- Технологическое
и организационное
построение КСЗИ
Организационное
направление работ
по созданию КСЗИ
В
рамках организационного направления
работ создается организационная
компонента КСЗИ - совокупность правил
(руководящих документов) и технических
средств, регламентирующих деятельность
сотрудников при обращении с информацией
независимо от форм ее представления.
Включает
в себя разработку регламента обеспечения
безопасности, применение методологии
при работе с персоналом Заказчика,
при создании подразделения, ответственного
за обеспечение безопасности информации,
обучение и консультации сотрудников
подразделения, работы по уточнению требований
к характеристикам защищенности системы,
анализ информационной структуры Заказчика,
разнесение субъектов и объектов информационных
отношений по категориям конфиденциальности,
определение допустимых формы их взаимодействий
и т.д.
Определение
1. Регламент
обеспечения безопасности -
комплект документов,
регламентирующий правила
обращения с конфиденциальной
информацией в зависимости
от фазы ее обработки
и категории конфиденциальности.
В
регламенте должен быть определен комплекс
методических, административных и технических
мер, включающих в себя:
- создание
подразделения, ответственного за обеспечение
информации;
- определение
порядка допуска сотрудников к конфиденциальной
информации;
- определение
обязанностей, ограничений и условий,
накладываемых на сотрудников, допущенных
к конфиденциальной информации;
- установление
категории конфиденциальности информации;
определение категории конфиденциальности
работ, проводимых Заказчиком и информации,
содержащейся в документах, связанных
с работами; порядок изменения категории
конфиденциальности работ и информации;
- требования
к помещениям, в которых проводятся конфиденциальные
работы и обрабатывается конфиденциальная
информация, по категориям;
- требования
к конфиденциальному делопроизводству;
- требования
к учету, хранению и обращению с конфиденциальными
документами;
- меры по контролю
за обеспечением конфиденциальности работ
и информации;
- план мероприятий
по противодействию атаке на конфиденциальную
информацию (действия, которые надо предпринимать
в случае обнаружения разглашения информации
с целью пресечения процесса разглашения/утечки
информации);
- план мероприятий
по восстановлению конфиденциальности
информации (действия, которые надо предпринимать
после пресечения процесса разглашения/утечки
информации);
- определение
ответственности за разглашение конфиденциальной
информации.
Документы
должны определять работу комплексной
системы защиты информации:
- в штатном
режиме;
- изменения
в штатном режиме работы;
- нештатный
режим (аварийные ситуации).(30)
Как
показывает опыт практической работы,
для эффективной защиты автоматизированной
системы организации необходимо
решить ряд организационных задач:
• создать
специальное подразделение, обеспечивающее
разработку правил эксплуатации автоматизированной
системы, определяющее полномочия пользователей
по доступу к ресурсам этой системы,
осуществляющее административную поддержку
ТСЗИ (правильную настройку, контроль
и оперативное реагирование на поступающие
сигналы о нарушениях установленных правил
доступа, анализ журналов регистрации
событий безопасности и т.п.);
• разработать
технологию обеспечения
информационной безопасности, предусматривающую
порядок взаимодействия подразделений
организации по вопросам обеспечения
безопасности при эксплуатации автоматизированной
системы и модернизации ее программных
и аппаратных средств;
• внедрить
данную технологию путем разработки
и утверждения необходимых нормативно-методических
и организационно-распорядительных документов
(концепций, положений, инструкций и т.п.).
При
создании подразделения информационной
безопасности надо учитывать, что для
эксплуатации средств защиты нужен
минимальный штат сотрудников, осуществляющих
поддержку функционирования ТСЗИ. В то
же время, разработка и внедрение технологии
обеспечения информационной безопасности
требует значительно большего времени,
больших трудозатрат и привлечения квалифицированных
специалистов, потребность в которых после
ее внедрения в эксплуатацию отпадает.
Кроме того, разработка и внедрение такой
технологии должны проводиться в сжатые
сроки, чтобы не отстать от развития самой
автоматизированной системы организации.
Поэтому,
для минимизации расходов на разработку
и внедрение технологии обеспечения информационной
безопасности целесообразно привлекать
сторонних специалистов, имеющих опыт
в проведении подобного рода работ.
Технология
построения КСЗИ
Применение
дополнительных средств защиты информации
затрагивает интересы многих структурных
подразделений организации. Не столько
даже тех, в которых работают конечные
пользователи автоматизированной системы,
сколько подразделений, отвечающих за
разработку, внедрение и сопровождение
прикладных задач, за обслуживание и эксплуатацию
средств вычислительной техники. Поэтому
разрабатываемая технология обеспечения
информационной безопасности должна обеспечивать:
• дифференцированный
подход к защите различных АРМ и подсистем
(уровень защищенности должен определяться
с позиций разумной достаточности с учетом
важности обрабатываемой информации и
решаемых задач);
• унификацию
вариантов применения средств защиты
информации на АРМ с одинаковыми
требованиями к защите;
• реализацию разрешительной
системы доступа к ресурсам АС;
• минимизацию, формализацию
(в идеале автоматизацию), реальную выполнимость
рутинных операций и согласованность
действий различных подразделений по
реализации требований разработанных
положений и инструкций, не создавая больших
неудобств при решении сотрудниками своих
основных задач;
• учет динамики развития
автоматизированной системы, регламентацию
не только стационарного процесса эксплуатации
защищенных подсистем, но и процессов
их модернизации, связанных с многочисленными
изменениями аппаратно-программной конфигурации
АРМ;
• минимизацию
необходимого числа специалистов отдела
защиты информации.
Надо
совершенно четко понимать, что соблюдение
необходимых требований по защите информации,
препятствующих осуществлению несанкционированных
изменений в системе, неизбежно
приводит к усложнению процедуры правомочной
модификации АС. В этом состоит одно из
наиболее остро проявляющихся противоречий
между обеспечением безопасности и развитием
и совершенствованием автоматизированной
системы. Технология обеспечения информационной
безопасности должна предусматривать
особые случаи экстренного внесения изменений
в программно-аппаратные средства защищаемой
АС.(17)
Основные
организационные
и организационно-технические
мероприятия по созданию
и поддержанию функционирования
комплексной системы
защиты
Они
включают:
- разовые (однократно
проводимые и повторяемые только при полном
пересмотре принятых решений) мероприятия;
- мероприятия,
проводимые при осуществлении или возникновении
определенных изменений в самой защищаемой
АС или внешней среде (по необходимости);
- периодически
проводимые (через определенное время)
мероприятия;
- постоянно (непрерывно
или дискретно в случайные моменты времени)
проводимые мероприятия.
Разовые
мероприятия
К
разовым мероприятиям относят:
- общесистемные
мероприятия по созданию научно-технических
и методологических основ (концепции и
других руководящих документов) защиты
АС;
- мероприятия,
осуществляемые при проектировании, строительстве
и оборудовании вычислительных центров
и других объектов АС (исключение возможности
тайного проникновения в помещения, исключение
возможности установки прослушивающей
аппаратуры и т.п.);
- мероприятия,
осуществляемые при проектировании, разработке
и вводе в эксплуатацию технических средств
и программного обеспечения (проверка
и сертификация используемых технических
и программных средств, документирование
и т.п.);
- проведение спецпроверок
всех применяемых в АС средств вычислительной
техники и проведения мероприятий по защите
информации от утечки по каналам побочных
электромагнитных излучений и наводок;
- разработка и
утверждение функциональных обязанностей
должностных лиц службы компьютерной
безопасности;
- внесение необходимых
изменений и дополнений во все организационно-распорядительные
документы (положения о подразделениях,
функциональные обязанности должностных
лиц, инструкции пользователей системы
и т.п.) по вопросам обеспечения безопасности
программно-информационных ресурсов АС
и действиям в случае возникновения кризисных
ситуаций;
- оформление юридических
документов (в форме договоров, приказов
и распоряжений руководства организации)
по вопросам регламентации отношений
с пользователями (клиентами), работающими
в автоматизированной системе, между участниками
информационного обмена и третьей стороной
(арбитражем, третейским судом) о правилах
разрешения споров, связанных с применением
электронной подписи;
- определение
порядка назначения, изменения, утверждения
и предоставления конкретным должностным
лицам необходимых полномочий по доступу
к ресурсам системы;
- мероприятия
по созданию системы защиты АС и созданию
инфраструктуры;
- мероприятия
по разработке правил управления доступом
к ресурсам системы (определение перечня
задач, решаемых структурными подразделениями
организации с использованием АС, а также
используемых при их решении режимов обработки
и доступа к данным; определение перечня
файлов и баз данных, содержащих сведения,
составляющие коммерческую и служебную
тайну, а также требования к уровням их
защищенности от НСД при передаче, хранении
и обработке в АС; выявление наиболее вероятных
угроз для данной АС, выявление уязвимых
мест процесса обработки информации и
каналов доступа к ней; оценку возможного
ущерба, вызванного нарушением безопасности
информации, разработку адекватных требований
по основным направлениям защиты);
- организацию
надежного пропускного режима;
- определение
порядка учета, выдачи, использования
и хранения съемных магнитных носителей
информации, содержащих эталонные и резервные
копии программ и массивов информации,
архивные данные и т.п.;
- организацию
учета, хранения, использования и уничтожения
документов и носителей с закрытой информацией;
- определение
порядка проектирования, разработки, отладки,
модификации, приобретения, специсследования,
приема в эксплуатацию, хранения и контроля
целостности программных продуктов, а
также порядок обновления версий используемых
и установки новых системных и прикладных
программ на рабочих местах защищенной
системы (кто обладает правом разрешения
таких действий, кто осуществляет, кто
контролирует и что при этом они должны
делать);
- создание отделов
(служб) компьютерной безопасности или,
в случае небольших организаций и подразделений,
назначение нештатных ответственных,
осуществляющих единое руководство, организацию
и контроль за соблюдением всеми категориями
должностных лиц требований по обеспечению
безопасности программно-информационных
ресурсов автоматизированной системы
обработки информации;
- определение
перечня необходимых регулярно проводимых
превентивных мер и оперативных действий
персонала по обеспечению непрерывной
работы и восстановлению вычислительного
процесса АС в критических ситуациях,
возникающих как следствие НСД, сбоев
и отказов СВТ, ошибок в программах и действиях
персонала, стихийных бедствий.
Периодически
проводимые мероприятия
К
периодически проводимым мероприятиям
относят:
- распределение
реквизитов разграничения доступа (паролей,
ключей шифрования и т.п.);
- анализ системных
журналов, принятие мер по обнаруженным
нарушениям правил работы;
- мероприятия
по пересмотру правил разграничения доступа
пользователей к информации в организации;
- периодически
с привлечением сторонних специалистов
осуществление анализа состояния и оценки
эффективности мер и применяемых средств
защиты. На основе полученной в результате
такого анализа информации принимать
необходимые меры по совершенствованию
системы защиты;
- мероприятия
по пересмотру состава и построения системы
защиты.
Мероприятия,
проводимые по необходимости
К
мероприятиям, проводимым по необходимости,
относят:
- мероприятия,
осуществляемые при кадровых изменениях
в составе персонала системы;
- мероприятия,
осуществляемые при ремонте и модификациях
оборудования и программного обеспечения
(строгое санкционирование, рассмотрение
и утверждение всех изменений, проверка
их на удовлетворение требованиям защиты,
документальное отражение изменений и
т.п.);
- мероприятия
по подбору и расстановке кадров (проверка
принимаемых на работу, обучение правилам
работы с информацией, ознакомление с
мерами ответственности за нарушение
правил защиты, обучение, создание условий,
при которых персоналу было бы невыгодно
нарушать свои обязанности и т.д.).
Постоянно
проводимые мероприятия
Постоянно
проводимые мероприятия включают:
- мероприятия
по обеспечению достаточного уровня физической
защиты всех компонентов АС (противопожарная
охрана, охрана помещений, пропускной
режим, обеспечение сохранности и физической
целостности СВТ, носителей информации
и т.п.).
- мероприятия
по непрерывной поддержке функционирования
и управлению используемыми средствами
защиты;
- явный и скрытый
контроль за работой персонала системы;
- контроль за реализацией
выбранных мер защиты в процессе проектирования,
разработки, ввода в строй и функционирования
АС;