Лекции КЗИ / Лекция_КЗИ_full
.pdfМеры контроля
Меры контроля представляют собой совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по ЗИ. Организационные меры контроля включают проверку:
•выполнения сотрудниками требований по обеспечению сохранности коммерческой тайны;
•выполнения пропускного режима;
•выполнения сотрудниками правил работы с конфиденциальными документами (правила хранения, размножения и копирования);
•наличия защищаемых носителей конфиденциальной информации.
При проведении технического контроля осуществляется проверка мер технической защиты информации установленным требованиям или предельно допустимым значениям (нормам). В зависимости от объема проверяемых каналов возможной утечки информации технический контроль может быть:
•комплексный, проверка всех каналов;
•целевой, проверка одного из каналов;
•выборочный, проверка наиболее вероятных каналов утечки. Кроме того, контроль функционирования КСЗИ может быть:
•внешний, проводимый различными государственными органами;
•внутренний, проводимый службой безопасности предприятия.
При классификации видов контроля используются временные рамки, скорость изменения контролируемых процессов, затраты на проведение измерений и обработку результатов и др.
Управление КСЗИ в условиях чрезвычайных ситуаций
Чрезвычайная ситуация (ЧС) – это катастрофические изменения состояния некоторого объекта, сложившиеся в результате аварии, опасного природного явления, катастрофы, стихийного или иного бедствия и повлекшие за собой большие людские, материальные или финансовые потери.
ЧС классифицируются: по источникам происхождения и по масштабам (количеству пострадавших, размеру материального ущерба, территории распространения).
Выделяют следующие причины возникновения ЧС:
•природные (ураганы, землетрясения, наводнения и т.д.);
•техногенные (поломки, аварии, взрывы);
•антропогенные источники ЧС (неосторожность персонала, злой умысел и т.д.), связанные с деятельностью человека;
•терроризм.
На принятие решений в условиях ЧС существенное влияние оказывают следующие факторы:
•неопределенность, связанная со сложностью сбора и обработки оперативной информации, а также возможным разрушением АС управления;
•недостаток резервов и ресурсов;
•ограниченность времени на принятие решения;
•психофизиологическое состояние лиц, принимающих решения, и тех, кто испытал на себе последствия ЧС (шок, кровопотеря, страх, голод, и т.п.).
Главное в ЧС – это сохранение жизни людей и нормальное функционирование систем жизнеобеспечения, в том числе КСЗИ.
Все ЧС имеют 3 классических периода:
1)угрожаемый;
2)нейтрализации или предотвращения;
3)восстановления функционирования КСЗИ.
Вэтой связи чрезвычайно важной является подготовка мероприятий на случай возникновения ЧС. Это может быть:
1. Заблаговременная подготовка, включающая:
•прогнозирование потерь при ЧС;
•расчет и формирование резерва, необходимого для сокращения потерь;
•поддержание ресурсов в необходимой степени готовности.
2. Непосредственная подготовка – привлечение (частичное или полное) подготовленного резерва к работам по ликвидации последствий ЧС.
Для КСЗИ в условиях ЧС необходимо разработать:
•меры по защите наиболее важных и ценных носителей информации;
•подробные инструкции, регламентирующие деятельность каждого сотрудника;
•распределение обязанностей и ответственности за сохранность носителей информации;
•материально-техническое обеспечение ЧС.
Особое внимание необходимо уделить созданию резервных копий жизненно важной для функционирования комплексной системы информации.
Различают следующие виды резервирования:
1) организационное; 2) техническое; 3) информационное. Среди методов резервирования выделяют:
•полное дублирование;
•инкрементальное (наращиваемое) резервирование;
•дифференциальное резервирование.
Полное резервирование обычно затрагивает всю КСЗИ и все защищаемые документы. Еженедельное, ежемесячное и ежеквартальное резервирование подразумевает полное резервирование.
При инкрементальном резервировании происходит копирование только тех файлов, которые были изменены с тех пор, как в последний раз выполнялось полное или добавочное резервное копирование. Последующее резервирование добавляет только те файлы, которые были изменены с момента предыдущего инкрементального резервирования. В среднем, этот вид резервирования требует меньше времени. Однако процесс восстановления данных занимает больше времени, так как объем восстанавливаемых данных увеличивается.
При дифференциальном резервировании каждый файл, который был изменен с момента последнего полного резервирования, копируется каждый раз заново. Дифференциальное резервирование ускоряет процесс восстановления.
Методы оценки несоответствия средств защиты информации
Под оценкой соответствия понимается доказательство того, что заданные требования к продукции, процессу, системе выполнены. Допускается, что доказательство может быть прямым или косвенным, формальным или неформальным. Выдачу официальными органами по оценке соответствия документально оформленного заявления о соответствии заданным требованиям называют подтверждением соответствия. Примерами таких удостоверений могут быть сертификаты, аттестаты, заключения.
Базовыми видами деятельности по оценке соответствия являются:
•испытание,
•контроль,
•сертификация,
•аккредитация органов по оценке соответствия.
