Создание модели системы защиты коммерческой тайны для обеспечения информационной безопасности предприятий

разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации АС ОРГАНИЗАЦИИ.

Концепция не регламентирует вопросы организации охраны помещений и обеспечения сохранности и физической целостности компонентов АС, защиты от стихийных бедствий, сбоев в системе энергоснабжения, а также меры по обеспечению личной безопасности персонала и клиентов ОРГАНИЗАЦИИ. Однако предполагает построение системы информационной безопасности на тех же концептуальных основах, что и система безопасности ОРГАНИЗАЦИИ в целом (имущественная, физическая и т.д.). Это позволяет не только принципиально, но и практически сопрягать их, оптимизируя затраты на построение такой системы.

Научно-методической основой Концепции является системный подход, предполагающий проведение исследований, разработку системы защиты информации и процессов ее обработки в АС с единых методологических позиций с учетом всех факторов, оказывающих влияние на защиту информации, и с позиции комплексного применения различных мер и средств защиты.

При разработке Концепции учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий.

Основные положения Концепция базируются на качественном осмыслении вопросов безопасности информации и не концентрируют внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации.

2. ОБЪЕКТЫ ЗАЩИТЫ

Основными объектами информационной безопасности в ОРГАНИЗАЦИИ являются:

информационные ресурсы с ограниченным доступом, составляющие коммерческую, банковскую тайну, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления;

процессы обработки информации в АС - информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический персонал разработчиков и пользователей системы и ее обслуживающий персонал;

информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные компоненты АС.

2.1 Назначение, цели создания и эксплуатации АС ОРГАНИЗАЦИИ как объекта информатизации

АС ОРГАНИЗАЦИИ предназначена для автоматизации деятельности должностных лиц (сотрудников) ОРГАНИЗАЦИИ. Создание и применение АС ОРГАНИЗАЦИИ преследует следующие цели:

повышение качества управления производственными процессами;

повышение качества контроля за движением материальных и финансовых ресурсов ОРГАНИЗАЦИИ;

повышение оперативности и достоверности процедур сбора данных о состоянии материальных и финансовых ресурсах ОРГАНИЗАЦИИ;

сокращение финансовых и временных затрат на поддержку внутреннего и внешнего документооборота;

повышение оперативности и обоснованности прогнозирования коммерческой деятельности ОРГАНИЗАЦИИ;

повышение оперативности и обоснованности планирования расходов финансовых ресурсов ОРГАНИЗАЦИИ и т.д.

следующих основных процессов:

интегрированной обработки информации, формирования и ведения специализированных баз данных;

взаимодействия с клиентами ОРГАНИЗАЦИИ и другими внешними организациями;

информационно-справочного обслуживания структурных подразделений ОРГАНИЗАЦИИ;

анализа и прогнозирования деятельности ОРГАНИЗАЦИИ, обоснования принятия управленческих решений.

2.2 Структура, состав и размещение основных элементов АС ОРГАНИЗАЦИИ, информационные связи с другими объектами

АС ОРГАНИЗАЦИИ является распределенной системой, объединяющей автоматизированные системы (подсистемы) центральных и территориальных подразделений ОРГАНИЗАЦИИ в единую корпоративную вычислительную (информационно -телекоммуникационную) сеть.

В АС циркулирует информация разных категорий. Защищаемая информация может быть совместно использована различными пользователями из различных подсетей единой вычислительной сети.

В ряде подсистем АС Организации предусмотрено взаимодействие с внешними (государственными и коммерческими, российскими и зарубежными) организациями по коммутируемым и выделенным каналам с использованием специальных средств передачи информации.

Комплекс технических средств АС Организации включает средства обработки данных (ПЭВМ, сервера БД, почтовые сервера и т.п.), средства обмена данными в ЛВС с возможностью выхода в глобальные сети (кабельная система, мосты, шлюзы, модемы и т.д.), а также средства хранения (в т.ч. архивирования) данных.

