Защита информации с человеческим лицом
Главная» Как защитить информацию» С чего начать»Концепция обеспечения безопасности информации в автоматизированной системе организации

Концепция обеспечения безопасности информации в автоматизированной системе организации

НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ

Гриф секретности ______
Экз. №___

ПРОЕКТ

 

 

КОНЦЕПЦИЯ
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ
ОРГАНИЗАЦИИ

 

 

СОГЛАСОВАНО

__________________________________

____________________ <И.О. Фамилия>

<Дата>

СОГЛАСОВАНО

___________________________________

____________________ <И.О. Фамилия>

<Дата>

 

 

20__ год

 

 

СОДЕРЖАНИЕ

 

ВВЕДЕНИЕ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1.   Назначение и правовая основа документа

2. ОБЪЕКТЫ ЗАЩИТЫ

2.1.   Назначение, цели создания и эксплуатации АС ОРГАНИЗАЦИИ как объекта информатизации

2.2.   Структура, состав и размещение основных элементов АС ОРГАНИЗАЦИИ, информационные связи с другими объектами

2.3.   Категории информационных ресурсов, подлежащих защите

2.4.   Категории пользователей АС ОРГАНИЗАЦИИ, режимы использования и уровни доступа к информации

2.5.   Уязвимость основных компонентов АС ОРГАНИЗАЦИИ

3. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

3.1.   Интересы затрагиваемых при эксплуатации АС ОРГАНИЗАЦИИ субъектов информационных отношений

3.2.   Цели защиты

3.3.   Основные задачи системы обеспечения безопасности информации АС ОРГАНИЗАЦИИ

3.4.   Основные пути достижения целей защиты (решения задач системы защиты)

4. ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ

4.1.   Угрозы безопасности информации и их источники

4.2.   Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации в АС ОРГАНИЗАЦИИ

4.3.   Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала

4.4.   Утечка информации по техническим каналам

4.5.   Неформальная модель возможных нарушителей

5. ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕХНИЧЕСКОЙ ПОЛИТИКИ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ

5.1.   Техническая политика в области обеспечения безопасности информации

5.2.   Формирование режима безопасности информации

5.3.   Оснащение техническими средствами хранения и обработки информации

6. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ

7. МЕРЫ, МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ТРЕБУЕМОГО УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ

7.1.   Меры обеспечения безопасности

7.1.1.  Законодательные (правовые) меры защиты

7.1.2.  Морально-этические меры защиты

7.1.3.  Организационные (административные) меры защиты

7.2.   Физические средства защиты

7.2.1.  Разграничение доступа на территорию и в помещения

7.3.   Технические (программно-аппаратные) средства защиты

7.3.1.  Средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей

7.3.2.  Средства разграничения доступа зарегистрированных пользователей системы к ресурсам АС

7.3.3.  Средства обеспечения и контроля целостности программных и информационных ресурсов

7.3.4.  Средства оперативного контроля и регистрации событий безопасности

7.3.5.  Криптографические средства защиты информации

7.4.   Защита информации от утечки по техническим каналам

7.5.   Защита речевой информации при проведении закрытых переговоров

7.6.   Управление системой обеспечения безопасности информации

7.7.   Контроль эффективности системы защиты

8. ПЕРВООЧЕРЕДНЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ

ПЕРЕЧЕНЬ НОРМАТИВНЫХ ДОКУМЕНТОВ, РЕГЛАМЕНТИРУЮЩИХ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ

СПИСОК ИСПОЛЬЗОВАННЫХ СОКРАЩЕНИЙ

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

 

ВВЕДЕНИЕ

Беспрецедентные темпы развития и распространения информационных технологий, обострение конкурентной борьбы и криминогенной обстановки требуют создания целостной системы безопасности информации, взаимоувязывающей правовые, оперативные, технологические, организационные, технические и физические меры защиты информации.

Настоящая Концепция определяет систему взглядов на проблему обеспечения безопасности информации в единой информационной телекоммуникационной системе (далее автоматизированной системе - АС) ОРГАНИЗАЦИИ и представляет собой систематизированное изложение целей и задач защиты, а также основных принципов и способов достижения требуемого уровня безопасности информации в АС ОРГАНИЗАЦИИ.

Правовой базой для разработки настоящей Концепции служат требования действующих в Российской Федерации законодательных и нормативных документов, перечень которых приведен в Приложении 1.

Концепция является методологической основой для формирования и проведения в ОРГАНИЗАЦИИ единой политики в области обеспечения безопасности информации (политики безопасности), для принятия управленческих решений и разработки практических мер по ее воплощению.

Список основных использованных в настоящей Концепции сокращений приведен в Приложении 2. Перечень использованных специальных терминов и определений - в Приложении 3.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1.Назначение и правовая основа документа

Настоящая «Концепция обеспечения безопасности информации в автоматизированной системе ОРГАНИЗАЦИИ» (далее – Концепция) определяет систему взглядов на проблему обеспечения безопасности информации в АС ОРГАНИЗАЦИИ, и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в АС ОРГАНИЗАЦИИ.

Законодательной основой настоящей Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы Российской Федерации, законы, указы, постановления, распоряжения и другие нормативные правовые акты действующего законодательства Российской Федерации, документы Федеральной службы по техническому и экспортному контролю (ФСТЭК России) /ранее - Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России)/, Федеральной службы безопасности Российской Федерации (ФСБ России) /ранее - Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ)/, а также нормативно-методические материалы и организационно-распорядительными документы ОРГАНИЗАЦИИ отражающие вопросы обеспечения информационной безопасности в автоматизированных системах.

Концепция учитывает современное состояние и ближайшие перспективы развития АС ОРГАНИЗАЦИИ, цели, задачи и правовые основы ее создания и эксплуатации, режимы функционирования данной системы, а также результаты анализа угроз безопасности для ресурсов АС ОРГАНИЗАЦИИ.

Основные положения и требования Концепции распространяются на все структурные подразделения ОРГАНИЗАЦИИ, в которых осуществляется автоматизированная обработка информации, содержащей сведения, составляющие банковскую, коммерческую, служебную тайну или персональные данные, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования АС ОРГАНИЗАЦИИ. Основные положения Концепции могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействующие с АС ОРГАНИЗАЦИИ в качестве поставщиков и потребителей (пользователей) информации АС ОРГАНИЗАЦИИ.

