FAQ_Print

Уровень автоматизации контроля:

•неавтоматизированный

•частично автоматизированный

•полностью автоматизированный

Иерархичность объектов контроля:

•контроль системы в целом

•контроль подсистем СЗИ

•контроль отдельных элементов

Последовательность реализации контрольных операций:

•последовательный

•параллельный

•смешанный

Функциональная направленность:

•организационно-правовой

•технический

•ресурсный (кадровый, информационный)

Способ взаимодействия работников, осуществляющих контроль:

•односторонний (принудительный)

•взаимный (двух или многосторонний)

Вид получаемой информации:

•первичный

•сводный

Характер контрольный мероприятий:

•плановый

•внезапный

Периодичность проведения:

•систематический

•периодический

•эпизодический (внезапный)

Полнота охвата объектов:

331

•локальный

•сквозной

•глобальный

18. Управление КСЗИ в условиях чрезвычайных ситуаций.

Понятие и основные виды чрезвычайных ситуаций

Чрезвычайные ситуации (ЧС) представляют собой неблагоприятное сочетание факторов и событий, создающих угрозу здоровью и жизни людей, а также уничтожению материальных ценностей, нарушению экономической деятельности, нормального жизнеобеспечения, функционирования схем управления, связи и экологического равновесия, препятствующих производственной, хозяйственной, бытовой и другим видам деятельности.

Чрезвычайные ситуации можно классифицировать по различным признакам:

По масштабу сферы действия:

•межгосударственные;

•общегосударственные;

•местные;

•объектовые.

По виду наносимого ущерба:

•ЧС с прямым ущербом;

•ЧС с косвенным ущербом;

•ЧС, представляющие угрозу жизни людей;

•ЧС, приводящие к нарушению экологического равновесия, уничтожению материальных ресурсов и т.д.

По времени и динамике развития:

•стратегические ЧС, приводящие к катастрофическим последствиям;

•медленнотекущие ЧС;

•ЧС оперативного плана, с выраженной динамикой развития.

По вероятности возникновения:

• прогнозируемые;

332

•трудно прогнозируемые;

•непрогнозируемые.

По степени сложности при ликвидации последствий:

•легкоустранимые ЧС;

•ЧС, требующие определенных временных и ресурсных затрат для ликвидации;

•трудноустранимые ЧС;

•ЧС, требующие особых средств и мероприятий для ликвидации их последствий.

Технология принятия решения в условиях чрезвычайной ситуации

ЧС возникает неожиданно, внезапно и тем самым ставит перед системой управления задачи, которые не соответствуют стационарному режиму работы организации и ее прошлому опыту.

Контрмеры должны быть приняты срочно, однако, обычный порядок не позволяет этого сделать по ряду причин:

1.существующие планы работы не соответствуют новой ситуации;

2.возникают новые задачи;

3.информация, которую следует изучить и проанализировать, поступает мощным потоком.

Самым опасным в этих условиях является то, что может возникнуть опасность всеобщей паники. Руководители нижнего уровня, оказавшись в неожиданной ситуации, не имея указаний сверху и не зная общей картины ситуации, могут поддаться этой панике и непродуманными решениями способствовать неразберихе.

Таким образом, технология разработанных планов предприятия для его оптимального функционирования в условиях ЧС, включая и КСЗИ, должна предусматривать следующие четыре режима:

1.режим повседневной деятельности;

2.режим повышенной готовности (активная подготовка и осуществление превентивных мероприятий);

3.чрезвычайный режим (действия в чрезвычайных ситуациях);

4.постчрезвычайный режим (ликвидация долговременных последствий ЧС).

Первый режим – режим повседневной деятельности - характеризуется отсутствием информации о явных признаках угрозы возникновения ЧС.

Задача системы управления ЧС состоит в противоаварийном упреждающем

333

планировании, основными целями которого являются:

•сбор информации для прогнозирования возможного развития чрезвычайных ситуаций и контроля ее последствий, накопление ресурсов, необходимых для их ликвидации;

•разработка специальных прогнозов, которые позволяют эффективно реагировать на ожидаемые проблемы, паспортизация и категоризация подразделений предприятия (отделов, лабораторий цехов, технологий и т.д.)

Вданном режиме определяются и создаются нормативные, законодательные

иэкономические механизмы, направленные на минимизацию риска и ущерба от ЧС.

Эффективные подсистемы противоаварийного упреждающего планирования должны не только прогнозировать возникновение ЧС, но и предусматривать соответствующие меры, причем упор должен делаться на устранение исходных причин, а не на устранение возникающих последствий.

Второй режим - режим повышенной готовности - характеризуется наличием информации о признаках потенциальной угрозы возникновения ЧС. Задачами системы управления ЧС в этом режиме являются разработка и осуществление детальных планов мероприятий по предупреждению либо смягчению последствий ЧС на основе заранее подготовленных сценариев ее развития и ответных действий.

Прогнозирование возможностей возникновения чрезвычайных ситуаций и процедуры планирования базируются на регулярной оценке тенденций развития текущей ситуации, а также ресурсов, необходимых для ее улучшения, стабилизации и снижения тяжести последствий развития ЧС.

Отсутствие необходимой информации часто становится основным препятствием для организации системы раннего предупреждения. Часто это обусловлено недостаточно активным использованием полученных данных. Например, когда некоторые неожиданные факторы лишь начинают влиять на предприятие, это воздействие, как правило, остается скрытым в рамках обычных, нормальных колебаний.

Третий режим – чрезвычайный характеризуется обстоятельствами, совокупность которых определяется как чрезвычайная ситуация.

Поэтому задачами управления в этом режиме являются:

•осуществление оперативной деятельности по защите предприятия или любого объекта, и все действия происходят в режиме реального времени;

•все стратегические задачи должны решаться в системе управления чрезвы-

чайных ситуаций на ограниченном интервале времени оперативно и непрерывно.

Четвертый режим – это режим ликвидации последствий ЧС. Он характерен

334

отсутствием активных поражающих фактов ЧС и необходимостью проведения мероприятий по восстановлению нормативного функционирования объекта. Задачей этого режима является оперативное и долгосрочное планирование действий по смягчению или полной ликвидации последствий ЧС.

Обеспечение управления КСЗИ в условиях чрезвычайных ситуаций

Решения в условиях ЧС принимаются в различной оперативной обстановке, включая кризисную, и в крайне ограниченное время. Однако оно должно быть принято своевременно, быть максимально обоснованным и обеспечивать наиболее полное и эффективное использование имеющихся возможностей.

Для этого требуется четкое уяснение руководством целей и задач операции, всесторонняя и объективная оценка обстановки, компетентность. Говоря о принятии решений, следует иметь в виду следующие основные составляющие этого сложного процесса: сбор и подготовка исходящих данных, построение модели ЧС, формулировка (принятие) решения руководителем, конкретизация и детализация решения в плане операции, доведение данного решения до исполнителей, а также организация, оперативное управление и контроль за его реализацией.

Подготовка мероприятий на случай возникновения чрезвычайной ситуации

Для решения задач предупреждения, нейтрализации (локализации) и ликвидации последствий ЧС на предприятии создаются специальные структуры. Среди них выделяют кризисные группы, штабы, службы обеспечения защиты информации в условиях ЧС, оперативные бригады и т.п.

В обязанности любой рассматриваемой кризисной структуры (штаб, кризисная группа) входит:

1.выявление тенденций развития ЧС;

2.оценка масштабов ее негативного воздействия и последствий;

3.расчет времени и ресурсов, необходимых для локализации и ликвидации, определение приоритетов при разработке и осуществлении основных мероприятий;

4.сбор, обработка и предоставление необходимой информации для руководителей, принимающих решения в условиях протекания ЧС, предупреждение о

внезапных изменениях в зонах действия ЧС.

19.Общая характеристика подходов к оценке эффективности систем защиты информации.

Вероятностный подход //весь ответ по состоянию на 2009 год Под эффективностью системы понимают степень достижения цели этой си-

335

стемой. Целями создания КСЗИ являются предотвращение и/или минимизация воздействия угроз информационной безопасности, обеспечение непрерывности ведения бизнеса. Эффективность КСЗИ оценивается как на этапе разработки, так и в процессе эксплуатации. В оценке эффективности КСЗИ в зависимости от ис-

пользуемых показателей и способов их получения можно выделить три подхода: вероятностный, оценочный, экспертный.

Под вероятностным подходом к оценке эффективности понимается использование критериев эффективности, полученных с помощью показателей эффективности. Значения показателей эффективности получаются путем моделирования или вычисляются по характеристикам реальной системы. Такой подход используется при разработке и модернизации КСЗИ. Однако возможности вероятностных методов комплексного оценивания эффективности применительно к КСЗИ ограничены в силу ряда причин. Высокая степень неопределенности исходных данных, сложность формализации процессов функционирования, отсутствие общепризнанных методик расчета показателей эффективности и выбора критериев оптимальности создают значительные трудности для применения вероятностных методов оценки эффективности.

КСЗИ относится к классу целенаправленных сложных систем, в которых в качестве взаимосвязанных элементов выступают материальные объекты (технические средства связи, СВТ, АС и обслуживающий их персонал). Как и все сложные системы, КСЗИ обладают определенной совокупностью свойств. Каждое свойство может быть описано количественно с помощью некоторой переменной, значение которой характеризует меру его качества относительно этого свойства. Переменную, представляющую собой числовую характеристику или функцию, принято называть показателем качества (свойства) (ПК) или частным показателем качества (ЧПК) КСЗИ. Состояние КСЗИ в любой момент времени можно описать с помощью вектора показателей качества.

Численные методы основаны на численном интегрировании сложного выражения. Основной недостаток — значительные затраты вычислительных ресурсов ЭВМ при большой размерности некоторых значений, связанные с тем, что точность и время решения задачи зависят от шага разбиения области интегрирования.

Методы статистических испытаний основаны на геометрическом способе определения вероятности случайного события.

Методы статистического имитационного моделирования основаны на построении имитационной модели процесса функционирования КСЗИ, отражающей этот процесс в формализованной форме (в виде алгоритма). Процессы функционирования КСЗИ и ее элементов имитируются с сохранением их логических связей и последовательности протекания во времени. Достоинства метода: гиб-

кость и динамичность при внесении изменений в исходную модель, получение результата с заранее заданной степенью приближения к моделируемой системе.

336

К недостаткам можно отнести нерациональное использование вычислительных ресурсов при расчете каждой отлаженной модели, большое время доработки моделирующего алгоритма и программы при изменениях исходной модели.

Одна из современных систем, реализующих этот метод, — система автоматизированного имитационного моделирования (САИМ), основу которой составляет некоторая стандартная схема-модуль (обычно динамическая система общего вида). Однако трудности выбора модуля с общим для всех уровней моделирования математическим аппаратом затрудняют получение исчерпывающих характеристик моделируемой системы.

Оценочный подход

На практике часто применяется подход к оценке эффективности КСЗИ, связанный с проверкой соответствия системы защиты тем или иным требованиям. Такой подход можно условно назвать оценочным. Требования могут быть установлены государством или иным собственником информационных ресурсов.

К сожалению, в настоящее время в РФ не существует единых требований по защите конфиденциальной информации. Требования, изложенные в разных нормативных правовых актах, относятся лишь к какой-то части этой информации и зачастую противоречат друг другу. Можно выделить две группы требований по характеру их детализации: общие и специальные. К общим отнесем требования, изложенные в Федеральных законах «О персональных данных», «О коммерческой тайне», «О банках и банковской деятельности» и др. К специальным отнесем требования по криптографической защите информации; технической защите информации от утечки по каналам ПЭМИН; технической защите речевой информации; защите информации от НСД в АС.

Рассмотрим вначале общие требования, предъявляемые к отдельным видам конфиденциальной информации.

Согласно ФЗ «О персональных данных» операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев обезличивания персональных данных и общедоступных персональных данных.

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и требования к материальным носителям био-

метрических персональных данных и технологиям хранения таких данных вне

337

информационных систем персональных данных.

Контроль и надзор за выполнением требований осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Согласно ФЗ «О коммерческой тайне» правообладатель имеет право установить режим коммерческой тайны, который включает:

•определение перечня информации, составляющей коммерческую тайну;

•ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

•учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и лиц, которым такая информация была предоставлена или передана;

•регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

•нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Согласно ФЗ «О банках и банковской деятельности» за разглашение банковской тайны Банк России (организация, осуществляющая функции по обязательному страхованию вкладов), кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий меры по противодействию легализации (отмыванию) доходов, полученных преступным путем, а также их должностные лица и работники несут ответственность, включая возмещение нанесенного

ущерба, в порядке, установленном федеральным законом.

Организация, осуществляющая функции по обязательному страхованию

338

вкладов, не вправе раскрывать третьим лицам информацию, полученную в соответствии с федеральным законом о страховании вкладов физических лиц в банках Российской Федерации.

Специальные требования по криптографической защите информации устанавливаются уполномоченным органом. В соответствии с Указом Президента РФ «Вопросы Федеральной службы безопасности Российской Федерации», таким органом в настоящее время является ФСБ РФ. Основополагающим документом, в котором изложены требования по криптографической защите информации, является «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ-2005)».

Требования по технической защите информации от утечки по каналам ПЭМИН и технической защите речевой информации задаются в СТР-К и закрытых документах.

Требования по защите информации от НСД в АС могут задаваться перечнем механизмов защиты информации, которые необходимо иметь в АС, чтобы она соответствовала определенному классу защиты. Используя такие документы, можно оценить эффективность КСЗИ. В этом случае критерием эффективности КСЗИ является полнота выполнения всех требований.

Несомненным достоинством таких классификаторов (стандартов) является простота использования. Основным недостатком официального подхода к определению эффективности систем защиты является то, что эффективность конкретного механизма защиты не определяется, а констатируется лишь факт его наличия или отсутствия. Этот недостаток в какой-то мере компенсируется заданием в некоторых документах достаточно подробных требований к указанным механизмам защиты.

В Российской Федерации в настоящее время имеются две независимые системы задания требований и оценки соответствия информационных технологий требованиям безопасности информации. Наиболее распространена оценка соответствия АС требованиям Руководящего документа РД АС, СВТ — требованиям РД СВТ, межсетевых экранов — требованиям РД МСЭ. Кроме того, в рамках этого подхода для некоторых классов программного обеспечения устанавливается необходимость соответствия уровням контроля, задаваемым в РД НДВ.

Вторая система задания требований безопасности информации и оценки со-

ответствия им основана на ГОСТ 15408 — 2002 и документах ФСТЭК, выпущенных в его развитие. Как правило, все эти документы «новой» нормативной базы являются аутентичными переводами зарубежных документов, отчасти уже устаревших.

339

Задание требований безопасности информации и оценка соответствия им согласно ГОСТ 15408—2002

В результате многолетней деятельности ряд развитых стран выработал «Общие критерии оценки безопасности компьютерных систем». Документ получил статус Международного стандарта ISO/IEC в 1999 г. Гостехкомиссия приняла решение выполнить аутентичный перевод этого стандарта и принять его в качестве государственного, что и было сделано в 2002 г. С января 2004 г. данный стандарт вступил в действие. (В дальнейшем изложении мы используем для его обозначения аббревиатуру ОК.)

Разработчики стремились достичь универсальности в предъявлении критериев оценки безопасности информационных технологий, отсюда и название — «общие». Эта универсальность проявляется в том, что объектом оценки (ОО) может быть изделие информационных технологий ИТ, в качестве которого могут выступать продукт ИТ и система ИТ, а также автоматизированная система (АС).

Продукт ИТ — совокупность средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы.

Возможны два сценария проведения оценки: оценка уже существующего ОО и создаваемого. В первом случае считается, что ОО может быть доработан по результатам оценки (правда, при этом опускаются важные моменты: кем и каким образом доработан). На имеющийся ОО создается профиль защиты (ПЗ), содержащий общие положения по безопасности, либо ПЗ выбирается из множества существующих. Далее на основе ПЗ создается задание по безопасности (ЗБ), в котором специфицируются эти положения. Предназначение указанных документов двояко: помочь в оценке ОО и оказать помощь потребителю в выборе ИТ.

Во втором случае к ОО предъявляются требования, на соответствие которым он будет в дальнейшем проверяться. Как и в первом случае, требования предъявляются в ПЗ и ЗБ. ЗБ должно разрабатываться перед проведением оценки ОО.

Для оценки ОО очень важно определить его границы. Все, что окружает ОО, называется средой безопасности, и напрямую влияет на его безопасность. Выделяют программно-техническую среду, а также законодательную, административную и процедурные среды. Среда не оценивается, но относительно ее свойств делаются предположения. Отсюда следует, что, если она не удовлетворяет этим

предположениям, оценка ОО теряет свое значение и тогда объект небезопасен.

Экспериментальный подход

Под экспериментальным подходом понимается организация процесса определения эффективности существующих КСЗИ путем попыток преодоления защитных механизмов системы специалистами, выступающими в роли злоумышленников — активный аудит КСЗИ. Активный аудит может выполняться как своими

силами (при наличии специалистов), так и за счет привлечения сторонней орга-

340