К основным особенностям функционирования АС ОРГАНИЗАЦИИ, относятся:

большая территориальная распределенность системы;

объединение в единую систему большого количества разнообразных технических средств обработки и передачи информации;

большое разнообразие решаемых задач и типов обрабатываемых сведений (данных), сложные режимы автоматизированной обработки информации с широким совмещением выполнения информационных запросов различных пользователей;

объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности (грифов секретности);

непосредственный доступ к вычислительным и информационным ресурсам большого числа различных категорий пользователей (источников и потребителей информации) и обслуживающего персонала;

наличие большого числа каналов взаимодействия с “внешним миром” (источниками и потребителями информации);

непрерывность функционирования АС ОРГАНИЗАЦИИ;

высокая интенсивность информационных потоков в АС ОРГАНИЗАЦИИ;

наличие в АС ярко выраженных функциональных подсистем с различными требованиями по уровням защищенности (физически объединенных в единую сеть);

разнообразие категорий пользователей и обслуживающего персонала системы.

Общая структурная и функциональная организация АС ОРГАНИЗАЦИИ определяется организационно-штатной структурой органов ОРГАНИЗАЦИИ и задачами, решаемыми его структурными подразделениями с применением средств автоматизации. В самом общем виде, единая телекоммуникационная информационная система ФК представляет собой совокупность локальных вычислительных сетей (ЛВС) отделений ОРГАНИЗАЦИИ, объединенных средствами телекоммуникации. Каждая ЛВС в АС ОРГАНИЗАЦИИ объединяет ряд взаимосвязанных и взаимодействующих автоматизированных подсистем (технологических участков), обеспечивающих решение задач отдельными структурными подразделениями отделений ОРГАНИЗАЦИИ.

Объекты информатизации АС ОРГАНИЗАЦИИ включают:

технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование);

информационные ресурсы, содержащие сведения ограниченного доступа и представленные в виде документов или записей в носителях на магнитной, оптической и другой основе, информационных физических полях, массивах и базах данных;

программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение);

автоматизированные системы связи и передачи данных (средства телекоммуникации);

каналы связи по которым передается информация (в том числе ограниченного распространения);

служебные помещения, в которых циркулирует информация ограниченного распространения;

технические средства (звукозаписи, звукоусиления, звуковоспроизведения, изготовления, тиражирования документов, переговорные и телевизионные устройства и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), используемые для обработки информации;

технические средства и системы, не обрабатывающие информацию (вспомогательные технические средства и системы - ВТСС), размещенные в помещениях, где обрабатывается (циркулирует) информация, содержащая сведения ограниченного распространения.

Обеспечение функционирования и эксплуатация АС ОРГАНИЗАЦИИ осуществляется Главным управлением (департаментом) ОРГАНИЗАЦИИ, территориальными управлениями (департаментами) ОРГАНИЗАЦИИ и отделениями ОРГАНИЗАЦИИ на основании требований организационно-распорядительных документов руководства ОРГАНИЗАЦИИ.

2.3 Категории информационных ресурсов, подлежащих защите

В подсистемах АС ОРГАНИЗАЦИИ циркулирует информация различных уровней конфиденциальности (секретности) содержащая сведения ограниченного распространения (служебная коммерческая, банковская информация, персональные данные) и открытые сведения.

В документообороте АС ОРГАНИЗАЦИИ присутствуют:

платежные поручения и другие расчетно-денежные документы;

отчеты (финансовые, аналитические и др.);

сведения о лицевых счетах;

обобщенная информация и другие конфиденциальные (ограниченного распространения) документы.

и т.д.

Защите подлежит вся информация, циркулирующая в АС ОРГАНИЗАЦИИ и содержащая:

сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации (ОРГАНИЗАЦИЕЙ) в соответствии с предоставленными Федеральным законом «Об информации, информатизации и защите информации» правами;

сведения, составляющие банковскую тайну, доступ к которым ограничен в соответствии с Федеральным законом «О банках и банковской деятельности»;

сведения о частной жизни граждан (персональные данные), доступ к которым ограничен в соответствии с Федеральным законом «Об информации информатизации и защите информации».