Концепция является методологической основой для:

  • формирования и проведения единой политики в области обеспечения безопасности информации в АС ОРГАНИЗАЦИИ;
  • принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;
  • координации деятельности структурных подразделений ОРГАНИЗАЦИИ при проведении работ по созданию, развитию и эксплуатации АС ОРГАНИЗАЦИИ с соблюдением требований обеспечения безопасности информации;
  • разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации АС ОРГАНИЗАЦИИ.

Концепция не регламентирует вопросы организации охраны помещений и обеспечения сохранности и физической целостности компонентов АС, защиты от стихийных бедствий, сбоев в системе энергоснабжения, а также меры по обеспечению личной безопасности персонала и клиентов ОРГАНИЗАЦИИ. Однако предполагает построение системы информационной безопасности на тех же концептуальных основах, что и система безопасности ОРГАНИЗАЦИИ в целом (имущественная, физическая и т.д.). Это позволяет не только принципиально, но и практически сопрягать их, оптимизируя затраты на построение такой системы.

Научно-методической основой Концепции является системный подход, предполагающий проведение исследований, разработку системы защиты информации и процессов ее обработки в АС с единых методологических позиций с учетом всех факторов, оказывающих влияние на защиту информации, и с позиции комплексного применения различных мер и средств защиты.

При разработке Концепции учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий.

Основные положения Концепция базируются на качественном осмыслении вопросов безопасности информации и не концентрируют внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации.

2. ОБЪЕКТЫ ЗАЩИТЫ

Основными объектами информационной безопасности в ОРГАНИЗАЦИИ являются:

  • информационные ресурсы с ограниченным доступом, составляющие коммерческую, банковскую тайну, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления;
  • процессы обработки информации в АС - информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический персонал разработчиков и пользователей системы и ее обслуживающий персонал;
  • информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные компоненты АС.

2.1.Назначение, цели создания и эксплуатации АС ОРГАНИЗАЦИИ как объекта информатизации

АС ОРГАНИЗАЦИИ предназначена для автоматизации деятельности должностных лиц (сотрудников) ОРГАНИЗАЦИИ. Создание и применение АС ОРГАНИЗАЦИИ преследует следующие цели:

  • повышение качества управления производственными процессами;
  • повышение качества контроля за движением материальных и финансовых ресурсов ОРГАНИЗАЦИИ;
  • повышение оперативности и достоверности процедур сбора данных о состоянии материальных и финансовых ресурсах ОРГАНИЗАЦИИ;
  • сокращение финансовых и временных затрат на поддержку внутреннего и внешнего документооборота;
  • повышение оперативности и обоснованности прогнозирования коммерческой деятельности ОРГАНИЗАЦИИ;
  • повышение оперативности и обоснованности планирования расходов финансовых ресурсов ОРГАНИЗАЦИИ и т.д.

 следующих основных процессов:

  • интегрированной обработки информации, формирования и ведения специализированных баз данных;
  • взаимодействия с клиентами ОРГАНИЗАЦИИ и другими внешними организациями;
  • информационно-справочного обслуживания структурных подразделений ОРГАНИЗАЦИИ;
  • анализа и прогнозирования деятельности ОРГАНИЗАЦИИ, обоснования принятия управленческих решений.

2.2.Структура, состав и размещение основных элементов АС ОРГАНИЗАЦИИ, информационные связи с другими объектами

АС ОРГАНИЗАЦИИ является распределенной системой, объединяющей автоматизированные системы (подсистемы) центральных и территориальных подразделений ОРГАНИЗАЦИИ в единую корпоративную вычислительную (информационно -телекоммуникационную) сеть.

В АС циркулирует информация разных категорий. Защищаемая информация может быть совместно использована различными пользователями из различных подсетей единой вычислительной сети.

В ряде подсистем АС Организации предусмотрено взаимодействие с внешними (государственными и коммерческими, российскими и зарубежными) организациями по коммутируемым и выделенным каналам с использованием специальных средств передачи информации.

Комплекс технических средств АС Организации включает средства обработки данных (ПЭВМ, сервера БД, почтовые сервера и т.п.), средства обмена данными в ЛВС с возможностью выхода в глобальные сети (кабельная система, мосты, шлюзы, модемы и т.д.), а также средства хранения (в т.ч. архивирования) данных.

К основным особенностям функционирования АС ОРГАНИЗАЦИИ, относятся:

  • большая территориальная распределенность системы;
  • объединение в единую систему большого количества разнообразных технических средств обработки и передачи информации;
  • большое разнообразие решаемых задач и типов обрабатываемых сведений (данных), сложные режимы автоматизированной обработки информации с широким совмещением выполнения информационных запросов различных пользователей;
  • объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности (грифов секретности);
  • непосредственный доступ к вычислительным и информационным ресурсам большого числа различных категорий пользователей (источников и потребителей информации) и обслуживающего персонала;
  • наличие большого числа каналов взаимодействия с “внешним миром” (источниками и потребителями информации);
  • непрерывность функционирования АС ОРГАНИЗАЦИИ;
  • высокая интенсивность информационных потоков в АС ОРГАНИЗАЦИИ;
  • наличие в АС ярко выраженных функциональных подсистем с различными требованиями по уровням защищенности (физически объединенных в единую сеть);
  • разнообразие категорий пользователей и обслуживающего персонала системы.

Общая структурная и функциональная организация АС ОРГАНИЗАЦИИ определяется организационно-штатной структурой органов ОРГАНИЗАЦИИ и задачами, решаемыми его структурными подразделениями с применением средств автоматизации. В самом общем виде, единая телекоммуникационная информационная система ФК представляет собой совокупность локальных вычислительных сетей (ЛВС) отделений ОРГАНИЗАЦИИ, объединенных средствами телекоммуникации. Каждая ЛВС в АС ОРГАНИЗАЦИИ объединяет ряд взаимосвязанных и взаимодействующих автоматизированных подсистем (технологических участков), обеспечивающих решение задач отдельными структурными подразделениями отделений ОРГАНИЗАЦИИ.

Объекты информатизации АС ОРГАНИЗАЦИИ включают:

  • технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование);
  • информационные ресурсы, содержащие сведения ограниченного доступа и представленные в виде документов или записей в носителях на магнитной, оптической и другой основе, информационных физических полях, массивах и базах данных;
  • программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение);
  • автоматизированные системы связи и передачи данных (средства телекоммуникации);
  • каналы связи по которым передается информация (в том числе ограниченного распространения);
  • служебные помещения, в которых циркулирует информация ограниченного распространения;
  • технические средства (звукозаписи, звукоусиления, звуковоспроизведения, изготовления, тиражирования документов, переговорные и телевизионные устройства и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), используемые для обработки информации;
  • технические средства и системы, не обрабатывающие информацию (вспомогательные технические средства и системы - ВТСС), размещенные в помещениях, где обрабатывается (циркулирует) информация, содержащая сведения ограниченного распространения.

