ТИБМЗИ 2010 Загинайлов
.pdfструктуры (классы, группы), каждый из которых был бы адекватен некоторым вполне определенным потребностям в защите информации, а вся совокупность таких элементов охватывала бы все потенциально возможные варианты потребностей в защите.
Высший уровень. В качестве примера типизации СЗИ на высшем уровне можно выделить классификацию объектов информатизации (4 типа).
Задачи стандартизации на этом уровне достаточно сложны в связи с тем, что условия функционирования объектов информатизации предприятий, учреждений, организаций различны и, следовательно, существенно различаются цели и задачи защиты информации. Поэтому на этом уровне становится возможна лишь стандартизация типовых факторов воздействующих на объект информатизации. Примером этому служит стандарт ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию.
Требования безопасности к этим типам объектов складываются из требований безопасности к объектам, из которых они состоят, т.е требований безопасности к средствам и системам обработки (ОТСС), к средствам обеспечения объекта (ВТСС) и помещениям (зданиям, сооружениям). Уровень защищённости компонент зависит от степени конфиденциальности (секретности) информации.
Средний уровень - уровень компонент объекта информатиза-
ции.
В качестве базового компонента ОТСС в настоящее время определены Автоматизированные системы в защищённом исполнении (АСЗИ). АСЗИ это АС имеющие систему защиты, которая отвечает набору стандартов защиты и нормативных документов (Руководящих документов ФСТЭК).
На этом уровне учитываются условия обработки, состав и функции органов защиты, наличие нормативных документов определяющих режим защиты и правила обращения с информацией. В зависимости от ценности информации (грифа секретности и конфиденциальности) и условий обработки (уровней допуска пользователей) все системы (АС) разделяются на 9 классов, а помещения, в которых они установлены или помещения для конфиденциальных переговоров 3 класса, в зависимости от грифа секретности информации. ОТСС (АС, помещения в которых они установлены, помещения для конфиденциальных переговоров) аттестуются на соответствующий класс по требованиям безопасности информации сертификационными центрами, имеющими аккредитацию ФСТЭК на проведение аттестации объектов информатизации).
221
Таким образом, типизация и стандартизация на среднем уровне, предполагает разработку типовых проектов структурно или функционально ориентированных компонентов СЗИ, которые учитывают условия обработки. Требования к проектированию и построению систем защиты определены в стандартах и нормативных (руководящих) документах органов исполнительной власти уполномоченных в области безопасности и технической защиты информации. Стандартизованными являются АС различного уровня и назначения и помещения для конфиденциальных переговоров. По международным стандартам безопасности информационных технологий этот уровень типизации и стандартизации определяется как уровень ИТ-систем.
Низший уровень. Уровень проектных решений по средствам и механизмам защиты. Типизация и стандартизация на низшем уровне предполагает разработку и стандартизацию типовых проектных решений по практической реализации средств защиты информации или спецификаций:
программно-аппаратных;
криптографических;
физической защиты.
Внастоящее время существует несколько систем стандартизации как на основе национальных стандартов (руководящих документов ФСТЭК), так и международных.
По международным стандартам безопасности информационных технологий этот уровень типизации и стандартизации определяется как уровень ИТ-продуктов.
Таким образом, типизация и стандартизация на низшем уровне, предполагает разработку типовых решений на уровне подсистем защиты или средств защиты, которые могут быть сертифицированы в качестве стандартных и из которых можно просто собирать необходимую СЗИ (подсистемы защиты ОС, БД, средства защиты реализованные в ОТСС или ВТСС и т.д., различные спецификации, ИТ-продукты). Они не учитывают (или учитывают частично) условий обработки информации и функционирования объекта информатизации.
Классификация систем защиты. В качестве варианта классифи-
кации СЗИ может быть рассмотрен один из эмпирических подходов к типизации СЗИ АС, в рамках которого СЗИ классифицируются по уровню защиты, обеспечиваемому соответствующей системой и активности реагирования СЗИ на несанкционированные действия.