2.4 Категории пользователей АС ОРГАНИЗАЦИИ, режимы использования и уровни доступа к информации

В ОРГАНИЗАЦИИ имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным, программным и другим ресурсам АС ОРГАНИЗАЦИИ:

пользователи баз данных (конечные пользователи, сотрудники подразделений ОРГАНИЗАЦИИ);

ответственные за ведение баз данных (ввод, корректировка, удаление данных в БД);

администраторы серверов (файловых серверов, серверов приложений, серверов баз данных) и ЛВС;

системные программисты (ответственные за сопровождение общего программного обеспечения) на серверах и рабочих станциях пользователей;

разработчики прикладного программного обеспечения;

специалисты по обслуживанию технических средств вычислительной техники;

администраторы информационной безопасности (специальных средств защиты) и др.

2.5 Уязвимость основных компонентов АС ОРГАНИЗАЦИИ

Наиболее доступными и уязвимыми компонентами АС ОРГАНИЗАЦИИ являются сетевые рабочие станции (АРМ сотрудников подразделений ОРГАНИЗАЦИИ). Именно с них могут быть предприняты наиболее многочисленные попытки несанкционированного доступа к информации (НСД) в сети и попытки совершения несанкционированных действий (непреднамеренных и умышленных). С рабочих станций осуществляется управление процессами обработки информации (в том числе на серверах), запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На мониторы и печатающие устройства рабочих станций выводится информация при работе пользователей (операторов), выполняющих различные функции и имеющих разные полномочия по доступу к данным и другим ресурсам системы. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем.

В особой защите нуждаются такие привлекательные для злоумышленников элементы сетей как выделенные файловые серверы, серверы баз данных и серверы приложений. Здесь злоумышленники, прежде всего, могут искать возможности получения доступа к защищаемой информации и оказания влияния на работу различных подсистем серверов, используя недостатки протоколов обмена и средств разграничения удаленного доступа к ресурсам серверов. При этом могут предприниматься попытки как удаленного (со станций сети) так и непосредственного (с консоли сервера) воздействия на работу серверов и их средств защиты.

Мосты, шлюзы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными.



3. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

3.1 Интересы затрагиваемых при эксплуатации АС ОРГАНИЗАЦИИ субъектов информационных отношений

Субъектами правоотношений при использовании АС ОРГАНИЗАЦИИ и обеспечении безопасности информации являются:

ОРГАНИЗАЦИЯ как собственник информационных ресурсов;

подразделения управлений и отделений ОРГАНИЗАЦИИ, обеспечивающие эксплуатацию системы автоматизированной обработки информации;

должностные лица и сотрудники структурных подразделений ОРГАНИЗАЦИИ, как пользователи и поставщики информации в АС ОРГАНИЗАЦИИ в соответствии с возложенными на них функциями;

юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в АС ОРГАНИЗАЦИИ;

другие юридические и физические лица, задействованные в процессе создания и функционирования АС ОРГАНИЗАЦИИ (разработчики компонент АС, обслуживающий персонал, организации, привлекаемые для оказания услуг в области безопасности информационных технологий и др.).

Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

конфиденциальности (сохранения в тайне) определенной части информации;

достоверности (полноты, точности, адекватности, целостности) информации;

защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);

своевременного доступа (за приемлемое для них время) к необходимой им информации;

разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;

возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;

защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.).

3.2 Цели защиты

Основной целью, на достижение которой направлены все положения настоящей Концепции, является защита субъектов информационных отношений (интересы которых затрагиваются при создании и функционировании АС ОРГАНИЗАЦИИ) от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования АС ОРГАНИЗАЦИИ или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки:

доступности обрабатываемой информации для зарегистрированных пользователей (устойчивого функционирования АС ОРГАНИЗАЦИИ, при котором пользователи имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время);

сохранения в тайне (обеспечения конфиденциальности) определенной части информации, хранимой, обрабатываемой СВТ и передаваемой по каналам связи;

целостности и аутентичности (подтверждение авторства) информации, хранимой и обрабатываемой в АС ОРГАНИЗАЦИИ и передаваемой по каналам связи.