 

Обеспечение функционирования и эксплуатация АС ОРГАНИЗАЦИИ осуществляется Главным управлением (департаментом) ОРГАНИЗАЦИИ, территориальными управлениями (департаментами) ОРГАНИЗАЦИИ и отделениями ОРГАНИЗАЦИИ на основании требований организационно-распорядительных документов руководства ОРГАНИЗАЦИИ.

2.3.Категории информационных ресурсов, подлежащих защите

В подсистемах АС ОРГАНИЗАЦИИ циркулирует информация различных уровней конфиденциальности (секретности) содержащая сведения ограниченного распространения (служебная коммерческая, банковская информация, персональные данные) и открытые сведения.

В документообороте АС ОРГАНИЗАЦИИ присутствуют:

  • платежные поручения и другие расчетно-денежные документы;
  • отчеты (финансовые, аналитические и др.);
  • сведения о лицевых счетах;
  • обобщенная информация и другие конфиденциальные (ограниченного распространения) документы.
  • и т.д.

 

Защите подлежит вся информация, циркулирующая в АС ОРГАНИЗАЦИИ и содержащая:

  • сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации (ОРГАНИЗАЦИЕЙ) в соответствии с предоставленными Федеральным законом «Об информации, информатизации и защите информации» правами;
  • сведения, составляющие банковскую тайну, доступ к которым ограничен в соответствии с Федеральным законом «О банках и банковской деятельности»;
  • сведения о частной жизни граждан (персональные данные), доступ к которым ограничен в соответствии с Федеральным законом «Об информации информатизации и защите информации».

2.4.Категории пользователей АС ОРГАНИЗАЦИИ, режимы использования и уровни доступа к информации

В ОРГАНИЗАЦИИ имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным, программным и другим ресурсам АС ОРГАНИЗАЦИИ:

  • пользователи баз данных (конечные пользователи, сотрудники подразделений ОРГАНИЗАЦИИ);
  • ответственные за ведение баз данных (ввод, корректировка, удаление данных в БД);
  • администраторы серверов (файловых серверов, серверов приложений, серверов баз данных) и ЛВС;
  • системные программисты (ответственные за сопровождение общего программного обеспечения) на серверах и рабочих станциях пользователей;
  • разработчики прикладного программного обеспечения;
  • специалисты по обслуживанию технических средств вычислительной техники;
  • администраторы информационной безопасности (специальных средств защиты) и др.

2.5. Уязвимость основных компонентов АС организации

Наиболее доступными и уязвимыми компонентами АС ОРГАНИЗАЦИИ являются сетевые рабочие станции (АРМ сотрудников подразделений ОРГАНИЗАЦИИ). Именно с них могут быть предприняты наиболее многочисленные попытки несанкционированного доступа к информации (НСД) в сети и попытки совершения несанкционированных действий (непреднамеренных и умышленных). С рабочих станций осуществляется управление процессами обработки информации (в том числе на серверах), запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На мониторы и печатающие устройства рабочих станций выводится информация при работе пользователей (операторов), выполняющих различные функции и имеющих разные полномочия по доступу к данным и другим ресурсам системы. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем.

В особой защите нуждаются такие привлекательные для злоумышленников элементы сетей как выделенные файловые серверы, серверы баз данных и серверы приложений. Здесь злоумышленники, прежде всего, могут искать возможности получения доступа к защищаемой информации и оказания влияния на работу различных подсистем серверов, используя недостатки протоколов обмена и средств разграничения удаленного доступа к ресурсам серверов. При этом могут предприниматься попытки как удаленного (со станций сети) так и непосредственного (с консоли сервера) воздействия на работу серверов и их средств защиты.

Мосты, шлюзы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными.

3. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

3.1.Интересы затрагиваемых при эксплуатации АС ОРГАНИЗАЦИИ субъектов информационных отношений

Субъектами правоотношений при использовании АС ОРГАНИЗАЦИИ и обеспечении безопасности информации являются:

  • ОРГАНИЗАЦИЯ как собственник информационных ресурсов;
  • подразделения управлений и отделений ОРГАНИЗАЦИИ, обеспечивающие эксплуатацию системы автоматизированной обработки информации;
  • должностные лица и сотрудники структурных подразделений ОРГАНИЗАЦИИ, как пользователи и поставщики информации в АС ОРГАНИЗАЦИИ в соответствии с возложенными на них функциями;
  • юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в АС ОРГАНИЗАЦИИ;
  • другие юридические и физические лица, задействованные в процессе создания и функционирования АС ОРГАНИЗАЦИИ (разработчики компонент АС, обслуживающий персонал, организации, привлекаемые для оказания услуг в области безопасности информационных технологий и др.).

Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

  • конфиденциальности (сохранения в тайне) определенной части информации;
  • достоверности (полноты, точности, адекватности, целостности) информации;
  • защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);
  • своевременного доступа (за приемлемое для них время) к необходимой им информации;
  • разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;
  • возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;
  • защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.).

3.2.Цели защиты

Основной целью, на достижение которой направлены все положения настоящей Концепции, является защита субъектов информационных отношений (интересы которых затрагиваются при создании и функционировании АС ОРГАНИЗАЦИИ) от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования АС ОРГАНИЗАЦИИ или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки:

  • доступности обрабатываемой информации для зарегистрированных пользователей (устойчивого функционирования АС ОРГАНИЗАЦИИ, при котором пользователи имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время);
  • сохранения в тайне (обеспечения конфиденциальности) определенной части информации, хранимой, обрабатываемой СВТ и передаваемой по каналам связи;
  • целостности и аутентичности (подтверждение авторства) информации, хранимой и обрабатываемой в АС ОРГАНИЗАЦИИ и передаваемой по каналам связи.