По уровню обеспечиваемой защиты все СЗИ целесообразно разделить, например, на следующие пять категории:
222
1)системы слабой (тривиальной) защиты - рассчитанные на такие АС, в которых обрабатывается информация, имеющая самый низший уровень конфиденциальности и ущерб от получения её третьими лицами не несёт значительного материального ущерба способного повлиять на деятельность организации и её бизнес процессы;
2)системы «нормальной» (базовой) защиты - рассчитанные на такие АС, в которых обрабатывается информация ограниченного доступа и (или) другая ценная информация и ущерб от получения её третьими лицами или её утрата может привести к материальному (финансовому) или моральному ущербу способному повлиять на деятельность организации и её бизнес процессы.
3)системы сильной защиты - рассчитанные на АС, в которых обрабатывается информация, подлежащая защите от несанкционированного ее получения, и имеющая высокую (государственную) важность (ценность);
4)системы очень сильной защиты - рассчитанные на АС, в кото-
рых регулярно обрабатываются информация, имеющая очень высокую (государственную) важность (ценность);
5)системы особой защиты - рассчитанные на АС, в которых регулярно обрабатывается информация особой (государственной) важности (ценности).
Учитывая условную ценность (важность) выраженную в уровнях конфиденциальности (секретности) можно составить соответствие важности (ценности) информации и требуемого уровня системы защи-
ты (табл.15.2).
Табл.15.2 Классификация АС по уровню обеспечиваемой защиты на основе важности (ценности) информации
Вид |
Уровень |
Уровень системы защиты |
|
тайны |
конфиденциальности |
АС |
|
Персональные дан- |
Коммерческая тайна 2-й |
Системы слабой (тривиальной) |
|
ные |
категории важности |
защиты |
|
Служебная |
|
|
|
Коммерческая |
Системы |
||
тайна |
|||
тайна 1-й категории важ- |
базовой (нормальной) |
||
Коммерческая |
|||
ности |
защиты |
||
тайна |
|||
ДСП |
|
||
|
|
||
|
|
|
|
Государственная |
Секретно |
Системы сильной защиты |
|
тайна |
Сов. секретно |
Системы очень сильной защиты |
|
|
Особой важности |
Системы особой защиты |
223
По активности реагирования СЗИ на несанкционированные действия, все системы защиты можно разделить на следующие три типа:
1)пассивные СЗИ, в которых не предусматривается ни сигнализация о несанкционированных действиях, ни воздействие системы защиты на нарушителя (например системы аудита);
2)полуактивные СЗИ, в которых предусматривается сигнализация о несанкционированных действиях, но не предусмотрено воздействие системы на нарушителя;
3)активные СЗИ, в которых предусматривается как сигнализация
онесанкционированных действиях, так и воздействие системы на нарушителя, его действия или используемые средства. В этом случае, в качестве примера можно привести СЗИ от НСД в АС в которых функционально может быть предусмотрено блокирование доступа к защищаемым ресурсам в случае трёх попыток ввода неправильного пароля, или отключение компьютера вообще.
В общем случае можно предположить, что СЗИ каждой категории по уровню защиты могут относиться к разным типам активности реагирования. Однако вряд ли целесообразно строить активные СЗИ слабой защиты (хотя в некоторых случаях такие системы и могут быть допустимы). С другой стороны, системы особой защиты непременно должны быть активными. Следовательно, в классификационной структуре могут быть выделены обязательные, целесообразные, нецелесообразные, допустимые и недопустимые СЗИ.
Системы защиты информации государственного уровня рассмотрены в главе 3.
Контрольные вопросы и задания
1.Приведите понятие системы защиты информации и её компоненты в соответствии с Российскими национальными стандартами.
2.Что включают в себя общеметодологические требования к системе защиты информации?
3.Приведите перечень общеметодологических принципов построения систем защиты информации.
4.В чём суть принципа комплексности в построении систем защиты информации?
5.В чём суть принципа адекватности в построении систем защиты информации?
224
6.В чём заключается суть и проблема типизации СЗИ на высшем уровне? Приведите пример типизации.
7.В чём заключается суть типизации СЗИ на среднем уровне? Приведите пример.
8.В чём заключается суть типизации СЗИ на низшем уровне? Приведите пример.
9.Как классифицируются СЗИ по уровню обеспечиваемой защиты? Приведите пример.
10.Как классифицируются СЗИ по активности реагирования на несанкционированные действии?
225
Глава 16 КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ
НА ПРЕДПРИЯТИИ
16.1 Понятие и общая структура комплексной системы защиты информации на предприятии
Одним из базовых принципов и требований к обеспечению информационной безопасности предприятия и построению систем защиты является принцип комплексности защиты. Основная идея этого принципа заключается в том, что, во-первых должны быть защищены все объекты предприятия (объекты информатизации) на которых ведётся обработка информации, во-вторых должен использоваться арсенал методов и средств всех видов защиты: правового, технического, организационного, криптографического, физического в их оптимальном сочетании обеспечивающем соотношение цена системы защиты/эффективность системы защиты.
Основными показателями, задающими необходимый комплекс мероприятий и средств по защите информации, следует считать:
-количество (объёмы) и ценность используемой и обрабатываемой на предприятии информации и информационных ресурсов;
-количество и технологические особенности технических средств обработки, хранения, передачи информации (средств автоматизации, связи и т.п);
-состав, объекты и степень конфиденциальности защищаемой информации;
-количество и уровень подготовки персонала связанного с использованием, обработкой, хранением, передачей информации вообще
иценной (конфиденциальной) в частности;
-структура и территориальное расположение предприятия;
-режим функционирования предприятия;
-конструктивные особенности (компактные, территориальнораспределённые, размещённые совместно с другими предприятиями);
-количественные и качественные показатели ресурсообеспечения (возможности по выделению средств на СЗИ);
-угрозы безопасности всем видам защищаемой информации, информационным ресурсам, системам и средствам их обработки, передачи, хранения расположенным в помещениях предприятия и представляющих собой в совокупности объекты информатизации.
Эти показатели зависят от следующих факторов, влияющих на организацию системы защиты предприятия:
226
1)форма собственности предприятия;
2)организационноправовая форма предприятия;
3)характер основной деятельности;
4)степень автоматизации основных процедур обработки защищаемой информации;
Другим базовым принципом и требованием к СЗИ следует считать принцип адекватности.
Методы и средства защиты информации должны быть адекватны угрозам с тем, чтобы обеспечить достаточный уровень защиты с учетом всех существующих рисков для предприятия в информационной сфере и обеспечить их приемлемый уровень (для коммерческих предприятий), или соответствовать требованиям, предъявляемым в соответствии с законодательством, органами исполнительной власти уполномоченными в этой области.
С учётом указанных принципов, требований, показателей, факторов, угроз, понятие комплексной защиты может быть сформулировано следующим образом.
Комплексная система защиты информации предприятия
(КСЗИП) – СЗИ реализующая правовой, организационный, технический, физический, криптографический (при необходимости) виды защиты информации и адекватная, по своему компонентному составу и функциям, угрозам безопасности информации и объектам информатизации предприятия.
Анализ существующих стандартов, нормативных, методических документов в области защиты информации показывает, что состав КСЗИП и её структура может быть представлена в виде компонентов, каждый из которых представляет собой подсистему (рис.16.1). КСЗИП
– это социотехническая система.
Создание каждой подсистемы регламентировано и возможно на основе требований определённых в соответствующих технических регламентах, стандартах, нормативных и методических документах органов исполнительной власти.
227
СТРУКТУРА
КСЗИП
К О М П О Н Е Н Т Ы
Подсистема
управления
КСЗИ
|
|
|
|
|
|
|
|
|
|
|
|
Подсистема |
|
|
|
|
Подсистема |
|
|
Подсистема |
|||
|
защиты |
|
|
|
защиты от НСД в |
|
защиты |
||||
от физического |
|
|
|
|
АС и ИТКС |
|
|
от вредоносных |
|||
|
НСД |
|
|
|
|
|
|
|
программ |
||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|||||||
|
|
Подсистема защиты от утечки по ТКУИ и ПДТР |
|||||||||
|
|
|
|
|
|
|
|
|
Подсистема |
||
|
|
Подсистема |
|
|
|
||||||
|
защиты от утечки |
|
противодействия тех- |
||||||||
|
по техническим |
|
|
ническим разведкам |
|||||||
|
|
каналам |
|
|
|
(ПДТР) |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
Рис.16.1 Компоненты КСЗИП
16.2 Компоненты комплексной системы защиты информации на предприятии их назначение и стандартизация
Подсистема управления КСЗИП. Подсистема управления КСЗИП - предназначена для управления процессами защиты информации на основе законодательства и регламентации правил и порядка доступа к защищаемой информации и контроля всех процессов со стороны руководства организации и службы защиты информации.
Подсистема управления информационной безопасностью является одновременно подсистемой управления предприятием, и включает следующие элементы (рис.16.2):
228
1.Подсистема нормативно-правовых и методических документов.
2.Отдел (служба, сектор) защиты информации.
3.Руководство организации и руководители подразделений, в которых защищается информация.
4.Советы по безопасности и экспертные комиссии в области защиты информации (коллегиальные органы).
Служба |
|
|
|
Подсистема |
|
|
|
|
|||
|
|
|
управления |
|
|
|
|
||||
безопасности |
|
|
|
КСЗИП |
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Нормативно- |
|
Отдел |
|
Руководство |
|
Экспертные |
|||||
правовые и мето- |
|
(служба, сектор) |
|
организации |
|
комиссии и |
|||||
дические докумен- |
|
защиты информа- |
|
и руководители под- |
|
советы по |
|||||
ты |
|
ции |
|
разделений, в которых |
|
безопасности |
|||||
|
|
|
(или исполнители) |
|
защищается информа- |
|
|
|
|||
|
|
|
|
|
|
|
ция |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис.16.2 Подсистема управления КСЗИП
Нормативно-правовые и методические документы. Норматив-
но-правовые и методические документы как элемент подсистемы управления включают в себя три группы:
1)Федеральные законы РФ (включая технические регламенты), нормативные правовые акты и методические документы Президента РФ, Правительства РФ, органов исполнительной власти, стандарты по вопросам обеспечения информационной безопасности и защиты информации. Их перечень и обязательность наличия на предприятии устанавливается органами исполнительной власти уполномоченными в области безопасности, технической защиты информации и противодействия техническим разведкам;
2)Локальные нормативно-правовые и методические документы.
Перечень этой группы определяется исходя из требований документов первой группы и условий деятельности предприятия. К ним, в частности относятся: перечни сведений конфиденциального характера (подлежащих засекречиванию), политика (концепция) информационной безопасности предприятия, положения об отделе (службе) защиты информации и др., инструкции специалистам по защите информации, персоналу, руководства;
229
3) Лицензии на виды деятельности, включая деятельность по защите информации, лицензии на объекты интеллектуальной собственности, аттестаты соответствия по требованиям безопасности на объекты информатизации, сертификаты на технические и криптографические средства защиты информации, средства физической защиты.
При защите государственной тайны регламентация защиты и все элементы, приведенные на рисунке создаются и функционируют в строгом соответствии с законодательством о государственной тайне и требованиями нормативных документов, разработанными Правительством РФ и органами защиты государственной тайны в Российской Федерации.
При защите сведений конфиденциального характера, регламентация защиты и все элементы, приведенные на рисунке создаются и функционируют в пределах норм и правил, установленных для защиты сведений конфиденциального характера нормативными документами и стандартами. Для управления КСЗИ в организации может быть создана и внедрена система управления, основанная на стандартах в области управления информационной безопасностью и менеджмента качества: ГОСТ Р ИСО/МЭК -17799 и ГОСТ Р ИСО/МЭК -27001.
Отдел (служба, сектор) защиты информации (или исполнители ответственные за защиту информации). Как элемент подсисте-
мы управления КСЗИП отделы (службы, сектор) защиты информации создаются на основе требований законодательства (законодательство о государственной тайне) или исходя из потребностей предприятия. Во втором случае правовой основой создания и функционирования такого подразделения могут служить нормы Закона РФ 1992 г. N 2487-I "О частной детективной и охранной деятельности в Российской Федерации"(ст.14), а также нормы Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 17 ноября 2007 г. N 781) – при защите только персональных данных (ст.13). Отделы могут входить в службы безопасности предприятия.
Руководство организации и руководители подразделений, в которых защищается информация. Функции руководства предпри-
ятия по защите информации зависят от ряда факторов, основными из которых являются [1]:
-виды информации ограниченного доступа используемые на предприятии (государственная, служебная, коммерческая, персональные данные и т.п.);
-форма собственности и организационно-правовая форма предприятия;
230