3.3 Основные задачи системы обеспечения безопасности информации АС ОРГАНИЗАЦИИ

Для достижения основной цели защиты и обеспечения указанных свойств информации и системы ее обработки система безопасности АС ОРГАНИЗАЦИИ должна обеспечивать эффективное решение следующих задач:

защиту от вмешательства в процесс функционирования АС ОРГАНИЗАЦИИ посторонних лиц (возможность использования автоматизированной системы и доступ к ее ресурсам должны иметь только зарегистрированные установленным порядком пользователи - сотрудники структурных подразделений ОРГАНИЗАЦИИ);

разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС ОРГАНИЗАЦИИ (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям АС ОРГАНИЗАЦИИ для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа:

к информации, циркулирующей в АС ОРГАНИЗАЦИИ;

средствам вычислительной техники АС ОРГАНИЗАЦИИ;

аппаратным, программным и криптографическим средствам защиты, используемым в АС ОРГАНИЗАЦИИ;

регистрацию действий пользователей при использовании защищаемых ресурсов АС ОРГАНИЗАЦИИ в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений безопасности;

контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;

защиту от несанкционированной модификации и контроль целостности используемых в АС ОРГАНИЗАЦИИ программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;

защиту информации ограниченного распространения от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;

защиту информации ограниченного распространения, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;

обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);

обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;

своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;

создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации.



3.4 Основные пути достижения целей защиты (решения задач системы защиты)

Поставленные основные цели защиты и решение перечисленных выше задач достигаются:

строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, автоматизированных рабочих мест - АРМ);

регламентацией процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений ОРГАНИЗАЦИИ, использующих АС ОРГАНИЗАЦИИ, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС ОРГАНИЗАЦИИ, на основе утвержденных руководителем ОРГАНИЗАЦИИ организационно-распорядительных документов по вопросам обеспечения безопасности информации;

полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов ОРГАНИЗАЦИИ по вопросам обеспечения безопасности информации;

назначением и подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации и процессов ее обработки;

наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам АС ОРГАНИЗАЦИИ;

четким знанием и строгим соблюдением всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства АС ОРГАНИЗАЦИИ, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;

персональной ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС ОРГАНИЗАЦИИ;

реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;

принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов АС ОРГАНИЗАЦИИ;

применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;

разграничением потоков информации, предусматривающим предупреждение попадания информации более высокого уровня конфиденциальности на носители и в файлы с более низким уровнем конфиденциальности, а также запрещением передачи информации ограниченного распространения по незащищенным каналам связи;

эффективным контролем за соблюдением сотрудниками подразделений ОРГАНИЗАЦИИ - пользователями АС ОРГАНИЗАЦИИ требований по обеспечению безопасности информации;

юридической защитой интересов ОРГАНИЗАЦИИ при взаимодействии его подразделений с внешними организациями (связанном с обменом информацией) от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц;

проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в АС ОРГАНИЗАЦИИ.

4. ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ

4.1 Угрозы безопасности информации и их источники

Наиболее опасными (значимыми) угрозами безопасности информации АС ОРГАНИЗАЦИИ (способами нанесения ущерба субъектам информационных отношений) являются:

нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую или коммерческую тайну, а также персональных данных;

нарушение работоспособности (дезорганизация работы) АС ОРГАНИЗАЦИИ, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;

нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов АС ОРГАНИЗАЦИИ, а также фальсификация (подделка) документов.

Основными источниками угроз безопасности информации АС ОРГАНИЗАЦИИ являются:

непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия сотрудников (в том числе администраторов средств защиты) структурных подразделений ОРГАНИЗАЦИИ при эксплуатации АС ОРГАНИЗАЦИИ, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций (АРМ), подсистем или АС ОРГАНИЗАЦИИ в целом;

преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников подразделений ОРГАНИЗАЦИИ, допущенных к работе с АС ОРГАНИЗАЦИИ, а также сотрудников подразделений ОРГАНИЗАЦИИ, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения безопасности информации;

воздействия из других логических и физических сегментов АС ОРГАНИЗАЦИИ со стороны сотрудников других подразделений ОРГАНИЗАЦИИ, в том числе программистов - разработчиков прикладных задач, а также удаленное несанкционированное вмешательство посторонних лиц из телекоммуникационной сети ОРГАНИЗАЦИИ и внешних сетей общего назначения (прежде всего Internet) через легальные и несанкционированные каналы подключения сети ОРГАНИЗАЦИИ к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам АС ОРГАНИЗАЦИИ;

деятельность международных и отечественных преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонент;

деятельность иностранных разведывательных и специальных служб, направленная против интересов ОРГАНИЗАЦИИ;

ошибки, допущенные при проектировании АС ОРГАНИЗАЦИИ и ее системы защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты) АС ОРГАНИЗАЦИИ;

аварии, стихийные бедствия и т.п.