3.3.Основные задачи системы обеспечения безопасности информации АС организации

Для достижения основной цели защиты и обеспечения указанных свойств информации и системы ее обработки система безопасности АС ОРГАНИЗАЦИИ должна обеспечивать эффективное решение следующих задач:

  • защиту от вмешательства в процесс функционирования АС ОРГАНИЗАЦИИ посторонних лиц (возможность использования автоматизированной системы и доступ к ее ресурсам должны иметь только зарегистрированные установленным порядком пользователи - сотрудники структурных подразделений ОРГАНИЗАЦИИ);
  • разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС ОРГАНИЗАЦИИ (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям АС ОРГАНИЗАЦИИ для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа:
  • к информации, циркулирующей в АС ОРГАНИЗАЦИИ;
  • средствам вычислительной техники АС ОРГАНИЗАЦИИ;
  • аппаратным, программным и криптографическим средствам защиты, используемым в АС ОРГАНИЗАЦИИ;
    • регистрацию действий пользователей при использовании защищаемых ресурсов АС ОРГАНИЗАЦИИ в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений безопасности;
    • контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;
    • защиту от несанкционированной модификации и контроль целостности используемых в АС ОРГАНИЗАЦИИ программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
  • защиту информации ограниченного распространения от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
    • защиту информации ограниченного распространения, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;
  • обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
  • обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;
    • своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
    • создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации.

3.4.Основные пути достижения целей защиты (решения задач системы защиты)

Поставленные основные цели защиты и решение перечисленных выше задач достигаются:

  • строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, автоматизированных рабочих мест - АРМ);
  • регламентацией процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений ОРГАНИЗАЦИИ, использующих АС ОРГАНИЗАЦИИ, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС ОРГАНИЗАЦИИ, на основе утвержденных руководителем ОРГАНИЗАЦИИ организационно-распорядительных документов по вопросам обеспечения безопасности информации;
  • полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов ОРГАНИЗАЦИИ по вопросам обеспечения безопасности информации;
  • назначением и подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации и процессов ее обработки;
  • наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам АС ОРГАНИЗАЦИИ;
  • четким знанием и строгим соблюдением всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства АС ОРГАНИЗАЦИИ, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
  • персональной ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС ОРГАНИЗАЦИИ;
  • реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;
  • принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов АС ОРГАНИЗАЦИИ;
  • применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
  • разграничением потоков информации, предусматривающим предупреждение попадания информации более высокого уровня конфиденциальности на носители и в файлы с более низким уровнем конфиденциальности, а также запрещением передачи информации ограниченного распространения по незащищенным каналам связи;
  • эффективным контролем за соблюдением сотрудниками подразделений ОРГАНИЗАЦИИ - пользователями АС ОРГАНИЗАЦИИ требований по обеспечению безопасности информации;
  • юридической защитой интересов ОРГАНИЗАЦИИ при взаимодействии его подразделений с внешними организациями (связанном с обменом информацией) от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц;
  • проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в АС ОРГАНИЗАЦИИ.

 

4. ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ

4.1.Угрозы безопасности информации и их источники

Наиболее опасными (значимыми) угрозами безопасности информации АС ОРГАНИЗАЦИИ (способами нанесения ущерба субъектам информационных отношений) являются:

  • нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую или коммерческую тайну, а также персональных данных;
  • нарушение работоспособности (дезорганизация работы) АС ОРГАНИЗАЦИИ, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
  • нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов АС ОРГАНИЗАЦИИ, а также фальсификация (подделка) документов.

Основными источниками угроз безопасности информации АС ОРГАНИЗАЦИИ являются:

  • непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия сотрудников (в том числе администраторов средств защиты) структурных подразделений ОРГАНИЗАЦИИ при эксплуатации АС ОРГАНИЗАЦИИ, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций (АРМ), подсистем или АС ОРГАНИЗАЦИИ в целом;
  • преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников подразделений ОРГАНИЗАЦИИ, допущенных к работе с АС ОРГАНИЗАЦИИ, а также сотрудников подразделений ОРГАНИЗАЦИИ, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения безопасности информации;
  • воздействия из других логических и физических сегментов АС ОРГАНИЗАЦИИ со стороны сотрудников других подразделений ОРГАНИЗАЦИИ, в том числе программистов - разработчиков прикладных задач, а также удаленное несанкционированное вмешательство посторонних лиц из телекоммуникационной сети ОРГАНИЗАЦИИ и внешних сетей общего назначения (прежде всего Internet) через легальные и несанкционированные каналы подключения сети ОРГАНИЗАЦИИ к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам АС ОРГАНИЗАЦИИ;
  • деятельность международных и отечественных преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонент;
  • деятельность иностранных разведывательных и специальных служб, направленная против интересов ОРГАНИЗАЦИИ;
  • ошибки, допущенные при проектировании АС ОРГАНИЗАЦИИ и ее системы защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты) АС ОРГАНИЗАЦИИ;
  • аварии, стихийные бедствия и т.п.

4.2.Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации в АС организации

Пользователи, операторы, системные администраторы и сотрудники ОРГАНИЗАЦИИ, обслуживающие систему, являются внутренними источниками случайных воздействий, т.к. имеют непосредственный доступ к процессам обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и процедур.

Основные пути реализации непреднамеренных искусственных (субъективных) угроз АС ОРГАНИЗАЦИИ (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в Таблице 4.1.

Таблица 4.1.

Основные пути реализации непреднамеренных искусственных (субъективных) угроз АС ОРГАНИЗАЦИИ

Меры по нейтрализации угроз и снижению возможного наносимого ущерба

Действия сотрудников ОРГАНИЗАЦИИ, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств; отключению оборудования или изменение режимов работы устройств и программ; разрушению информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение программ или файлов с важной информацией, в том числе системных, повреждение каналов связи, неумышленная порча носителей информации и т.п.)

1.   Организационные меры (регламентация действий, введение запретов).

2.   Применение физических средств, препятствующих неумышленному совершению нарушения.

3.   Применение технических (аппаратно-программных) средств разграничения доступа к ресурсам.

4.   Резервирование критичных ресурсов.

Несанкционированный запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.)

1.   Организационные меры (удаление всех потенциально опасных программ с дисков ПЭВМ АРМ).

2.   Применение технических (аппаратно-программных) средств разграничения доступа к технологическим и инструментальным программам на дисках ПЭВМ АРМ.

Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения сотрудниками своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п.)

1.   Организационные меры (введение запретов).

2.   Применение технических (аппаратно-программных) средств, препятствующих несанкционированному внедрению и использованию неучтенных программ.

Непреднамеренное заражение компьютера вирусами

1.   Организационные меры (регламентация действий, введение запретов).

