Загинайлов Теория ИБ-1 главы с 4 по 10
.pdf–количественные и качественные показатели ресурсообеспечения (возможности по выделению средств на СЗИ);
–угрозы безопасности всем видам защищаемой информации, информационным ресурсам, системам и средствам их обработки, передачи, хранения расположенным в помещениях предприятия и представляющих собой в совокупности объекты информатизации.
Эти показатели зависят от следующих факторов, влияющих на организацию системы защиты предприятия:
1) форма собственности предприятия;
2) организационноправовая форма предприятия;
3) характер основной деятельности;
4) степень автоматизации основных процедур обработки защищаемой информации;
Другим базовым принципом и требованием к СЗИ следует считать принцип адекватности.
Методы и средства защиты информации должны быть адекватны угрозам с тем, чтобы обеспечить достаточный уровень защиты с учетом всех существующих рисков для предприятия в информационной сфере и обеспечить их приемлемый уровень (для коммерческих предприятий), или соответствовать требованиям, предъявляемым в соответствии с законодательством, органами исполнительной власти уполномоченными в этой области.
С учётом указанных принципов, требований, показателей, факторов, угроз, понятие комплексной защиты может быть сформулировано следующим образом.
Комплексная система защиты информации предприятия (КСЗИП) – СЗИ реализующая правовой, организационный, технический, физический, криптографический (при необходимости) виды защиты информации и адекватная, по своему компонентному составу и функциям, угрозам безопасности информации и объектам информатизации предприятия.
Анализ существующих стандартов, нормативных, методических документов в области защиты информации показывает, что состав КСЗИП и её структура может быть представлена в виде компонентов, каждый из которых представляет собой подсистему (рисунок 16.1). КСЗИП – это социотехническая система.
Создание каждой подсистемы регламентировано и возможно на основе требований определённых в соответствующих технических регламентах, стандартах, нормативных и методических документах органов исполнительной власти обеспечивающих защиту информации.
231
КСЗИП
К О М П О Н Е Н Т Ы
Подсистема
управления
КСЗИ
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Подсистема |
|
|
|
|
Подсистема |
|
|
Подсистема |
|||||
|
|
защиты |
|
|
|
защиты от НСД в |
|
защиты |
|||||
от физического |
|
|
|
|
АС и ИТКС |
|
|
от вредоносных |
|||||
|
|
НСД |
|
|
|
|
|
|
|
программ |
|||
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|||||||||
|
|
|
Подсистемы защиты от утечки по ТКУИ и ПДТР |
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Подсистема |
|||
|
|
|
Подсистема |
|
|
|
|||||||
|
|
защиты от утечки |
|
противодействия тех- |
|||||||||
|
|
по техническим |
|
|
ническим разведкам |
||||||||
|
|
|
каналам |
|
|
|
(ПДТР) |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рисунок 16.1 – Компоненты КСЗИП
16.2 Компоненты комплексной системы защиты информации на предприятии и их назначение
Подсистема управления КСЗИП. Подсистема управления КСЗИП - предназначена для управления процессами защиты информации на основе законодательства и регламентации правил и порядка доступа к защищаемой информации и контроля всех процессов со стороны руководства организации и службы защиты информации.
Подсистема управления информационной безопасностью является одновременно подсистемой управления предприятием, и включает следующие элементы (рисунок 16.2):
232
|
Подсистема |
|
Служба |
управления |
|
КСЗИП |
||
безопасности |
||
|
|
|
|
|
|
|
|
|
|
|
Нормативно- |
|
Отдел |
|
Руководство |
Экспертные |
|||
правовые и ме- |
|
(служба, сек- |
|
организации |
комиссии |
|||
тодические до- |
|
тор) защиты |
|
и руководители под- |
и советы |
|||
кументы |
|
информации |
|
разделений, в кото- |
по |
|||
|
|
|
(или исполни- |
|
рых защищается |
безопасности |
||
|
|
|
тели) |
|
информация |
|
|
|
|
|
|
|
|
|
|
|
|
Рисунок 16.2 – Подсистема управления КСЗИП
–нормативно-правовые и методические документы по защите информации;
–отдел (служба, сектор) защиты информации;
–руководство организации и руководители подразделений, в которых защищается информация;
–советы по безопасности и экспертные комиссии в области защиты информации (коллегиальные органы).