4.2 Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации в АС ОРГАНИЗАЦИИ

Пользователи, операторы, системные администраторы и сотрудники ОРГАНИЗАЦИИ, обслуживающие систему, являются внутренними источниками случайных воздействий, т.к. имеют непосредственный доступ к процессам обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и процедур.

Основные пути реализации непреднамеренных искусственных (субъективных) угроз АС ОРГАНИЗАЦИИ (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в Таблице 4.1.

Таблица 4.1.

Основные пути реализации непреднамеренных искусственных (субъективных) угроз АС ОРГАНИЗАЦИИ	Меры по нейтрализации угроз и снижению возможного наносимого ущерба
Действия сотрудников ОРГАНИЗАЦИИ, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств; отключению оборудования или изменение режимов работы устройств и программ; разрушению информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение программ или файлов с важной информацией, в том числе системных, повреждение каналов связи, неумышленная порча носителей информации и т.п.)	1.Организационные меры (регламентация действий, введение запретов). 2.Применение физических средств, препятствующих неумышленному совершению нарушения. 3.Применение технических (аппаратно-программных) средств разграничения доступа к ресурсам. 4.Резервирование критичных ресурсов.
Несанкционированный запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.)	1.Организационные меры (удаление всех потенциально опасных программ с дисков ПЭВМ АРМ). 2.Применение технических (аппаратно-программных) средств разграничения доступа к технологическим и инструментальным программам на дисках ПЭВМ АРМ.
Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения сотрудниками своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п.)	1.Организационные меры (введение запретов). 2.Применение технических (аппаратно-программных) средств, препятствующих несанкционированному внедрению и использованию неучтенных программ.
Непреднамеренное заражение компьютера вирусами	1.Организационные меры (регламентация действий, введение запретов). 2.Технологические меры (применение специальных программ обнаружения и уничтожения вирусов). 3.Применение аппаратно-программных средств, препятствующих заражению компьютеров компьютерными вирусами.
Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования или ЭЦП, идентификационных карточек, пропусков и т.п.)	1.Организационные меры (регламентация действий, введение запретов, усиление ответственности). 2.Применение физических средств обеспечения сохранности указанных реквизитов.
Игнорирование организационных ограничений (установленных правил) при работе в системе	1.Организационные меры (усиление ответственности и контроля). 2.Использование дополнительных физических и технических средств защиты.
Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом подразделения безопасности	Организационные меры (обучение персонала, усиление ответственности и контроля).
Ввод ошибочных данных	1.Организационные меры (усиление ответственности и контроля). 2.Технологические меры контроля за ошибками операторов ввода данных.

4.3 Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала

Основные возможные пути умышленной дезорганизации работы, вывода АС ОРГАНИЗАЦИИ из строя, проникновения в систему и несанкционированного доступа к информации (с корыстными целями, по принуждению, из желания отомстить и т.п.) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в Таблице 4.2.