2.   Технологические меры (применение специальных программ обнаружения и уничтожения вирусов).

3.   Применение аппаратно-программных средств, препятствующих заражению компьютеров компьютерными вирусами.

Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования или ЭЦП, идентификационных карточек, пропусков и т.п.)

1.   Организационные меры (регламентация действий, введение запретов, усиление ответственности).

2.   Применение физических средств обеспечения сохранности указанных реквизитов.

Игнорирование организационных ограничений (установленных правил) при работе в системе

1.   Организационные меры (усиление ответственности и контроля).

2.   Использование дополнительных физических и технических средств защиты.

Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом подразделения безопасности

Организационные меры (обучение персонала, усиление ответственности и контроля).

Ввод ошибочных данных

1.   Организационные меры (усиление ответственности и контроля).

2.   Технологические меры контроля за ошибками операторов ввода данных.

4.3.Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала

Основные возможные пути умышленной дезорганизации работы, вывода АС ОРГАНИЗАЦИИ из строя, проникновения в систему и несанкционированного доступа к информации (с корыстными целями, по принуждению, из желания отомстить и т.п.) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в Таблице 4.2.

Таблица 4.2

Основные возможные пути умышленной дезорганизации работы, вывода АС ОРГАНИЗАЦИИ из строя, проникновения в систему и НСД к информации (с корыстными целями, по принуждению, из желания отомстить и т.п.)

 

Меры по нейтрализации угроз и снижению возможного наносимого ущерба

Физическое разрушение или вывод из строя всех или отдельных наиболее важных компонентов автоматизированной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.), отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, линий связи и т.п.)

1.   Организационные меры (регламентация действий, введение запретов).

2.   Применение физических средств, препятствующих неумышленному совершению нарушения.

3.   Резервирование критичных ресурсов.

4.   Обеспечение личной безопасности сотрудников.

Внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность), вербовка (путем подкупа, шантажа, угроз и т.п.) пользователей, имеющих определенные полномочия по доступу к защищаемым ресурсам

Организационные меры (подбор, расстановка и работа с кадрами, усиление контроля и ответственности). Автоматическая регистрация действий персонала.

Хищение носителей информации (распечаток, магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ), хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.)

Организационные меры (организация хранения и использования носителей с защищаемой информацией).

Несанкционированное копирование носителей информации, чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств

1.   Организационные меры (организация хранения и использования носителей с защищаемой информацией).

2.   Применение технических средств разграничения доступа к защищаемым ресурсам и автоматической регистрации получения твердых копий документов.

Незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы программными закладками и т.д.) с последующей маскировкой под зарегистрированного пользователя ("маскарад")

1.   Организационные меры (регламентация действий, введение запретов, работа с кадрами).

2.   Применение технических средств, препятствующих внедрению программ перехвата паролей, ключей и других реквизитов.

Несанкционированное использование АРМ пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.

1.   Организационные меры (строгая регламентация доступа в помещения и допуска к работам на данных АРМ).

2.   Применение физических и технических средств разграничения доступа.

Несанкционированная модификация программного обеспечения – внедрение программных "закладок" и "вирусов" ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи защищаемой информации или дезорганизации функционирования системы

1.   Организационные меры (строгая регламентация допуска к работам).

  1. Применение физических и технических средств разграничения доступа и препятствующих несанкционированной модификации аппаратно-программной конфигурации АРМ.
  2. Применение средств контроля целостности программ.

Перехват данных, передаваемых по каналам связи, и их анализ с целью получения конфиденциальной информации и выяснения протоколов обмена, правил вхождения в связь и авторизации пользователей и последующих попыток их имитации для проникновения в систему

1.   Физическая защита каналов связи.

2.   Применение средств криптографической защиты передаваемой информации.

Вмешательство в процесс функционирования АС сетей общего пользования с целью несанкционированной модификации данных, доступа к конфиденциальной информации, дезорганизации работы подсистем и т.п.

1.   Организационные меры (регламентация подключения и работы в сетях общего пользования).

2.   Применение специальных технических средств защиты (межсетевых экранов, средств контроля защищенности и обнаружения атак на ресурсы системы и т.п.).

4.4. Утечка информации по техническим каналам

При проведении мероприятий и эксплуатации технических средств возможны следующие каналы утечки или нарушения целостности информации, нарушения работоспособности технических средств:

  • побочные электромагнитные излучения информативного сигнала от технических средств АС ОРГАНИЗАЦИИ и линий передачи информации;
  • наводки информативного сигнала, обрабатываемого АС ОРГАНИЗАЦИИ, на провода и линии, выходящие за пределы контролируемой зоны ОРГАНИЗАЦИИ, в т.ч. на цепи заземления и электропитания;
  • изменения тока потребления, обусловленные обрабатываемыми АС ОРГАНИЗАЦИИ информативными сигналами;
  • радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав АС ОРГАНИЗАЦИИ, или при наличии паразитной генерации в узлах (элементах) АС ОРГАНИЗАЦИИ;
  • электрические сигналы или радиоизлучения, обусловленные воздействием на АС ОРГАНИЗАЦИИ высокочастотных сигналов, создаваемых с помощью разведывательной аппаратуры, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств (радиовещательные, радиолокационные станции, средства радиосвязи и т.п.), и модуляцией их информативным сигналом (облучение, «навязывание»);
  • радиоизлучения или электрические сигналы от внедренных в АС ОРГАНИЗАЦИИ и выделенные помещения специальных электронных устройств перехвата информации («закладок»), модулированные информативным сигналом;
  • радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;
  • акустическое излучение информативного речевого сигнала или сигнала, обусловленного функционированием технических средств обработки информации (телеграф, телетайп, принтер, пишущая машинка и т.п.);
  • электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям передачи информации;
  • вибрационные сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации выделенных помещений;
  • просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
  • воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств защиты информации, адресности и своевременности информационного обмена, в том числе электромагнитное, через специально внедренные электронные и программные средства («закладки»).

Перехват информации ограниченного распространения или воздействие на нее с использованием технических средств может вестись непосредственно из зданий, расположенных в непосредственной близости от объектов информатизации, мест временного пребывания заинтересованных в перехвате информации или воздействии на нее лиц при посещении ими подразделений ОРГАНИЗАЦИИ, а также с помощью скрытно устанавливаемой в районах важнейших объектов и на их территориях автономной автоматической аппаратуры.

В качестве аппаратуры разведок или воздействия на информацию и технические средства могут использоваться:

  • космические средства разведки для перехвата радиоизлучений от средств радиосвязи, радиорелейных станций, и приема сигнала от автономных автоматических средств разведки и электронных устройств перехвата информации («закладок»);
  • стационарные средства, размещаемые в зданиях;
  • портативные возимые и носимые средства, размещаемые в зданиях, в транспортных средствах, а также носимые лицами, ведущими разведку;
  • автономные автоматические средства, скрытно устанавливаемые на объектах защиты или поблизости от них.

Стационарные средства обладают наибольшими энергетическими, техническими и функциональными возможностями. В то же время они, как правило, удалены от объектов защиты и не имеют возможности подключения к линиям, коммуникациям и сооружениям. Портативные средства могут использоваться непосредственно на объектах защиты или поблизости от них и могут подключаться к линиям и коммуникациям, выходящим за пределы контролируемой территории.

Кроме перехвата информации техническими средствами разведки возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны. Такого рода утечка информации возможна вследствие:

  • непреднамеренного прослушивания без использования технических средств разговоров, ведущихся в выделенном помещении, из-за недостаточной звукоизоляции его ограждающих конструкций, систем вентиляции и кондиционирования воздуха;
  • случайного прослушивания телефонных переговоров при проведении профилактических работ на АТС, кроссах, кабельных коммуникациях с помощью контрольной аппаратуры;
  • просмотра информации с экранов дисплеев и других средств ее отображения.

4.5.Неформальная модель возможных нарушителей

НАРУШИТЕЛЬ - это лицо, которое предприняло попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

Система защиты АС ОРГАНИЗАЦИИ должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др.):

1) "Неопытный (невнимательный) пользователь" – сотрудник ОРГАНИЗАЦИИ (или подразделения другого ведомства, зарегистрированный как пользователь системы), который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам АС с превышением своих полномочий, ввода некорректных данных и т.п. действия по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только штатные (доступные ему) аппаратные и программные средства.

2) "Любитель" - сотрудник ОРГАНИЗАЦИИ (или подразделения другого ведомства, зарегистрированный как пользователь системы), пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса». Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей и т.п. других пользователей), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции) программы (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств). Помимо этого он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты), самостоятельно разработанные программы или стандартные дополнительные технические средства.

3) "Мошенник" – сотрудник ОРГАНИЗАЦИИ (или подразделения другого ведомства, зарегистрированный как пользователь системы), который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему) аппаратные и программные средства от своего имени или от имени другого сотрудника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п.).

4) "Внешний нарушитель (злоумышленник)" - постороннее лицо или сотрудник ОРГАНИЗАЦИИ (или подразделения другого ведомства, зарегистрированный как пользователь системы), действующий целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор радиоэлектронных способов нарушения безопасности информации, методов и средств взлома систем защиты, характерных для сетей общего пользования (в особенности сетей на основе IP-протокола), включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети АС ОРГАНИЗАЦИИ.

5) "Внутренний злоумышленник" - сотрудник подразделения ОРГАНИЗАЦИИ, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести за нанесенную обиду, возможно в сговоре с лицами, не являющимися сотрудниками ОРГАНИЗАЦИИ. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий как изнутри, так и извне - из сетей общего пользования.

Внутренним нарушителем может быть лицо из следующих категорий персонала ОРГАНИЗАЦИИ:

  • зарегистрированные конечные пользователи АС ОРГАНИЗАЦИИ (сотрудники подразделений ОРГАНИЗАЦИИ);
  • сотрудники подразделений ОРГАНИЗАЦИИ не допущенные к работе с АС ОРГАНИЗАЦИИ;
  • персонал, обслуживающий технические средства АС ОРГАНИЗАЦИИ (инженеры, техники);
  • сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты);
  • технический персонал, обслуживающий здания (уборщицы, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты АС ОРГАНИЗАЦИИ);
  • сотрудники службы безопасности АС ОРГАНИЗАЦИИ;
  • руководители различных уровней.

Категории лиц, которые могут быть внешними нарушителями:

  • уволенные сотрудники ОРГАНИЗАЦИИ;
  • представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);
  • посетители (приглашенные представители организаций, граждане) представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.;
  • члены преступных организаций, сотрудники спецслужб или лица, действующие по их заданию;
  • лица, случайно или умышленно проникшие в сети АС ОРГАНИЗАЦИИ из внешних (по отношению к ОРГАНИЗАЦИИ) сетей телекоммуникации (хакеры).

Пользователи и обслуживающий персонал из числа сотрудников ОРГАНИЗАЦИИ имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации и защитных мер. Действия этой группы лиц напрямую связано с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами или спецслужбами.

Уволенные сотрудники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа. Полученные в ОРГАНИЗАЦИИ знания и опыт выделяют их среди других источников внешних угроз.

Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность сотрудников ОРГАНИЗАЦИИ всеми доступными им силами и средствами.

Профессиональные хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в АС. Наибольшую угрозу представляют при взаимодействии с работающими и уволенными сотрудниками ОРГАНИЗАЦИИ и криминальными структурами.

Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Криминальные структуры и спецслужбы могут использовать эти организации для временного устройства на работу своих членов с целью доступа к защищаемой информации в АС ОРГАНИЗАЦИИ.

Принимаются следующие ограничения и предположения о характере действий возможных нарушителей:

  • работа по подбору кадров и специальные мероприятия исключают возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий двух и более нарушителей - сотрудников ОРГАНИЗАЦИИ по преодолению системы защиты;
  • нарушитель скрывает свои несанкционированные действия от других сотрудников ОРГАНИЗАЦИИ;
  • несанкционированные действия могут быть следствием ошибок пользователей, администраторов безопасности, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки, хранения и передачи информации;
  • в своей противоправной деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информационные системы, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей.

5. ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕХНИЧЕСКОЙ ПОЛИТИКИ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ

5.1.Техническая политика в области обеспечения безопасности информации

Реализация технической политики в области обеспечения безопасности информации должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение), а отдельные разрабатываемые элементы информационной системы должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных) средств и организационных мероприятий.

Основными направлениями реализации технической политики обеспечения безопасности информации АС ОРГАНИЗАЦИИ являются:

  • обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения или подделки за счет несанкционированного доступа и специальных воздействий (от НСД);
  • обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и при передаче по каналам связи.

