Создание модели системы защиты коммерческой тайны для обеспечения информационной безопасности предприятий

установление в ОРГАНИЗАЦИИ организационно-правового режима безопасности информации (нормативные документы, работа с персоналом, делопроизводство);

выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам (аттестация объектов информатизации);

организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа) к информационным ресурсам АС ОРГАНИЗАЦИИ;

комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного распространения после случайных или преднамеренных воздействий;

комплекс оперативных мероприятий подразделений безопасности по предотвращению (выявлению) проникновения в ОРГАНИЗАЦИИ информаторов, связанных с преступными группировками.

Организационно-правовой режим предусматривает создание и поддержание правовой базы безопасности информации и разработку (введение в действие) следующих организационно-распорядительных документов:

Положение о сохранности информации ограниченного распространения. Указанное Положение регламентирует организацию, порядок работы со сведениями ограниченного распространения, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, государственным (коммерческим) учреждениям и организациям;

Перечень сведений, составляющих служебную и коммерческую тайну. Перечень определяет сведения, отнесенные к категориям конфиденциальных («ДСП», коммерческая тайна, банковская тайна, персональные данные), уровень и сроки обеспечения ограничений по доступу к защищаемой информации;

Приказы и распоряжения по установлению режима безопасности информации:

о создании комиссии по формированию Перечня сведений;

о назначении постоянно действующей комиссии по категорированию и аттестации объектов информатизации;

о вводе в эксплуатацию объектов информатизации;

о назначении выделенных помещений;

о допуске сотрудников к работе с информацией ограниченного распространения;

о назначении лиц ответственных за обеспечение сохранности информации ограниченного распространения в АС ОРГАНИЗАЦИИ и др.;

Инструкции и функциональные обязанности сотрудникам:

по организации охранно-пропускного режима;

по организации делопроизводства;

по организации работы с информацией на магнитных носителях;

о защите информации ограниченного распространения в АС ОРГАНИЗАЦИИ;

по организации модификаций аппаратно-программных конфигураций ЭВМ;

другие нормативные документы.

Организационно-технические мероприятия по защите информации ограниченного распространения от утечки по техническим каналам предусматривают:

комплекс мер и соответствующих технических средств, ослабляющих утечку речевой и сигнальной информации - пассивная защита (защита);

комплекс мер и соответствующих технических средств, создающих помехи при съеме информации - активная защита (противодействие);

комплекс мер и соответствующих технических средств, позволяющих выявлять каналы утечки информации - поиск (обнаружение).

Физическая охрана объектов информатизации (компонентов компьютерных систем) включает:

организацию системы охранно-пропускного режима и системы контроля допуска на объект;

введение дополнительных ограничений по доступу в помещения, предназначенные для хранения закрытой информации (кодовые и электронные замки, карточки допуска и т.д.);

визуальный и технический контроль контролируемой зоны объекта защиты;

применение систем охранной и пожарной сигнализации и т.д.

Выполнение режимных требований при работе с информацией ограниченного распространения предполагает:

разграничение допуска к информационным ресурсам ограниченного распространения;

разграничение допуска к программно-аппаратным ресурсам АС ОРГАНИЗАЦИИ;

ведение учета ознакомления сотрудников с информацией ограниченного распространения;

включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранности сведений ограниченного распространения;

организация уничтожения информационных отходов (бумажных, магнитных и т.д.);

оборудование служебных помещений сейфами, шкафами для хранения бумажных и магнитных носителей информации и т.д.

Мероприятия технического контроля предусматривают:

контроль за проведением технического обслуживания, ремонта носителей информации и средств ЭВТ;

проверки поступающего оборудования, предназначенного для обработки закрытой информации, на наличие специально внедренных закладных устройств;

инструментальный контроль технических средств на наличие побочных электромагнитные излучения и наводок;

оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи;

защита выделенных помещений при проведении закрытых (секретных) работ (переговоров), создание акустических, виброакустических и электромагнитных помех для затруднения съема информации;

постоянное обновление технических и программных средств защиты от несанкционированного доступа к информации в соответствие с меняющейся оперативной обстановкой.