Нормативно-правовые и методические документы. Норма-
тивно-правовые и методические документы как элемент подсистемы управления включают в себя три группы:
1) Федеральные законы РФ (включая технические регламенты), нормативные правовые акты и методические документы Президента РФ, Правительства РФ, органов исполнительной власти, стандарты по вопросам обеспечения информационной безопасности и защиты информации. Их перечень и обязательность наличия на предприятии устанавливается органами исполнительной власти уполномоченными в области безопасности, технической защиты информации и противодействия техническим разведкам;
2) локальные нормативно-правовые и методические документы.
Перечень этой группы определяется исходя из требований документов первой группы и условий деятельности предприятия. К ним, в частности относятся: перечни сведений конфиденциального характера (подлежащих засекречиванию), политика (концепция) информацион-
233
ной безопасности предприятия, положения об отделе (службе) защиты информации и др., инструкции специалистам по защите информации, персоналу, руководства;
3) лицензии на виды деятельности, включая деятельность по защите информации, лицензии на объекты интеллектуальной собственности, аттестаты соответствия по требованиям безопасности на объекты информатизации, сертификаты на технические и криптографические средства защиты информации, средства физической защиты.
При защите государственной тайны регламентация защиты и все элементы подсистемы управления создаются и функционируют в строгом соответствии с законодательством о государственной тайне и требованиями нормативных документов, разработанными Правительством России и органами защиты государственной тайны.
При защите сведений конфиденциального характера, регламентация защиты и все элементы подсистемы управления, приведенные на рисунке создаются и функционируют в пределах норм и правил, установленных для защиты сведений конфиденциального характера нормативными документами и стандартами. Для управления КСЗИ в организации может быть создана и внедрена система управления, основанная на стандартах в области управления информационной безопасностью и менеджмента качества: ГОСТ Р ИСО/МЭК -17799 и ГОСТ Р ИСО/МЭК -27001.
Отдел (служба, сектор) защиты информации (или исполнители ответственные за защиту информации). Как элемент под-
системы управления КСЗИП отделы (службы, сектор) защиты информации создаются на основе требований законодательства (законодательство о государственной тайне) или исходя из потребностей предприятия. Во втором случае правовой основой создания и функционирования такого подразделения могут служить нормы Закона РФ 1992 г. N 2487-I "О частной детективной и охранной деятельности в Российской Федерации"(ст.14), а также нормы Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 17 ноября 2007 г. N 781) – при защите только персональных данных (ст.13). Отделы могут входить в службы безопасности предприятия.
Руководство организации и руководители подразделений, в которых защищается информация. Функции руководства предпри-
ятия по защите информации зависят от ряда факторов, основными из которых являются:
234
–виды информации ограниченного доступа используемые на предприятии (государственная, служебная, коммерческая, персональные данные и т.п.);
–форма собственности и организационно-правовая форма предприятия;
–подчинённость (подведомственность) предприятия (для предприятий государственной формы собственности);
–сфера деятельности.
Обязанности и права руководителей предприятия по вопросам защиты информации должны быть отражены в должностных инструкциях.
Экспертные комиссии и советы по безопасности в области защиты информации являются коллегиальными органами призванными решать те вопросы информационной безопасности и защиты информации, которые не могут быть решены узкими специалистами и отдельно руководителем организации и его заместителями.
К таким комиссиям относятся:
–постоянно действующие технические комиссии (ПДТК) предприятий по защите государственной тайны ( создаваемые в соответствии с Положением, утверждённым совместным приказом Гостехкомиссии России и ФСБ России в 2001г.);
–экспертные комиссии по экспертизе материалов для открытого опубликования материалов и публичного представления, присвоения грифа конфиденциальности для отдельных видов документов (кандидатские и докторские диссертации и т.п.)
–внутренние проверочные комиссии, назначаемые руководителем для проверки носителей информации ограниченного доступа и проведения внутреннего аудита информационной безопасности;
–комиссии по экспортному контролю при осуществлении международных связей (создаются в соответствии с требованиями законодательства об экспортном контроле)
–советы по безопасности (выполняют роль консультативных органов), которые вырабатывают рекомендации руководству по вопросам защиты информации, требующим комплексного (многостороннего) подхода и безопасности ИТ и ИТТ.