Таблица 4.2

Основные возможные пути умышленной дезорганизации работы, вывода АС ОРГАНИЗАЦИИ из строя, проникновения в систему и НСД к информации (с корыстными целями, по принуждению, из желания отомстить и т.п.)	Меры по нейтрализации угроз и снижению возможного наносимого ущерба
Физическое разрушение или вывод из строя всех или отдельных наиболее важных компонентов автоматизированной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.), отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, линий связи и т.п.)	1.Организационные меры (регламентация действий, введение запретов). 2.Применение физических средств, препятствующих неумышленному совершению нарушения. 3.Резервирование критичных ресурсов. 4.Обеспечение личной безопасности сотрудников.
Внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность), вербовка (путем подкупа, шантажа, угроз и т.п.) пользователей, имеющих определенные полномочия по доступу к защищаемым ресурсам	Организационные меры (подбор, расстановка и работа с кадрами, усиление контроля и ответственности). Автоматическая регистрация действий персонала.
Хищение носителей информации (распечаток, магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ), хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.)	Организационные меры (организация хранения и использования носителей с защищаемой информацией).
Несанкционированное копирование носителей информации, чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств	1.Организационные меры (организация хранения и использования носителей с защищаемой информацией). 2.Применение технических средств разграничения доступа к защищаемым ресурсам и автоматической регистрации получения твердых копий документов.
Незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы программными закладками и т.д.) с последующей маскировкой под зарегистрированного пользователя ("маскарад")	1.Организационные меры (регламентация действий, введение запретов, работа с кадрами). 2.Применение технических средств, препятствующих внедрению программ перехвата паролей, ключей и других реквизитов.
Несанкционированное использование АРМ пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.	1.Организационные меры (строгая регламентация доступа в помещения и допуска к работам на данных АРМ). 2.Применение физических и технических средств разграничения доступа.
Несанкционированная модификация программного обеспечения - внедрение программных "закладок" и "вирусов" ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи защищаемой информации или дезорганизации функционирования системы	1.Организационные меры (строгая регламентация допуска к работам). Применение физических и технических средств разграничения доступа и препятствующих несанкционированной модификации аппаратно-программной конфигурации АРМ. Применение средств контроля целостности программ.
Перехват данных, передаваемых по каналам связи, и их анализ с целью получения конфиденциальной информации и выяснения протоколов обмена, правил вхождения в связь и авторизации пользователей и последующих попыток их имитации для проникновения в систему	1.Физическая защита каналов связи. 2.Применение средств криптографической защиты передаваемой информации.
Вмешательство в процесс функционирования АС сетей общего пользования с целью несанкционированной модификации данных, доступа к конфиденциальной информации, дезорганизации работы подсистем и т.п.	1.Организационные меры (регламентация подключения и работы в сетях общего пользования). 2.Применение специальных технических средств защиты (межсетевых экранов, средств контроля защищенности и обнаружения атак на ресурсы системы и т.п.).

4.4 Утечка информации по техническим каналам

При проведении мероприятий и эксплуатации технических средств возможны следующие каналы утечки или нарушения целостности информации, нарушения работоспособности технических средств:

побочные электромагнитные излучения информативного сигнала от технических средств АС ОРГАНИЗАЦИИ и линий передачи информации;

наводки информативного сигнала, обрабатываемого АС ОРГАНИЗАЦИИ, на провода и линии, выходящие за пределы контролируемой зоны ОРГАНИЗАЦИИ, в т.ч. на цепи заземления и электропитания;

изменения тока потребления, обусловленные обрабатываемыми АС ОРГАНИЗАЦИИ информативными сигналами;

радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав АС ОРГАНИЗАЦИИ, или при наличии паразитной генерации в узлах (элементах) АС ОРГАНИЗАЦИИ;

электрические сигналы или радиоизлучения, обусловленные воздействием на АС ОРГАНИЗАЦИИ высокочастотных сигналов, создаваемых с помощью разведывательной аппаратуры, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств (радиовещательные, радиолокационные станции, средства радиосвязи и т.п.), и модуляцией их информативным сигналом (облучение, «навязывание»);

радиоизлучения или электрические сигналы от внедренных в АС ОРГАНИЗАЦИИ и выделенные помещения специальных электронных устройств перехвата информации («закладок»), модулированные информативным сигналом;

радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;

акустическое излучение информативного речевого сигнала или сигнала, обусловленного функционированием технических средств обработки информации (телеграф, телетайп, принтер, пишущая машинка и т.п.);

электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям передачи информации;

вибрационные сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации выделенных помещений;

просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;

воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств защиты информации, адресности и своевременности информационного обмена, в том числе электромагнитное, через специально внедренные электронные и программные средства («закладки»).