5.3 Оснащение техническими средствами хранения и обработки информации

Организация хранения конфиденциальных документов и машинных носителей информации, а также оборудование режимных помещений осуществляется в соответствии с установленными в ОРГАНИЗАЦИИ требованиями.

В случае оснащения помещений средствами охранной сигнализации, а также автоматизированной системой приема и регистрации сигналов от этих средств, прием-сдача таких помещений под охрану осуществляется на основании специально разрабатываемой инструкции, утверждаемой Руководителем ОРГАНИЗАЦИИ после согласования с подразделением безопасности.

В режимно-секретном органе (РСО) на случай пожара, аварии или стихийного бедствия разрабатывается инструкция, утверждаемая Руководителем ОРГАНИЗАЦИИ, в которой предусматривается порядок вызова должностных лиц, вскрытия режимных помещений, очередность и порядок спасения секретных документов и изделий и дальнейшего их хранения. Инструкция должна находиться в подразделении охраны, независимо от его ведомственной принадлежности.

Режимно-секретный орган должен быть обеспечен средствами уничтожения документов.

В случае применения для обработки конфиденциальной информации средств вычислительной техники, создается система защиты секретной информации (СЗСИ), которая направлена на обеспечение сохранности информации во время разработки, монтажа, эксплуатации, ремонта и списания СВТ путем предотвращения случаев несанкционированного доступа к информации, ее утечки за счет побочных электромагнитных излучений и наводок и разрушения.

Применяемая СЗСИ должна проходить обязательную сертификацию (аттестацию) на соответствие требованиям безопасности информации.

Обработка конфиденциальной информации на СВТ разрешается только после завершения работ по созданию СЗСИ, проверки ее функционирования и аттестации.

Защита информации от утечки по техническим каналам осуществляется в соответствии со «Специальными требованиями и рекомендациями по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (решение Гостехкомиссии России от 23 мая 1997 года № 55).

Работы по обеспечению безопасности информации, обрабатываемой с помощью АС ОРГАНИЗАЦИИ, можно условно разделить на следующие группы:

обеспечение физической безопасности компонентов АС ОРГАНИЗАЦИИ (специально внедренные закладные устройства, побочные электромагнитные излучения и наводки, повреждения, сбои питания, кражи и т.п.);

обеспечение логической безопасности АС ОРГАНИЗАЦИИ (защита от несанкционированного доступа, от ошибок в действиях пользователей и программ и т.д.);

обеспечение социальной безопасности АС ОРГАНИЗАЦИИ (разработка организационных документов, соответствующих законодательным нормам, регулирующих применение компьютерных технологий, порядок расследования и наказания за компьютерные преступления, контроль и предотвращение неправильного использования информации в случае, когда она хранится или обрабатывается с помощью компьютерных систем).

6. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ

Построение системы обеспечения безопасности информации АС ОРГАНИЗАЦИИ и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

законность;

системность;

комплексность;

непрерывность;

своевременность;

преемственность и непрерывность совершенствования;

разумная достаточность;

персональная ответственность;

минимизация полномочий;

взаимодействие и сотрудничество;

гибкость системы защиты;

открытость алгоритмов и механизмов защиты;

простота применения средств защиты;

научная обоснованность и техническая реализуемость;

специализация и профессионализм;

обязательность контроля.

Законность

Предполагает осуществление защитных мероприятий и разработку системы безопасности информации АС ОРГАНИЗАЦИИ в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры безопасности информации не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных систем.

Пользователи и обслуживающий персонал АС ОРГАНИЗАЦИИ должны иметь представление об ответственности за правонарушения в области систем автоматизированной обработки информации (статьи 272, 273, 274 Уголовного Кодекса РФ и т.п.).

Системность

Системный подход к построению системы защиты информации в АС ОРГАНИЗАЦИИ предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации АС ОРГАНИЗАЦИИ.

При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Комплексность

Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укрепленных рубежей призваны быть средства защиты, реализованные на уровне операционных систем (ОС) СВТ в силу того, что ОС - это та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.

