Разработка автоматизированных систем защиты информации

На 7-м этапе «Проведение опытной эксплуатации» осуществляют эксплуатацию и ее анализ, при необходимости дорабатывают программное обеспечение, дополнительно налаживают технические средства и оформляют акт о завершении опытной эксплуатации системы.

На 8-м этапе «Проведение приемочных испытаний» в соответствии с программой и методикой выполняют испытания на соответствие ТЗ, анализируют результаты и устраняют недостатки, выявленные при испытаниях, оформляют акт о приемке системы в постоянную эксплуатацию.

На 8-й стадии «Сопровождение АС» на 1-м этапе «Выполнение работ в соответствии с гарантийными обязательствами» устраняют недостатки, выявленные при эксплуатации АС в течение гарантийных сроков, и вносят необходимые изменения в документацию.

На 2-м этапе «Послегарантийное  обслуживание» осуществляют анализ работы системы, выявляют отклонения от проекта, устанавливают причины этих отклонений и устраняют их, вносят необходимые изменения в документацию на АС.

Приведенные стадии и этапы разработки систем не всегда могут быть реализованы  полностью. Разработка проходит только все необходимые для конкретной системы стадии и этапы.

Например, рассматривая этапы разработки экспертных систем, выделяют следующие:

идентификация — определение проблемы и ее концептуальное описание, определение  ресурсов, целей, экспертов;

 концептуализация — выделение  ключевых понятий системы, отношений  и характеристик, достаточных  для полного и детального описания  объекта;

 формализация и моделирование  — описание введенных понятий  на некотором формальном языке,  построение модели исследуемой области;

 рабочее проектирование —  разработка документации для  создания общего и функционального  обеспечения системы;

 выполнение — создание одного  или нескольких прототипов системы;

 тестирование — оценка выбранного  метода представления знаний и работоспособности всей системы в целом на основе проверки прототипа;

 опытная эксплуатация — проверка  пригодности системы для конечного  пользователя;

 модификация системы — введение  изменений в модель и документацию  системы, полное или частичное  перепрограммирование и доведение прототипа до состояния нового программного продукта.

Стандартизация и типизация, использование  типовых проектных решений как  составных частей или блоков при  проектировании АС позволили значительно  сократить трудоемкость разработки и время внедрения, получить большее разнообразие проектных решений.

Создание АС предусматривает разработку комплексов проектных решений трех классов:

 Комплекс задач и методик  обработки данных, алгоритмов и  программ для информационного  обслуживания и реализацию функций управления. Проектные решения могут быть здесь развиты до масштабов подсистем или информационных систем.

 Определение структуры, состава,  размещения и порядок использования  ТС и ПО, предназначенных для  предварительной подготовки данных, их передачи между компонентами системы для решения задач обработки данных и выдачи ее результатов потребителю.

 Определение организационных  решений и действий персонала  на всех стадиях разработки, внедрения  и функционирования как отдельных  задач и прикладных систем, так и систем в целом.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5. Рекомендации по  защите информации, обрабатываемой в автоматизированных системах

 

В учреждении (предприятии) должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП.

Защищаемые помещения должны размещаться  в пределах КЗ. При этом рекомендуется  размещать их на удалении от границ КЗ, обеспечивающем эффективную защиту, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий).

Не рекомендуется располагать  ЗП на первых этажах зданий.

Для исключения просмотра текстовой  и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).

Защищаемые помещения рекомендуется  оснащать сертифицированными по требованиям  безопасности информации ОТСС и ВТСС либо средствами, прошедшими специальные  исследования и имеющими предписание на эксплуатацию.

Эксплуатация ОТСС, ВТСС должна осуществляться в строгом соответствии с предписаниями  и эксплутационной документацией  на них.

Специальная проверка ЗП и установленного в нем оборудования с целью  выявления возможно внедренных в  них электронных устройств перехвата информации "закладок" проводится, при необходимости, по решению руководителя предприятия.

Во время проведения конфиденциальных мероприятий запрещается использование  в ЗП радиотелефонов, оконечных устройств  сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий.

Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ЗП в качестве оконечных устройств  телефонной связи, имеющих прямой выход  в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.

Для исключения возможности скрытного  проключения ТА и прослушивания  ведущихся в ЗП разговоров не рекомендуется устанавливать в них цифровые ТА цифровых АТС, имеющих выход в городскую АТС или к которой подключены абоненты, не являющиеся сотрудниками учреждения (предприятия).

В случае необходимости, рекомендуется  использовать сертифицированные по требованиям безопасности информации цифровые АТС либо устанавливать в эти помещения аналоговые аппараты.

Ввод системы городского радиотрансляционного вещания на территорию учреждения (предприятия) рекомендуется осуществлять через  радиотрансляционный узел (буферный усилитель), размещаемый в пределах контролируемой зоны.

При вводе системы городского радиовещания без буферного усилителя в  ЗП следует использовать абонентские  громкоговорители в защищенном от утечки информации исполнении, а также трехпрограммные абонентские громкоговорители в режиме приема 2-й и 3-й программы (с усилителем).