Подсистема защиты информации от НСД в АС и ИТКС. Под-
система защиты информации от НСД в АС и ИТКС является самостоятельной системой и предназначена для защиты конфиденциальной (секретной) информации от несанкционированного доступа в автоматизированных системах и ИТКС организации, а также для обеспечения
235
целостности информации и доступности для уполномоченных пользователей. СЗИ от НСД в АС и ИТКС включает следующие подсистемы
(рисунок 16.3):
–подсистема управления доступом;
–подсистема регистрации и учета;
–криптографическая подсистема;
–подсистема обеспечения целостности;
–подсистема безопасности межсетевого взаимодействия и удалённого доступа.
Система защиты информации от НСД в АС и ИТКС
|
|
|
|
|
|
|
|
|
|
|
|
|
Подсистема |
|
Подсистема |
|
Криптогра- |
|
Подсистема |
||||
|
управления |
|
регистрации |
|
фическая |
|
обеспечения |
||||
|
доступом |
|
и учета |
|
подсистема |
|
целостности |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Р е а л и з у е т с я в едином |
программно - аппаратном комплексе |
|||||||||
Подсистема безопасности межсетевого взаимодействия и удалённого доступа
(при взаимодействии АС через ИТКС )
Р е а л и з у е т с я в И ТКС
Рисунок 16.3 – Подсистема защиты информации от НСД в АС и ИТКС
Требования по созданию, по обеспечению безопасности информации в АС и ИТКС определены в стандартах и специальных нормативных документах по защите информации в АС от НСД и безопасности информационных технологий (Руководящих документах ФСТЭК России). В перспективе требования по защите информации и обеспечению безопасности информационных технологий на предприятии будут определены в специальных технических регламентах. Техниче-
236
ские регламенты будут иметь силу закона и являться обязательными для исполнения.
В настоящее время при организации защиты информации в АС и ИТКС, обрабатывающих информацию ограниченного доступа, отнесённую к государственной и служебной тайне, а также персональные данные (в зависимости от категории) необходимо руководствоваться стандартами:
–ГОСТ Р 51583 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие требования.
–ГОСТ Р 51624 Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования.
–ГОСТ Р ИСО/МЭК 15408 (Части 1-3. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий).
Основными руководящими документами, содержащими требования к АС, являются:
–РД ГТК РФ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. - М., 1992.
–РД ГТК РФ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. М., 1992.
Основными руководящими документами, содержащими требования к межсетевому взаимодействию АС и обеспечению безопасности в ИТКС, являются:
–РД ГТК. РФ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информа-
ции. - М., 1997;
–Указ Президента РФ от 17 марта 2008 г. N 351"О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».
При организации защиты коммерческой тайны в АС и ТКС могут использоваться как указанные выше стандарты и руководящие документы, так и международные стандарты, принятые в России в качестве национальных: ГОСТ Р ИСО/МЭК 13335 -2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 4 Выбор защитных мер, Часть 5 Руководство по менеджменту безопасности сети. Реализуется СЗИ от НСД методами и средствами программноаппаратной, программной, аппаратной защиты.
237
Подсистема защиты от несанкционированного физического доступа (подсистема физической защиты). Подсистема защиты от несанкционированного физического доступа предназначена для контроля пребывания на территории и объектах информатизации (в контролируемых зонах) персонала предприятия и предотвращения неконтролируемого пребывания посторонних лиц, а также для сигнализации и извещения о случаях несанкционированного проникновения на территорию и охраняемые объекты информатизации.
Она является одновременно подсистемой системы безопасности организации и может включать следующие подсистемы и элементы (рисунок 16.4): подсистема (средства) контроля и управления доступом на территорию и в помещения, подсистема (средства) охранной (и пожарной) сигнализации, подсистема видеонаблюдения за территорией и помещениями, средства физической укреплённости (дверей, окон), подразделения охраны (охранники), технические средства контроля и управления доступом (СКУД) на территорию (в контролируемые зоны) и в защищаемые помещения.
Подсистема
защиты от физического НСД
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Подсистема |
|
Подсистема |
Подсистема |
|||
контроля и управле- |
|
охранной |
видеонаблюдения |
|||
ния доступом на |
|
(и пожарной ) |
за территорией и |
|||
территорию |
|
сигнализации |
помещениями |
|||
и в помещения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Подразделения |
|
Технические средства |
Средства |
||||
охраны |
|
контроля и управления |
физической |
||||
(охранники) |
|
доступом на территорию |
укреплённости |
||||
|
|
|
и в помещения |
|
|
||
|
|
|
|
|
|||
Рисунок 16.4 – |
Подсистема защиты от физического НСД |
||||||
|
|
|
238 |
|
|
|
|
Каждая из перечисленных подсистем включает соответствующие технические средства, создаётся и внедряется в организации в рамках требований стандартов, для каждой указанной подсистемы:
–стандарты в области СКУД (системы контроля и управления доступом);
–стандарты в области охранно-пожарной сигнализации;
–стандарты в области систем и средств видеонаблюдения;
–стандарты укреплённости входов (двери), окон.
Технические требования к средствам (системам) контроля и управления доступом определены в ГОСТ Р 51241 —98 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.
Требования к системам охранной и пожарной сигнализации определены в документах:
–РД 78.147 — 93 /МВД России «Единые требования по укреплению и оборудованию сигнализации охраняемых объектов»;
–РД 78.143 — 92 /МВД России «Системы и комплексы охранной сигнализации. Нормы проектирования»;
–РД 78.145 — 93 /МВД России «Системы и комплексы охранной, пожарной и охранно-пожарной сигнализации. Правила производства и приемки работ»;
–Стандарт Европейского комитета по стандартизации в области электроники CENELEC 1996 г. EN 50133-1 «Устройства охранной сигнализации. Контрольно-пропускные устройства. Часть 1: требования к системе».
Стандарты, в которых определены требования физической укреплённости:
–ГОСТ Р 51242 — 98 Конструкции защитные механические и электромеханические для дверных и оконных проемов. Технические требования и методы испытаний на устойчивость к разрушающим воздействиям;
–ГОСТ Р 51136 —2008 Стекла защитные многослойные. Общие технические условия;
–РД 78.148 —94/МВД России «Защитное остекление. Классификация. Методы испытаний. Применение»;
–ГОСТ Р 51072 — 2005 Двери защитные. Общие технические требования и методы испытаний на устойчивость к взлому и пулестойкость;
–ГОСТ 26892 — 86 Двери деревянные. Метод испытания на сопротивление ударной нагрузке, действующей в направлении открывания двери.
239
Подсистема защиты от вредоносных программ (подсистема антивирусной защиты). Подсистема защиты от вредоносных программ (подсистема антивирусной защиты)- предназначена для защиты АС(ИС) функционирующих на основе персональных компьютеров и вычислительных сетей, ИТКС от несанкционированного воздействия с применением компьютерных вирусов и других видов вредоносных программ.
Эта подсистема включает элементы (рисунок 16.5):
– средства защиты персональных компьютеров от вредоносных программ.
– сетевые средства защиты от вредоносных программ.
Подсистема защиты от вредоносных программ
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Средства защиты |
|
|
Сетевые средства |
||||
персональных компьютеров |
|
|
защиты от вредоносных |
||||
от вредоносных программ |
|
|
программ |
||||
|
|
|
|
|
|
|
|
Рисунок 16.5 – Подсистема защиты от вредоносных программ
Требования к средствам антивирусной защиты определены в нормативных стандартах и нормативных документах:
–ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство;
–РД ГТК. РФ. Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов. Показатели защищенности от вирусов.
Под антивирусными средствами (АВС) понимаются специализи-
рованные средства защиты информации предназначенные для обеспечения защиты средств вычислительной техники и автоматизированных систем, создаваемых на их основе, от воздействия программ-вирусов и вирусоподобных воздействий.
Подсистема защиты информации от утечки по техническим каналам. Подсистема защиты информации от утечки по техническим каналам предназначена для предотвращения утечки конфиденциаль-
240