Непрерывность защиты

Защита информации - не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС ОРГАНИЗАЦИИ, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

Своевременность

Предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите АС и реализацию мер обеспечения безопасности информации на ранних стадиях разработки АС в целом и ее системы защиты информации, в частности.

Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

Преемственность и совершенствование

Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования АС и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

Разумная достаточность

(экономическая целесообразность, сопоставимость возможного ущерба и затрат)

Предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы АС, в которой эта информация циркулирует. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала.

Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

Персональная ответственность

Предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

Принцип минимизации полномочий

Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.

Взаимодействие и сотрудничество

Предполагает создание благоприятной атмосферы в коллективах подразделений ОРГАНИЗАЦИИ. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений технической защиты информации.

Гибкость системы защиты

Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости системы защиты избавляет владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

Открытость алгоритмов и механизмов защиты

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это однако не означает, что информация о конкретной системе защиты должна быть общедоступна.

Простота применения средств защиты

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).

Научная обоснованность и техническая реализуемость

Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации.

Специализация и профессионализм

Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами ОРГАНИЗАЦИИ (специалистами подразделений технической защиты информации).

Обязательность контроля

Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.

Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

7. МЕРЫ, МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ТРЕБУЕМОГО УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ

7.1 Меры обеспечения безопасности

Все меры обеспечения безопасности компьютерных систем подразделяются на:

правовые (законодательные);

морально-этические;

организационные (административные);

физические;

технические (аппаратурные и программные).

7.1.1 Законодательные (правовые) меры защиты

К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.

7.1.2 Морально-этические меры защиты

К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах подразделений.

7.1.3 Организационные (административные) меры защиты

Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Формирование политики безопасности

Главная цель административных мер, предпринимаемых на высшем управленческом уровне - сформировать политику в области обеспечения безопасности информации (отражающую подходы к защите информации) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

С практической точки зрения политику в области обеспечения безопасности информации в АС ОРГАНИЗАЦИИ целесообразно разбить на два уровня. К верхнему уровню относятся решения руководства, затрагивающие деятельность ОРГАНИЗАЦИИ в целом. Примером таких решений могут быть:

принятие решения о формировании или пересмотре комплексной программы обеспечения безопасности информации, определение ответственных за ее реализацию;

формулирование целей, постановка задач, определение направлений деятельности в области безопасности информации;

принятие решений по вопросам реализации программы безопасности, которые рассматриваются на уровне ОРГАНИЗАЦИИ в целом;

обеспечение нормативной (правовой) базы вопросов безопасности и т.п.

Политика верхнего уровня должна четко очертить сферу влияния и ограничения при определении целей безопасности информации, определить какими ресурсами (материальные, персонал) они будут достигнуты и найти разумный компромисс между приемлемым уровнем безопасности и функциональностью АС.

Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач безопасности информации и детализирует (регламентирует) эти правила:

какова область применения политики безопасности информации;

каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности информации;

кто имеет права доступа к информации ограниченного распространения;

кто и при каких условиях может читать и модифицировать информацию и т.д.

Политика нижнего уровня должна:

предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных информационных ресурсов;

определять коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к информации ограниченного распространения;

выбирать программно-математические и технические (аппаратные) средства криптозащиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

Регламентация доступа в помещения АС ОРГАНИЗАЦИИ

Эксплуатация защищенных АРМ и серверов АС ОРГАНИЗАЦИИ должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящимися под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (АРМ, документов, реквизитов доступа и т.п.). Размещение и установка технических средств ПЭВМ таких АРМ должна исключать возможность визуального просмотра вводимой (выводимой) информации лицами, не имеющими к ней отношения. Уборка помещений с установленными в них ПЭВМ должна производиться в присутствии ответственного, за которым закреплены данные технические средства, или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.

В помещениях во время обработки и отображения на ПЭВМ информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией. Запрещается прием посетителей в помещениях, когда осуществляется обработка защищаемой информации.

По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану с включением сигнализации и с отметкой в книге приема и сдачи служебных помещений.