В случае использования однопрограммного или трехпрограммного абонентского громкоговорителя в режиме приема первой программы (без усиления) необходимо их отключать на период проведения конфиденциальных мероприятий.

В случае размещения электрочасовой станции внутри КЗ использование  в ЗП электровторичных часов (ЭВЧ) возможно без средств защиты информации

При установке электрочасовой станции  вне КЗ в линии ЭВЧ, имеющие  выход за пределы КЗ, рекомендуется устанавливать сертифицированные средства защиты информации.

Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной  схеме сбора информации (связи  с пультом) и, как правило, размещаться  в пределах одной с ЗП контролируемой зоне.

В качестве оконечных устройств  пожарной и охранной сигнализации в  ЗП рекомендуется использовать изделия, сертифицированные по требованиям  безопасности информации, или образцы  средств, прошедшие специальные  исследования и имеющие предписание на эксплуатацию.

Звукоизоляция ограждающих конструкций  ЗП, их систем вентиляции и кондиционирования  должна обеспечивать отсутствие возможности  прослушивания ведущихся в нем  разговоров из-за пределов ЗП.

Проверка достаточности звукоизоляции  осуществляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослушивания вне ЗП разговоров, ведущихся в нем.

При этом уровень тестового речевого сигнала должен быть не ниже используемого  во время штатного режима эксплуатации помещения.

Для обеспечения необходимого уровня звукоизоляции помещений рекомендуется  оборудование дверных проемов тамбурами  с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных  притворах и применение шумопоглотителей на выходах вентиляционных каналов.

Если предложенными выше методами не удается обеспечить необходимую  акустическую защиту, следует применять  организационно-режимные меры, ограничивая  на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ЗП.

Для снижения вероятности перехвата  информации по виброакустическому каналу следует организационно-режимными  мерами исключить возможность установки  посторонних (нештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования).

Для снижения уровня виброакустического сигнала рекомендуется расположенные  в ЗП элементы инженерно-технических систем отопления, вентиляции оборудовать звукоизолирующими экранами.

В случае, если указанные выше меры защиты информации от утечки по акустическому  и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется  применять метод активного акустического или виброакустического маскирующего зашумления.

Для этой цели должны применяться  сертифицированные средства активной защиты.

При эксплуатации ЗП необходимо предусматривать  организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение:

• двери ЗП в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;
• выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;
• установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации учреждения (предприятия).

 

 

5.1 Организационные мероприятия

 

Организационные меры не требуют больших  материальных затрат, но их эффективность подтверждена жизнью и часто недооценивается потенциальными жертвами. Отметим их одну отличительную особенность в сравнении с техническими средствами: организационные меры никогда не становятся провоцирующим фактором агрессии. Они применяются до столкновения со злоумышленником.

Используя опыт многих организаций  в области проектирования КСЗИ, отметим, что организационные мероприятия  включают в себя создание концепции  информационной безопасности, а также:

• составление должностных инструкций для пользователей и обслуживающего персонала;
• создание правил администрирования компонент информационной системы, учета, хранения, размножения, уничтожения носителей информации, идентификации пользователей;
• разработка планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;
• обучение правилам информационной безопасности пользователей.

Соблюдение основных принципов  и простых правил позволит предотвратить потерю информации, а вместе с этим и возможный материальный, моральный ущерб, финансовые потери и т.д.

В случае необходимости, в рамках проведения организационных мероприятий может  быть создана служба информационной безопасности, режимно-пропускной отдел, проведена реорганизация системы делопроизводства и хранения документов.

Рассмотрим структуру некоторых  положений используемых в защищенных АС. Основные инструкции и правила  для пользователей и обслуживающего персонала, используемых на предприятии приведены в Приложении А.

5.2. Рекомендации по категорированию информации в информационной системе предприятия

Вся информация на предприятии должна быть категорирована. Категории критичности  и связанные с ними меры защиты для производственной информации должны учитывать производственную необходимость в коллективном использовании информации или ограничении доступа к ней, а также ущерб для предприятия, связанный с несанкционированным доступом или повреждением информации.

Ответственность за присвоение категории критичности конкретному виду информации, например, документу, файлу данных или дискете, а также за периодическую проверку этой категории следует возложить на владельца информации.

Следует с осторожностью подходить  к интерпретации категорий критичности на документах других предприятий, поскольку одинаковый или похожий уровень критичности может быть определен по-другому.

При присвоении категорий критичности  следует учесть следующие моменты:

• Критичная информация и выходные данные систем, содержащие критичную информацию, должны иметь соответствующие категории критичности.
• Чрезмерное засекречивание информации может привести к неоправданным дополнительным затратам в компании.
• Выходным данным информационных систем, содержащим критичную информацию, должен быть присвоен соответствующий уровень критичности. Этот уровень критичности должен отражать категорию критичности наиболее уязвимой информации в выходных данных.