Виды деятельности могут включать различные процедуры по оценке соответствия. В области информационной безопасности примерами видов деятельности по оценке соответствия или их процедурами являются сертификация средств защиты информации, аттестация объектов информатизации, аккредитация органов, лабораторий, центров, различные виды испытаний и контроля по требованиям безопасности информации, а также аудит безопасности программных средств, информационных систем и систем менеджмента информационной безопасности.
Виды и процедуры оценки соответствия по требованиям безопасности информации
С точки зрения независимости доказательства оценки соответствия различают деятельность трех сторон:
•первая сторона, представляющая объект оценки, например: разработчик или поставщик;
•вторая сторона, заинтересованная в объекте оценки как ее пользователь, например, представитель заказчика;
•третья сторона, независимая от первой и второй сторон, например, аккредитованная испытательная лаборатория.
Кпримеру, средства защиты информации подлежат оценке соответствия в форме обязательной сертификации. Аккредитованные органы сертификации и испытательные лаборатории, участвующие в процессе сертификации, должны быть независимы от заказчика работ, т.е. являться третьими сторонами. В то же время аттестация объектов информатизации в некоторых случаях может быть проведена самой организацией, т.е. первой стороной. Подтверждение соответствия первой стороной называется декларированием (декларацией) о соответствии. В таблице на следующем слайде приведены примеры видов деятельности и объекты оценки соответствия по требованиям безопасности информации.
|
|
Лицо, организация, орган |
|
|
Виды и процедуры оценки |
Первая сторона |
Вторая |
Третья сторона |
|
соответствия |
|
|
сторона |
|
|
|
|
|
|
|
Объекты оценки соответствия |
|
||
Предварительные испытания |
Проекты, макеты, |
|
|
|
|
образцы СЗИ |
|
|
|
Входной контроль |
|
|
СЗИ |
|
Приемка |
|
|
СЗИ |
|
Периодический контроль |
СЗИ |
|
СЗИ |
СЗИ |
|
|
|
|
|
Экспертиза |
|
|
|
Документы |
Сертификация |
|
|
|
СЗИ |
Аттестация |
ОИ* |
|
ОИ* |
ОИ |
Контроль встраивания |
|
|
|
Криптографические |
|
|
|
|
СЗИ |
Декларирование |
Документация |
|
|
|
|
|
|
|
|
Поверка |
|
|
|
Средства изме- |
|
|
|
|
рений |
Калибровка |
Средства измерений |
Средства |
Средства измерений |
|
|
|
|
измерений |
|
Спецэкспертиза |
|
|
|
Организации |
Аккредитация |
|
|
|
Организации |
Инспекционный контроль |
|
|
|
СЗИ, ОИ, |
|
|
|
|
организации |
Аудит |
СЗИ, |
системы, |
СЗИ, системы, |
СЗИ, системы, |
|
организации |
организации |
организации |
|
* только для лицензиатов ФСТЭК при защите конфиденциальной информации |
||||
СЗИ — средства защиты, ОИ — объекты информатизации |
|
|||
Функциональный подход к оценке соответствия
Совокупность участников, правил, процедур и менеджмента, используемых для выполнения оценки соответствия, представляет собой систему оценки соответствия. В нашей стране в области безопасности информации примерами таких систем являются обязательные системы сертификации средств защиты информации Минобороны России, ФСБ России и ФСТЭК России, а также добровольные системы сертификации по безопасности информации.
Стандарт ИСО 17000 определяет три функции оценки соответствия, графически это представлено на следующем слайде:
1.Выбор, в рамках которого выполняется планирование и подготовка к получению доказательств, в том числе определяется методология оценки и отбирается собственно объект оценки;
2.Определение, в рамках чего проводится исследование характеристик объекта оценки и формируются соответствующие отчетные документы;
3.Итоговая проверка и подтверждение соответствия, в результате которых принимается и оформляется решение о соответствии или несоответствии объекта оценки заданным требованиям.
Важной процедурой оценки соответствия является инспекционный контроль, представляющий собой систематическое наблюдение за деятельностью по оценке соответствия.
Пoтpe6нocтъ дoкaзaтъ, чтo зaдaнныe тpe6oвaния выпoлняютcя
Bы6op
Oпpeдeлeниe
Итoгoвaя пpoвepкa
ипoдтвepждeниe cooтвeтcтвия
— кoнтyp A;
Инфopмaция o вы6paнныx o6ъeктax
Инфopмaция o выпoлнeнии зaдaнныx тpe6oвaний
|
Дa |
Bыпoлнeниe |
Heo6xoдимocтъ |
зaдaнныx тpe6oвaний |
инcпeкциoннoгo |
дoкaзaнo |
кoнтpoля? |
|
Heт |
— кoнтyp B |
KOHEЦ |
|
Виды процедур оценки соответствия технических систем
Кроме сертификации средств защиты информации, которая заслуживает отдельного внимания, можно встретить определения разного рода процедур оценки соответствия технических средств и систем защиты, а именно:
•испытания;
•аттестация;
•тестирование;
•аудит;
•анализ рисков.