Учебное пособие 267

Система управления конфигурацией средств защиты информации – централизованное управление конфигурацией всех служб и сервисов системы безопасности.

Система защиты серверов и АРМ – ограничение доступа к данным на локальных рабочих местах, а также к локальной консоли серверов, межсетевых экранов и активного серверного оборудования.

Система экстренного уничтожения информации – экстренное и полное уничтожение данных, представляющих стратегический интерес для злоумышленников в случае возникновения реальной угрозы захвата информационных ресурсов АС.

Система блокировки загрузки с отчуждаемых носителей

– защита серверов и АРМ от несанкционированного изменения конфигурации и режим функционирования путем загрузки с посторонних носителей информации.

В состав вышеописанных систем могут быть включены различные технологии и использованы различные методы для повышения защищенности АС.

Практическое задание

На примере выбранного предприятия рассмотреть возможность применения различных технологий и методов при создания защищенной АСЗИ.

Для выполнения задания необходимо:

1)дать описание организации (области применения и границ процесса менеджмента риска ИБ) в соответствии с приложением А ГОСТ Р ИСО/МЭК 27005-2010;

2)обследовать выбранную организацию и выявить список потенциальных угроз и уязвимостей ее безопасности;

3)разработать план применения технологий и методов для снижения количества уязвимостей рассматриваемой организации, а также снижения вероятности реализации угроз в

ееотношении.

9

Контрольные вопросы

1.С какой целью в АСЗИ могут использоваться доверенные аппаратные платформы?

2.Что из себя представляют технологии виртуальных частных сетей и для снижения каких угроз возможно использовать данные технологии?

3.Для снижения угрозы атак какого типа возможно использование технологий распределенного хранения данных?

4.Для какой цели используются кластерные технологии при создании АСЗИ?

5.С помощью каких средств и технологий возможно управление структурой и трафиком сети защищаемой АСЗИ?

6.Какие средства используются на практике для обеспечения бесперебойного и безопасного электропитания АСЗИ?

7.Для чего необходимо использование методов разграничения доступа пользователей к информационным ресурсам АСЗИ?

10

Тема 3. ЭКСПЛУАТАЦИЯ АВТОМАТИЗИРОВАННЫХ ЗАЩИЩЕННЫХ СИСТЕМ

Номенклатуру требований по ЗИ, предъявляемую к АСЗИ, разрабатывают в соответствии с требованиями НД по ЗИ, содержащими требования по проведению сертификации комплектующих изделий, по проведению специальных исследований и специальных проверок средств обработки информации как иностранного, так и совместного производства и по проведению аттестации АСЗИ по требованиям безопасности информации.

Ввод АСЗИ в эксплуатацию осуществляется только после выполнения всех мероприятий по ЗИ и проведения испытаний испытательным центром (лабораторией) на соответствие требованиям НД по защите информации.

Применение АСЗИ для обработки защищаемой информации разрешается только после ее аттестации на соответствие требованиям безопасности информации.

Эксплуатация АСЗИ должна осуществляться в полном соответствии с утвержденной организационнораспорядительной и эксплуатационной документацией на АСЗИ, оценка которым должна быть дана при испытаниях АСЗИ на соответствие требованиям НД по защите информации.

При выявлении нарушений требований ЗИ на АСЗИ установленным НД эксплуатация АСЗИ должна быть прекращена.

Специальные исследования ТС и средств АСЗИ проводятся организациями (учреждениями), имеющими лицензии на соответствующий вид деятельности.

Сертификация средств, аттестация и испытания АСЗИ на соответствие требованиям по защите обрабатываемой информации осуществляют в соответствии с требованиями соответствующих ГОСТ.

Для непосредственной организации (построения) и эффективного функционирования ПСБ АС может быть (а при

11

больших объемах защищаемой информации – должна быть) создана специальная штатная служба информационной безопасности.

Процесс администрирования АЗС является организационно-технологическим процессом, объединяющим методики и процедуры обеспечения безопасности с действиями сил и средств. К основным процедурам процесса администрирования относятся:

проверка (мониторинг) работоспособности системы и средств безопасности;

управление атрибутами безопасности (паролями,

ключами, правами доступа);

поддержка пользователей;

сопровождение программного обеспечения;

конфигурирование системы и средств защиты;

резервное копирование;

управление носителями;

мониторинг событий безопасности. Систематические проверки работоспособности системы

безопасности – необходимое условие надежного функционирования КС. Проверки должны включать: проведение учений и регламентные работы по контролю политики и всей системы безопасности, постоянное тестирование основных процедур, программно-аппаратных механизмов и средств. Важным элементом проверки является определение достаточной степени полноты проверок и периодичности с целью получения уверенности в защищенности КС.

Также, при введении в эксплуатацию АСЗИ необходима разработка регламентирующей документации, поскольку она является официальной (признаваемой законодательством РФ) нормативной основой информационной деятельности и правоотношений. В ее состав входят:

1) Положение об информационной системе объекта.

12

2)Положение о перечне и порядке обращения с информацией ограниченного распространения.

3)Положение о системе защиты информации (в ряде источников – план защиты информации).

4)Набор должностных инструкций (памяток) для пользователей и персонала с правилами эксплуатации элементов КС и требованиями информационной безопасности.

5)Приказы руководителя организации о вводе в

эксплуатацию КС и ее подсистем, о назначении ответственных за различные аспекты безопасности сотрудников.

6)Акты категорирования помещений и компьютерной техники, заключения о проведении проверочных мероприятий, предписания на эксплуатацию КС и ее элементов.

7)Подписанные сотрудниками обязательства по соблюдению правил и требований и неразглашению информации ограниченного распространения.