Перехват информации ограниченного распространения или воздействие на нее с использованием технических средств может вестись непосредственно из зданий, расположенных в непосредственной близости от объектов информатизации, мест временного пребывания заинтересованных в перехвате информации или воздействии на нее лиц при посещении ими подразделений ОРГАНИЗАЦИИ, а также с помощью скрытно устанавливаемой в районах важнейших объектов и на их территориях автономной автоматической аппаратуры.

В качестве аппаратуры разведок или воздействия на информацию и технические средства могут использоваться:

космические средства разведки для перехвата радиоизлучений от средств радиосвязи, радиорелейных станций, и приема сигнала от автономных автоматических средств разведки и электронных устройств перехвата информации («закладок»);

стационарные средства, размещаемые в зданиях;

портативные возимые и носимые средства, размещаемые в зданиях, в транспортных средствах, а также носимые лицами, ведущими разведку;

автономные автоматические средства, скрытно устанавливаемые на объектах защиты или поблизости от них.

Стационарные средства обладают наибольшими энергетическими, техническими и функциональными возможностями. В то же время они, как правило, удалены от объектов защиты и не имеют возможности подключения к линиям, коммуникациям и сооружениям. Портативные средства могут использоваться непосредственно на объектах защиты или поблизости от них и могут подключаться к линиям и коммуникациям, выходящим за пределы контролируемой территории.

Кроме перехвата информации техническими средствами разведки возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны. Такого рода утечка информации возможна вследствие:

непреднамеренного прослушивания без использования технических средств разговоров, ведущихся в выделенном помещении, из-за недостаточной звукоизоляции его ограждающих конструкций, систем вентиляции и кондиционирования воздуха;

случайного прослушивания телефонных переговоров при проведении профилактических работ на АТС, кроссах, кабельных коммуникациях с помощью контрольной аппаратуры;

просмотра информации с экранов дисплеев и других средств ее отображения.



4.5 Неформальная модель возможных нарушителей

НАРУШИТЕЛЬ - это лицо, которое предприняло попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

Система защиты АС ОРГАНИЗАЦИИ должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др.):

1) "Неопытный (невнимательный) пользователь" - сотрудник ОРГАНИЗАЦИИ (или подразделения другого ведомства, зарегистрированный как пользователь системы), который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам АС с превышением своих полномочий, ввода некорректных данных и т.п. действия по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только штатные (доступные ему) аппаратные и программные средства.

2) "Любитель" - сотрудник ОРГАНИЗАЦИИ (или подразделения другого ведомства, зарегистрированный как пользователь системы), пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса». Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей и т.п. других пользователей), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции) программы (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств). Помимо этого он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты), самостоятельно разработанные программы или стандартные дополнительные технические средства.

3) "Мошенник" - сотрудник ОРГАНИЗАЦИИ (или подразделения другого ведомства, зарегистрированный как пользователь системы), который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему) аппаратные и программные средства от своего имени или от имени другого сотрудника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п.).

4) "Внешний нарушитель (злоумышленник)" - постороннее лицо или сотрудник ОРГАНИЗАЦИИ (или подразделения другого ведомства, зарегистрированный как пользователь системы), действующий целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор радиоэлектронных способов нарушения безопасности информации, методов и средств взлома систем защиты, характерных для сетей общего пользования (в особенности сетей на основе IP-протокола), включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети АС ОРГАНИЗАЦИИ.

5) "Внутренний злоумышленник" - сотрудник подразделения ОРГАНИЗАЦИИ, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести за нанесенную обиду, возможно в сговоре с лицами, не являющимися сотрудниками ОРГАНИЗАЦИИ. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий как изнутри, так и извне - из сетей общего пользования.

Внутренним нарушителем может быть лицо из следующих категорий персонала ОРГАНИЗАЦИИ:

зарегистрированные конечные пользователи АС ОРГАНИЗАЦИИ (сотрудники подразделений ОРГАНИЗАЦИИ);

сотрудники подразделений ОРГАНИЗАЦИИ не допущенные к работе с АС ОРГАНИЗАЦИИ;

персонал, обслуживающий технические средства АС ОРГАНИЗАЦИИ (инженеры, техники);

сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты);

технический персонал, обслуживающий здания (уборщицы, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты АС ОРГАНИЗАЦИИ);

сотрудники службы безопасности АС ОРГАНИЗАЦИИ;

руководители различных уровней.