Для хранения служебных документов и машинных носителей с защищаемой информацией помещения снабжаются сейфами и металлическими шкафами.

В случае оснащения помещений средствами охранной сигнализации, а также автоматизированной системой приема и регистрации сигналов от этих средств, прием-сдача таких помещений под охрану осуществляется на основании специально разрабатываемой инструкции, утверждаемой руководством органов ОРГАНИЗАЦИИ.

Помещения должны быть обеспечены средствами уничтожения документов.

В случае применения для обработки информации средств вычислительной техники, пропускной и внутриобъектовый режим объекта СВТ должен удовлетворять требованиям, предъявляемым к режимным объектам.

Регламентация допуска сотрудников к использованию ресурсов АС ОРГАНИЗАЦИИ

В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях; система разграничения доступа, которая предполагает определение для всех пользователей автоматизированной информационной системы информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.

Допуск сотрудников подразделений ОРГАНИЗАЦИИ к работе с автоматизированной системой и доступ к ее ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно “Инструкции по внесению изменений в списки пользователей АС ОРГАНИЗАЦИИ и наделению их полномочиями доступа к ресурсам системы”. Основными пользователями информации в АС ОРГАНИЗАЦИИ являются сотрудники структурных подразделений ОРГАНИЗАЦИИ. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:

открытая, конфиденциальная информация размещаются по возможности на различных серверах (это упрощает обеспечение защиты);

каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями;

начальник имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями;

наиболее ответственные технологические операции должны производиться по правилу "в две руки" - правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.

Все сотрудники ОРГАНИЗАЦИИ, допущенные к работе (пользователи) и обслуживающий персонал АС ОРГАНИЗАЦИИ, должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник (при приеме на работу) должен подписывать Соглашение-обязательство о соблюдении и ответственности за нарушение установленных требований по сохранению государственной, служебной и коммерческой тайны, а также правил работы с защищаемой информацией в АС ОРГАНИЗАЦИИ.

Обработка защищаемой информации в подсистемах АС ОРГАНИЗАЦИИ должна производиться в соответствии с утвержденными технологическими инструкциями (техническими порядками) для данных подсистем.

Для пользователей защищенных АРМ (то есть АРМ, на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению безопасности информации.

Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов

Все операции по ведению баз данных ОРГАНИЗАЦИИ и допуск сотрудников подразделений ОРГАНИЗАЦИИ к работе с этими базами данных должны быть строго регламентированы (должны производиться в соответствии с утвержденными технологическими инструкциями). Любые изменения состава и полномочий пользователей баз данных АС ОРГАНИЗАЦИИ должны производиться установленным порядком.

Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на специальных пользователей - администраторов конкретных баз данных. При этом могут использоваться как только штатные, так и дополнительные средства защиты СУБД и операционных систем.

Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС ОРГАНИЗАЦИИ

Все аппаратные и программные ресурсы АС ОРГАНИЗАЦИИ должны быть установленным порядком категорированы (для каждого ресурса должен быть определен требуемый уровень защищенности). Подлежащие защите ресурсы системы (задачи, программы, АРМ) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных).

Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация (с которых возможен доступ к защищаемым ресурсам), должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей. Все неиспользуемые в работе (лишние) устройства ввода-вывода информации (COM, LPT порты, дисководы НГМД, CD с других носителей информации) на таких АРМ должны быть отключены (удалены), не нужные для работы программные средства и данные с дисков АРМ также должны быть удалены.

Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами).

Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств существующих АРМ в АС ОРГАНИЗАЦИИ должны осуществляться только установленным порядком.

Все программное обеспечение (разработанное специалистами отделов программирования ОРГАНИЗАЦИИ, полученное централизованно или приобретенной у фирм-производителей) должно установленным порядком проходить испытания и передаваться в фонд алгоритмов и программ (ФАП) ОРГАНИЗАЦИИ. В подсистемах АС должны устанавливаться и использоваться только полученные установленным порядком из ФАП программные средства. Использование в АС ПО, не учтенного в ФАП ОРГАНИЗАЦИИ, должно быть запрещено.

Разработка ПО задач (комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должна осуществляться в соответствии с установленным порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию.

Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов АС ОРГАНИЗАЦИИ

На всех АРМ, подлежащих защите, должны быть установлены необходимые технические средства защиты (соответствующие категории данных АРМ).

Узлы и блоки оборудования СВТ, к которым доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к их монтажным схемам должны закрываться и опечатываться (пломбироваться) сотрудниками службы технической защиты информации ОРГАНИЗАЦИИ. О вскрытии (опечатывании) блоков ПЭВМ делается запись в «Журнале учета нештатных ситуаций, фактов вскрытия и опечатывания блоков ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств АРМ подразделения».

Повседневный контроль за целостностью и соответствием печатей (пломб) на системных блоках ПЭВМ должен осуществляться пользователями АРМ и администраторами безопасности информации (ответственными за безопасность информации подразделений ОРГАНИЗАЦИИ). Периодический контроль - сотрудниками службы технической защиты информации ОРГАНИЗАЦИИ.

Кадровая работа (подбор и подготовка персонала, обучение пользователей)

До начала этапа эксплуатации автоматизированной системы ее пользователи, а также необходимый руководящий и обслуживающий персонал должны быть ознакомлены с перечнем сведений, подлежащих засекречиванию и защите, в части их касающейся, и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации ограниченного распространения.

Защита информации по всем перечисленным направлениям возможна только после выработки у пользователей определенной дисциплины, т.е. норм, обязательных для исполнения всеми, кто работает с АС ОРГАНИЗАЦИИ. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу АС ОРГАНИЗАЦИИ, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей.

Все сотрудники ОРГАНИЗАЦИИ, использующие при работе конкретные подсистемы АС ОРГАНИЗАЦИИ, должны быть ознакомлены с организационно-распорядительными документами по защите АС ОРГАНИЗАЦИИ в части, их касающейся, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации при использовании АС. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться начальниками подразделений под роспись.

Подразделения технической защиты информации

Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в ОРГАНИЗАЦИИ должна быть создана специальная служба технической защиты информации.

Служба технической защиты информации должна представлять собой систему штатных или нештатных подразделений, предназначенных для организации квалифицированной разработки (совершенствования) системы защиты информации и организационного (административного) обеспечения ее функционирования во всех подразделениях ОРГАНИЗАЦИИ.

На эти подразделения целесообразно возложить решение следующих основных задач:

проведение в жизнь политики обеспечения безопасности информации, определение требований к системе защиты информации;

организация мероприятий и координация работ всех подразделений ОРГАНИЗАЦИИ по комплексной защите информации;

контроль и оценка эффективности принятых мер и применяемых средств защиты информации.

Основные функции подразделения безопасности заключаются в следующем:

формирование требований к системе защиты в процессе создания (развития) АС ОРГАНИЗАЦИИ;

участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;

распределение между пользователями необходимых реквизитов защиты;

наблюдение за функционированием системы защиты и ее элементов;

организация проверок надежности функционирования системы защиты;

обучение пользователей и персонала АС правилам безопасной обработки информации;

регламентация действий и контроль за администраторами баз данных, серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств защиты информации);

взаимодействие с ответственными за безопасность информации в подразделениях ОРГАНИЗАЦИИ;

контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.

Организационно-правовой статус службы защиты определяется следующим образом:

численность службы защиты должна быть достаточной для выполнения всех перечисленных выше функций;

служба защиты должна подчиняться лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;

персонал службы защиты не должен иметь других обязанностей, связанных с функционированием АС;

сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура АС ОРГАНИЗАЦИИ и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;

руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы АС ОРГАНИЗАЦИИ, если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз безопасности информации;

службе защиты информации должны обеспечиваться все условия, необходимые для выполнения своих функций.

Для решения задач, возложенных на подразделение защиты информации, его сотрудники должны иметь следующие права:

определять необходимость и разрабатывать нормативные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность сотрудников подразделений ОРГАНИЗАЦИИ;

получать информацию от сотрудников подразделений ОРГАНИЗАЦИИ по вопросам применения информационных технологий и эксплуатации АС;

участвовать в проработке технических решений по вопросам обеспечения безопасности информации при проектировании и разработке комплексов задач (задач);

участвовать в испытаниях разработанных комплексов задач (задач) по вопросам оценки качества реализации требований по обеспечению безопасности информации;

контролировать деятельность сотрудников подразделений ОРГАНИЗАЦИИ по вопросам ОБИ.

В состав подразделения защиты информации должны входить следующие специалисты:

ответственные за администрирование средств защиты от НСД (выбор, установка, настройка, снятие средств защиты, просмотр журналов регистрации событий, оперативный контроль за работой пользователей и реагирование на события НСД и т.п.);

ответственные за администрирование криптографических средств защиты (установка, настройка, снятие СКЗИ, генерация и распределение ключей и т.д.);

ответственные за решение вопросов защиты информации в разрабатываемых программистами и внедряемых прикладных программах (участие в разработке технических заданий по вопросам защиты информации, выбор средств и методов защиты, участие в испытаниях новых прикладных программ с целью проверки выполнения требований по защите информации и т.д.);

специалисты по защите от утечки информации по техническим каналам.

Ответственность за нарушения установленного порядка использования АС ОРГАНИЗАЦИИ. Расследование нарушений.

Любое грубое нарушение порядка и правил работы в АС сотрудниками структурных подразделений ОРГАНИЗАЦИИ и других ведомств должно расследоваться. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами по усмотрению руководства центральных или территориальных органов ОРГАНИЗАЦИИ.

Для реализации принципа персональной ответственности пользователей за свои действия необходимы:

индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора, на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа;

проверка подлинности пользователей (аутентификация) на основе паролей, ключей на различной физической основе, биометрических характеристик личности и т.п.;

регистрация (протоколирование) работы механизмов контроля доступа к ресурсам информационных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата;

реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д.).

7.2 Физические средства защиты

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

7.2.1 Разграничение доступа на территорию и в помещения

Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств разведки.

Более современными, надежными системами физической защиты, дающими широкие возможности регистрации и контроля за доступом исполнителей и посторонних лиц в помещения, в которых проводятся работы и переговоры секретного (конфиденциального) характера, обрабатывается и хранится такая информация, являются технические системы, основанные на таких методах идентификации и аутентификации персонала как магнитные и электронные карты с личными данными, биометрические характеристики личности, реализуемые в виде автоматизированных систем контроля за доступом в указанные помещения. Подобные автоматизированные системы могут быть реализованы на центральной ПЭВМ службы безопасности, собирающей информацию с большого количества терминалов, контролирующих доступ в помещения, к объектам и отдельным средствам информатизации.

Для обеспечения физической безопасности компонентов АС ОРГАНИЗАЦИИслужбе безопасности необходимо осуществить ряд организационных и технических мероприятий, включающих (кроме выполнения рекомендаций по инженерной и технической защите зданий и помещений):

проверку поступающего оборудования АС ОРГАНИЗАЦИИ, предназначенного для обработки закрытой (конфиденциальной) информации, на:

наличие специально внедренных закладных устройств;

побочные электромагнитные излучения и наводки;

введение дополнительных ограничений по доступу в помещения (компьютерный зал, серверная и т.д.), предназначенные для хранения и обработки закрытой информации;

оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи.

7.3 Технические (программно-аппаратные) средства защиты

Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС ОРГАНИЗАЦИИ и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

С учетом всех требований и принципов обеспечения безопасности информации в АС по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

средства аутентификации потребителей (пользователей) и элементов АС ОРГАНИЗАЦИИ (терминалов, задач, элементов баз данных и т.п.), соответствующих степени конфиденциальности информации и обрабатываемых данных;

средства разграничения доступа к данным;

средства криптографического закрытия информации в линиях передачи данных и в базах данных;

средства регистрации обращения и контроля за использованием защищаемой информации;

средства реагирования на обнаруженный НСД;

средства снижения уровня и информативности ПЭМИН, создаваемых различными элементами АС;

средства снижения уровня акустических излучений, сопровождающих функционирование элементов АС;

средства маскировки от оптических средств наблюдения;

средства электрической развязки как элементов АС, так и конструктивных элементов помещений, в которых размещается АС (включая водопроводную и канализационную систему);

средства активного зашумления в радио и акустическом диапазонах.

На технические средства защиты от НСД возлагается решение следующих основных задач (в соответствии с Руководящими документами Гостехкомиссии России и ГОСТ):

идентификация и аутентификации пользователей при помощи имен и/или специальных аппаратных средств (Touch Memory, Smart Card и т.п.);

регламентация доступа пользователей к физическим устройствам компьютера (дискам, портам ввода-вывода);

избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам;

полномочное (мандатное) разграничение доступа к защищаемым данным на рабочей станции и на файловом сервере;

создание замкнутой программной среды разрешенных для запуска программ, расположенных как на локальных, так и на сетевых дисках;

защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;

контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора;

регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;

централизованный сбор, хранение и обработка на файловом сервере журналов регистрации рабочих станций сети;

защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети;

централизованное управление настройками средств разграничения доступа на рабочих станциях сети;

оповещение администратора безопасности обо всех событиях НСД, происходящих на рабочих станциях;

оперативный контроль за работой пользователей сети, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости) любой станции сети.

Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными мерами и используемыми физическими средствами защиты:

физическая целостность всех компонент АС ОРГАНИЗАЦИИ обеспечена;

каждый сотрудник (пользователь системы) имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;

использование на рабочих станциях АС ОРГАНИЗАЦИИ инструментальных и технологических программ (тестовых утилит, отладчиков и т.п.), позволяющих предпринять попытки взлома или обхода средств защиты, ограничено и строго регламентировано;

в защищенной системе нет программирующих пользователей. Разработка и отладка программ осуществляется за пределами защищенной системы;

все изменения конфигурации технических и программных средств ПЭВМ АС производятся строго установленным порядком только на основании распоряжений руководства структурных подразделений ОРГАНИЗАЦИИ;

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних (специальные помещениях, шкафах, и т.п.).

специальной службой технической защиты информации осуществляется непрерывное управление и административная поддержка функционирования средств защиты в соответствии с Планом защиты АС ОРГАНИЗАЦИИ.

7.3.1 Средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей

В целях предотвращения работы с АС ОРГАНИЗАЦИИ посторонних лиц необходимо обеспечить возможность распознавания системой каждого законного пользователя (или ограниченных групп пользователей). Для этого в системе (в защищенном месте) должен храниться ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости - и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе. Кроме того, для идентификации могут применяться различного рода устройства: магнитные карточки, ключевые вставки, дискеты и т.п.

Аутентификация (подтверждение подлинности) пользователей должна осуществляться на основе использования паролей (секретных слов) или проверки уникальных характеристик (параметров) пользователей при помощи специальных биометрических средств.

7.3.2 Средства разграничения доступа зарегистрированных пользователей системы к ресурсам АС

После распознавания пользователя система должна осуществлять авторизацию пользователя, то есть определять, какие права предоставлены пользователю: какие данные и как он может использовать, какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. Авторизация пользователя должна осуществляется с использованием следующих механизмов реализации разграничения доступа:

механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;

механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;

механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для запуска программ),

поддерживаемых механизмами идентификации (распознавания) и аутентификации (подтверждения подлинности) пользователей при их входе в систему.

Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.

Технические средства разграничения доступа должны быть составной частью единой системы контроля доступа:

на контролируемую территорию;

в отдельные помещения;

к элементам АС и элементам системы защиты информации (физический доступ);

к ресурсам АС (программно-математический доступ);

к информационным хранилищам (носителям информации, томам, файлам, наборам данных, архивам, справкам, записям и т.д.);

к активным ресурсам (прикладным программам, задачам, формам запросов и т.п.);

к операционной системе, системным программам и программам защиты и т.п.



7.3.3 Средства обеспечения и контроля целостности программных и информационных ресурсов

Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:

средствами подсчета контрольных сумм;