8)Журналы учета документов, носителей компьютерной информации, выдачи средств доступа и т.п.

9)План обеспечения бесперебойной работы и восстановления целостности КС.

10)Технический паспорт на объект информатизации.

11)Дополнительная документация по защите информации на АСЗИ (по ГОСТ 34.201).

12)На программные средства разрабатывают конструкторскую и эксплуатационную документацию в соответствии с ЕСПД. На программно-технические средства разрабатывают конструкторскую и эксплуатационную документацию согласно требованиям ЕСПД, ЕСКД и ЕСТД.

Практическое задание

На примере выбранного предприятия рассмотреть вопросы эксплуатации защищенной АСЗИ.

Для выполнения задания необходимо:

13

1)дать описание организации (области применения и границ процесса менеджмента риска ИБ) в соответствии с приложением А ГОСТ Р ИСО/МЭК 27005-2010;

2)обследовать выбранную организацию и ее АСЗИ на наличие всей необходимой организационно-распорядительной

иэксплуатационной документации;

3)рассмотреть вопрос о необходимости создания специальной штатной службы информационной безопасности в организации;

4)разработать план администрирования АЗСИ.

Контрольные вопросы

1.Какие основные функции выполняет служба обеспечения компьютерной безопасности?

2.В чем состоит поддержка пользователей в процессе администрирования АСЗИ?

3.Что обеспечивают процедуры конфигурирования средств защиты информации, функционирующие в АСЗИ?

4.Для чего в процесс администрирования применяют резервное копировании информации?

5.Что содержит в себе положение об информационной системе объекта?

6.Какие вопросы должен отражать план обеспечения бесперебойной работы и восстановления целостности АС?

7.Что входит в состав дополнительной документации по защите информации на АСЗИ?

14

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1.ГОСТ Р 51624-2000 Автоматизированные информационные системы в защищенном исполнении принят и введен в действие Постановлением Госстандарта России от 30 июня 2000 г. №175-ст.

2.ГОСТ Р 51583-2000 Порядок создания автоматизированных систем в защищенном исполнении, принят и введен в действие Постановлением Госстандарта России от 6 апреля 2000 г. №95-ст.

3.ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования. – М.: Стандартинформ, 2008. - 10 с.

4.ГОСТ Р 51275 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. – М.: Стандартинформ, 2006. - 12 с.

5.Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: Решение председателя Гостехкомиссии России от 30 марта 1992 года.

6. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности

вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: Решение председателя Гостехкомиссии России от 30 марта 1992 года.

8.Белоножкин, В. И. Концепция регионального межведомственного антитеррористического банка данных [Текст] / А. Б. Андреев, Б. Ю. Зинченко, В. И. Белоножкин // Информация и безопасность. – 2002. – Вып. 1. – С. 142-144.

9.Белоножкин, В. И. Методология создания защищенных корпоративных региональных информационно -

15

телекоммуникационных систем правоохранительных структур [Текст] / В. И. Белоножкин // Информация и безопасность. –

2002. – Вып.3. – С. 150-156.

10.Олифер, В. Г., Компьютерные сети. Принципы, технологии, протоколы [Текст]: учебник для вузов / В. Г. Олифер, Н. А. Олифер. – 3-е изд. – СПб.: Питер, 2006. – 958 с.

11.Кульгин, М. Технологии корпоративных сетей. Энциклопедия [Текст] / М. Кульгин. – СПб.: Питер, 2000. –

704 с.

12.Хендерсон, Л. FrameRelay. Межсетевое взаимодействие: пер. с англ. / Л. Хендерсон, Т. Дженкинс. – Киев: Век+, М.: Горячая линия – Телеком, ЭНТРОП. 2000. – 320 с.

13.Грушо, А. А. Скрытые каналы и безопасность информации в компьютерных системах [Текст] / А. А. Грушо // Дискретная математика. –Т.10. –Вып. 1. – 1998. – С. 3-9.

14.Язов, Ю. К. Основы методологии количественной оценки эффективности защиты информации в компьютерных системах [Текст] / Ю. К. Язов. – Ростов-на-Дону: СКНЦ ВШ,

2006. – 274 с.

15.Тарасов, В. Б. От многоагентных систем к интеллектуальным организациям: философия, психология, информатика [Текст] / В. Б. Тарасов. – М.: Эдиториал УРСС,

2002. – 352 с.

16.Петренко, С. А. Управление информационными рисками. Экономически оправданная безопасность [Текст] / С. А. Петренко, С. В. Симонов. – М.: Компания АйТи; ДМК Пресс, 2004. – 392 с.

17.Галицкий, А. В. Защита информации в сети – анализ технологий и синтез решений [Текст] / А. В. Галицкий, С. Д. Рябко, В. Ф. Шаньгин. – М.: ДМК Пресс, 2004. – 616 с.

18.Зима, В. М., Безопасность глобальных сетевых технологий [Текст] / В. М. Зима, А. А. Молдовян, Н. А. Молдовян. – 2-е изд. – СПб.: БХВ-Петербург, 2014. – 368 с.

19.Требования о защите информации, содержащейся

винформационных системах общего пользования. Утверждены

16

приказом ФСБ России и ФСТЭК России от 31 августа 2010 г. № 416/ 489) [Электронный ресурс]. – Режим доступа: http://fstec.ru/component/attachments/download/283.

20.Завгородний, В. И. Концепция создания ЭВМ защищенной архитектуры [Текст] / В. И. Завгородний // Безопасность информационных технологий. – № 1. – 2006. – С.

15 – 20.

21.Зегжда, Д. П. Принципы и методы создания защищенных систем обработки информации [Текст]: дис. … д- ра техн. наук / Д. П. Зегжда. – СПб, 2002. – 380 c.

17

18