Категории лиц, которые могут быть внешними нарушителями:

уволенные сотрудники ОРГАНИЗАЦИИ;

представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);

посетители (приглашенные представители организаций, граждане) представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.;

члены преступных организаций, сотрудники спецслужб или лица, действующие по их заданию;

лица, случайно или умышленно проникшие в сети АС ОРГАНИЗАЦИИ из внешних (по отношению к ОРГАНИЗАЦИИ) сетей телекоммуникации (хакеры).

Пользователи и обслуживающий персонал из числа сотрудников ОРГАНИЗАЦИИ имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации и защитных мер. Действия этой группы лиц напрямую связано с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами или спецслужбами.

Уволенные сотрудники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа. Полученные в ОРГАНИЗАЦИИ знания и опыт выделяют их среди других источников внешних угроз.

Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность сотрудников ОРГАНИЗАЦИИ всеми доступными им силами и средствами.

Профессиональные хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в АС. Наибольшую угрозу представляют при взаимодействии с работающими и уволенными сотрудниками ОРГАНИЗАЦИИ и криминальными структурами.

Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Криминальные структуры и спецслужбы могут использовать эти организации для временного устройства на работу своих членов с целью доступа к защищаемой информации в АС ОРГАНИЗАЦИИ.

Принимаются следующие ограничения и предположения о характере действий возможных нарушителей:

работа по подбору кадров и специальные мероприятия исключают возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий двух и более нарушителей - сотрудников ОРГАНИЗАЦИИ по преодолению системы защиты;

нарушитель скрывает свои несанкционированные действия от других сотрудников ОРГАНИЗАЦИИ;

несанкционированные действия могут быть следствием ошибок пользователей, администраторов безопасности, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки, хранения и передачи информации;

в своей противоправной деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информационные системы, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей.



5. ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕХНИЧЕСКОЙ ПОЛИТИКИ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ

5.1 Техническая политика в области обеспечения безопасности информации

Реализация технической политики в области обеспечения безопасности информации должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение), а отдельные разрабатываемые элементы информационной системы должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных) средств и организационных мероприятий.

Основными направлениями реализации технической политики обеспечения безопасности информации АС ОРГАНИЗАЦИИ являются:

обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения или подделки за счет несанкционированного доступа и специальных воздействий (от НСД);

обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и при передаче по каналам связи.

Система обеспечения безопасности информации АС ОРГАНИЗАЦИИ должна предусматривать комплекс организационных, программных и технических средств и мер по защите информации в процессе ее обработки и хранения, при передаче информации по каналам связи, при ведении конфиденциальных переговоров, раскрывающих сведения с ограниченным доступом, при использовании импортных технических и программных средств.

В рамках указанных направлений технической политики обеспечения безопасности информации осуществляются:

реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации конфиденциального характера;

реализация системы инженерно-технических и организационных мер охраны, предусматривающей многорубежность и равнопрочность построения охраны (территории, здания, помещения) с комплексным применением современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;

ограничение доступа исполнителей и посторонних лиц в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация конфиденциального характера, непосредственно к самим средствам информатизации и коммуникациям;

разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защита информации в подсистемах различного уровня и назначения, входящих в АС ОРГАНИЗАЦИИ;

учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;

предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок.

криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;

надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее хищение, подмену и уничтожение;

необходимое резервирование технических средств и дублирование массивов и носителей информации;

снижение уровня и информативности ПЭМИН, создаваемых различными элементами автоматизированных подсистем;

обеспечение акустической защиты помещений, в которых обсуждается информация конфиденциального характера;

электрическая развязка цепей питания, заземления и других цепей объектов информатизации, выходящих за пределы контролируемой зоны;

активное зашумление в различных диапазонах;

противодействие оптическим и лазерным средствам наблюдения.

5.2 Формирование режима безопасности информации

С учетом выявленных угроз безопасности информации АС ОРГАНИЗАЦИИ режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в автоматизированной системе информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Комплекс мер по формированию режима безопасности информации включает: