по значениям которых можно определить значения контролируемых показателей;

–определение точек съема значений указанных параметров, т.е. тех из них в структуре объекта, обрабатывающего конфиденциальную информацию, где могут быть зафиксированы значения каждого из этих существенно значимых параметров;

–определение способов съема (определения) указанных параметров;

–выработка методов определения (проверки, верификации) значений параметров;

–разработка методов определения текущих и прогнозирования ожидаемых значений показателей уровня безопасности информации на объекте.

Положительный аспект – непосредственному наблюдению подвергаются элементарные параметры, что затрудняет злоумышленникам выбор путей обхода. Для реализации всех положительных свойств множество контролируемых параметров должно быть достаточно большим, а сами параметры должны быть достаточно элементарными во избежание определения (вскрытия) характера контролируемых показателей безопасности.

Сущность контроля по второму варианту – в его процессе определяются такие нарушения требований безопасности информации, которые имели место ранее или возможность которых весьма вероятна. Организация контроля предполагает решение следующих задач:

–формирование и регулярную корректировку системы потенциально возможных нарушений правил защиты;

–определение вероятностных характеристик возможностей проявления каждого из потенциально возможных нарушений;

–установление возможных мест, условий и характера проявления каждого из нарушений;

–формирование, уточнение и пополнение каталога возможных нарушений. Преимуществами второго варианта являются наглядность контроля и полный

учет опыта функционирования систем защиты информации. К недостаткам можно отнести ориентацию на предшествующий опыт.

90

Анализ методов контроля безопасности информации, предлагаемых зарубежными специалистами, показал, что контроль обеспечивается применением автоматизированных систем с соответствующим программным и аппаратным обеспечением, а также выполнением организационно-технических мер по защите информации. Кроме того, как указывается в зарубежной печати, контроль защищенности информации начинает осуществляться и через контроль действий обслуживающего персонала путем сравнительного анализа данных об их деятельности, фиксируемых в регистрационных журналах. Целью такого анализа является выявление отклонений фактических действий контролируемых лиц от разрешенных им действий. Предполагается, что на основе статистического анализа отклонений можно определять характер злоумышленных намерений соответствующих лиц. Последние исследования зарубежных специалистов подтверждают вывод о том, что обеспечить необходимую степень конфиденциальности можно, применяя лишь комплексный подход к решению проблем защиты информации, в том числе к созданию комплексных систем контроля ее безопасности.

5. Организационно-правовое и документальное обеспечение работ по защите информации

Неотъемлемой составной частью защиты информации является система документального обеспечения данного процесса, самостоятельным компонентом которойявляютсятиповыедокументы.

Типовой документ – это такой, который прошел апробацию полномочными органами в качестве типового (получил всеобщее признание в кругу специалистов).

Какого-либо утвержденного или хотя бы общепризнанного перечня типовых документов в настоящее время нет. Однако большой объем работ по защите информации, ее многообразие, сложность и значительное количество участников дают основания утверждать, что чем лучше документационное обеспечение этих работ, темэффективнеерешаютсявсепроблемызащитыинформации.

Основное назначение документов может быть сформулировано следующим образом:

–обеспечение научно-методологического и концептуального единства при решениивсехвопросовзащитыинформации;

–создание условий для однозначного понимания и практической реализации основныхположенийунифицированнойконцепциизащитыинформации;

–доведение необходимых данных до всех органов и лиц, участвующих в защитеинформации;

–обеспечение нормативного правового регулирования процессов защиты информации;

–регистрация носителей конфиденциальной информации и работ, связанных с информационнойбезопасностью.

Документы должны образовывать единую систему, представляющую собой упорядоченный перечень групп документов, разрабатываемых по вопросам, относящимсякзащитеинформациинаобъектеинформатизации.

Структура системы типовых документов может быть представлена совокупностьюпятигруппдокументов:

1)справочно-информационных;

2)нормативныхправовых;