Система обеспечения безопасности информации АС ОРГАНИЗАЦИИ должна предусматривать комплекс организационных, программных и технических средств и мер по защите информации в процессе ее обработки и хранения, при передаче информации по каналам связи, при ведении конфиденциальных переговоров, раскрывающих сведения с ограниченным доступом, при использовании импортных технических и программных средств.

В рамках указанных направлений технической политики обеспечения безопасности информации осуществляются:

  • реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации конфиденциального характера;
  • реализация системы инженерно-технических и организационных мер охраны, предусматривающей многорубежность и равнопрочность построения охраны (территории, здания, помещения) с комплексным применением современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;
  • ограничение доступа исполнителей и посторонних лиц в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация конфиденциального характера, непосредственно к самим средствам информатизации и коммуникациям;
  • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защита информации в подсистемах различного уровня и назначения, входящих в АС ОРГАНИЗАЦИИ;
  • учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
  • предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок.
  • криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
  • надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее хищение, подмену и уничтожение;
  • необходимое резервирование технических средств и дублирование массивов и носителей информации;
  • снижение уровня и информативности ПЭМИН, создаваемых различными элементами автоматизированных подсистем;
  • обеспечение акустической защиты помещений, в которых обсуждается информация конфиденциального характера;
  • электрическая развязка цепей питания, заземления и других цепей объектов информатизации, выходящих за пределы контролируемой зоны;
  • активное зашумление в различных диапазонах;
  • противодействие оптическим и лазерным средствам наблюдения.

5.2.Формирование режима безопасности информации

С учетом выявленных угроз безопасности информации АС ОРГАНИЗАЦИИ режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в автоматизированной системе информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Комплекс мер по формированию режима безопасности информации включает:

  • установление в ОРГАНИЗАЦИИ организационно-правового режима безопасности информации (нормативные документы, работа с персоналом, делопроизводство);
  • выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам (аттестация объектов информатизации);
  • организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа) к информационным ресурсам АС ОРГАНИЗАЦИИ;
  • комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного распространения после случайных или преднамеренных воздействий;
  • комплекс оперативных мероприятий подразделений безопасности по предотвращению (выявлению) проникновения в ОРГАНИЗАЦИИ информаторов, связанных с преступными группировками.

Организационно-правовой режим предусматривает создание и поддержание правовой базы безопасности информации и разработку (введение в действие) следующих организационно-распорядительных документов:

  • Положение о сохранности информации ограниченного распространения. Указанное Положение регламентирует организацию, порядок работы со сведениями ограниченного распространения, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, государственным (коммерческим) учреждениям и организациям;
  • Перечень сведений, составляющих служебную и коммерческую тайну. Перечень определяет сведения, отнесенные к категориям конфиденциальных («ДСП», коммерческая тайна, банковская тайна, персональные данные), уровень и сроки обеспечения ограничений по доступу к защищаемой информации;
  • Приказы и распоряжения по установлению режима безопасности информации:
    • о создании комиссии по формированию Перечня сведений;
    • о назначении постоянно действующей комиссии по категорированию и аттестации объектов информатизации;
    • о вводе в эксплуатацию объектов информатизации;
    • о назначении выделенных помещений;
    • о допуске сотрудников к работе с информацией ограниченного распространения;
    • о назначении лиц ответственных за обеспечение сохранности информации ограниченного распространения в АС ОРГАНИЗАЦИИ и др.;
  • Инструкции и функциональные обязанности сотрудникам:
    • по организации охранно-пропускного режима;
    • по организации делопроизводства;
    • по организации работы с информацией на магнитных носителях;
    • о защите информации ограниченного распространения в АС ОРГАНИЗАЦИИ;
    • по организации модификаций аппаратно-программных конфигураций ЭВМ;
  • другие нормативные документы.

Организационно-технические мероприятия по защите информации ограниченного распространения от утечки по техническим каналам предусматривают:

  • комплекс мер и соответствующих технических средств, ослабляющих утечку речевой и сигнальной информации - пассивная защита (защита);
  • комплекс мер и соответствующих технических средств, создающих помехи при съеме информации - активная защита (противодействие);
  • комплекс мер и соответствующих технических средств, позволяющих выявлять каналы утечки информации - поиск (обнаружение).

Физическая охрана объектов информатизации (компонентов компьютерных систем) включает:

  • организацию системы охранно-пропускного режима и системы контроля допуска на объект;
  • введение дополнительных ограничений по доступу в помещения, предназначенные для хранения закрытой информации (кодовые и электронные замки, карточки допуска и т.д.);
  • визуальный и технический контроль контролируемой зоны объекта защиты;
  • применение систем охранной и пожарной сигнализации и т.д.

Выполнение режимных требований при работе с информацией ограниченного распространения предполагает:

  • разграничение допуска к информационным ресурсам ограниченного распространения;
  • разграничение допуска к программно-аппаратным ресурсам АС ОРГАНИЗАЦИИ;
  • ведение учета ознакомления сотрудников с информацией ограниченного распространения;
  • включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранности сведений ограниченного распространения;
  • организация уничтожения информационных отходов (бумажных, магнитных и т.д.);
  • оборудование служебных помещений сейфами, шкафами для хранения бумажных и магнитных носителей информации и т.д.

Мероприятия технического контроля предусматривают:

  • контроль за проведением технического обслуживания, ремонта носителей информации и средств ЭВТ;
  • проверки поступающего оборудования, предназначенного для обработки закрытой информации, на наличие специально внедренных закладных устройств;
  • инструментальный контроль технических средств на наличие побочных электромагнитные излучения и наводок;
  • оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи;
  • защита выделенных помещений при проведении закрытых (секретных) работ (переговоров), создание акустических, виброакустических и электромагнитных помех для затруднения съема информации;
  • постоянное обновление технических и программных средств защиты от несанкционированного доступа к информации в соответствие с меняющейся оперативной обстановкой.

5.3.Оснащение техническими средствами хранения и обработки информации

Организация хранения конфиденциальных документов и машинных носителей информации, а также оборудование режимных помещений осуществляется в соответствии с установленными в ОРГАНИЗАЦИИ требованиями.

В случае оснащения помещений средствами охранной сигнализации, а также автоматизированной системой приема и регистрации сигналов от этих средств, прием-сдача таких помещений под охрану осуществляется на основании специально разрабатываемой инструкции, утверждаемой Руководителем ОРГАНИЗАЦИИ после согласования с подразделением безопасности.

В режимно-секретном органе (РСО) на случай пожара, аварии или стихийного бедствия разрабатывается инструкция, утверждаемая Руководителем ОРГАНИЗАЦИИ, в которой предусматривается порядок вызова должностных лиц, вскрытия режимных помещений, очередность и порядок спасения секретных документов и изделий и дальнейшего их хранения. Инструкция должна находиться в подразделении охраны, независимо от его ведомственной принадлежности.

Режимно-секретный орган должен быть обеспечен средствами уничтожения документов.

В случае применения для обработки конфиденциальной информации средств вычислительной техники, создается система защиты секретной информации (СЗСИ), которая направлена на обеспечение сохранности информации во время разработки, монтажа, эксплуатации, ремонта и списания СВТ путем предотвращения случаев несанкционированного доступа к информации, ее утечки за счет побочных электромагнитных излучений и наводок и разрушения.

Применяемая СЗСИ должна проходить обязательную сертификацию (аттестацию) на соответствие требованиям безопасности информации.

Обработка конфиденциальной информации на СВТ разрешается только после завершения работ по созданию СЗСИ, проверки ее функционирования и аттестации.

Защита информации от утечки по техническим каналам осуществляется в соответствии со «Специальными требованиями и рекомендациями по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (решение Гостехкомиссии России от 23 мая 1997 года № 55).

Работы по обеспечению безопасности информации, обрабатываемой с помощью АС ОРГАНИЗАЦИИ, можно условно разделить на следующие группы:

  • обеспечение физической безопасности компонентов АС ОРГАНИЗАЦИИ (специально внедренные закладные устройства, побочные электромагнитные излучения и наводки, повреждения, сбои питания, кражи и т.п.);
  • обеспечение логической безопасности АС ОРГАНИЗАЦИИ (защита от несанкционированного доступа, от ошибок в действиях пользователей и программ и т.д.);
  • обеспечение социальной безопасности АС ОРГАНИЗАЦИИ (разработка организационных документов, соответствующих законодательным нормам, регулирующих применение компьютерных технологий, порядок расследования и наказания за компьютерные преступления, контроль и предотвращение неправильного использования информации в случае, когда она хранится или обрабатывается с помощью компьютерных систем).

6. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ

Построение системы обеспечения безопасности информации АС ОРГАНИЗАЦИИ и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

  • законность;
  • системность;
  • комплексность;
  • непрерывность;
  • своевременность;
  • преемственность и непрерывность совершенствования;
  • разумная достаточность;
  • персональная ответственность;
  • минимизация полномочий;
  • взаимодействие и сотрудничество;
  • гибкость системы защиты;
  • открытость алгоритмов и механизмов защиты;
  • простота применения средств защиты;
  • научная обоснованность и техническая реализуемость;
  • специализация и профессионализм;
  • обязательность контроля.

Законность

Предполагает осуществление защитных мероприятий и разработку системы безопасности информации АС ОРГАНИЗАЦИИ в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры безопасности информации не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных систем.

Пользователи и обслуживающий персонал АС ОРГАНИЗАЦИИ должны иметь представление об ответственности за правонарушения в области систем автоматизированной обработки информации (статьи 272, 273, 274 Уголовного Кодекса РФ и т.п.).

Системность

Системный подход к построению системы защиты информации в АС ОРГАНИЗАЦИИ предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации АС ОРГАНИЗАЦИИ.

При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Комплексность

Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укрепленных рубежей призваны быть средства защиты, реализованные на уровне операционных систем (ОС) СВТ в силу того, что ОС - это та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.

Непрерывность защиты

Защита информации – не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС ОРГАНИЗАЦИИ, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

Своевременность

Предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите АС и реализацию мер обеспечения безопасности информации на ранних стадиях разработки АС в целом и ее системы защиты информации, в частности.

Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

Преемственность и совершенствование

Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования АС и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

 Разумная достаточность

(экономическая целесообразность, сопоставимость возможного ущерба и затрат)

Предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы АС, в которой эта информация циркулирует. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала.

Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

Персональная ответственность

Предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

Принцип минимизации полномочий

Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.

Взаимодействие и сотрудничество

Предполагает создание благоприятной атмосферы в коллективах подразделений ОРГАНИЗАЦИИ. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений технической защиты информации.

Гибкость системы защиты

Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости системы защиты избавляет владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

Открытость алгоритмов и механизмов защиты

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это однако не означает, что информация о конкретной системе защиты должна быть общедоступна.

Простота применения средств защиты

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).

Научная обоснованность и техническая реализуемость

Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации.

Специализация и профессионализм

Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами ОРГАНИЗАЦИИ (специалистами подразделений технической защиты информации).

Обязательность контроля

Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.

Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

7. МЕРЫ, МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ТРЕБУЕМОГО УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ

7.1.Меры обеспечения безопасности

Все меры обеспечения безопасности компьютерных систем подразделяются на:

  • правовые (законодательные);
  • морально-этические;
  • организационные (административные);
  • физические;
  • технические (аппаратурные и программные).

7.1.1.Законодательные (правовые) меры защиты

К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.

7.1.2.Морально-этические меры защиты

К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах подразделений.

7.1.3.Организационные (административные) меры защиты

Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Формирование политики безопасности

Главная цель административных мер, предпринимаемых на высшем управленческом уровне - сформировать политику в области обеспечения безопасности информации (отражающую подходы к защите информации) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

С практической точки зрения политику в области обеспечения безопасности информации в АС ОРГАНИЗАЦИИ целесообразно разбить на два уровня. К верхнему уровню относятся решения руководства, затрагивающие деятельность ОРГАНИЗАЦИИ в целом. Примером таких решений могут быть:

  • принятие решения о формировании или пересмотре комплексной программы обеспечения безопасности информации, определение ответственных за ее реализацию;
  • формулирование целей, постановка задач, определение направлений деятельности в области безопасности информации;
  • принятие решений по вопросам реализации программы безопасности, которые рассматриваются на уровне ОРГАНИЗАЦИИ в целом;
  • обеспечение нормативной (правовой) базы вопросов безопасности и т.п.

Политика верхнего уровня должна четко очертить сферу влияния и ограничения при определении целей безопасности информации, определить какими ресурсами (материальные, персонал) они будут достигнуты и найти разумный компромисс между приемлемым уровнем безопасности и функциональностью АС.

Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач безопасности информации и детализирует (регламентирует) эти правила:

  • какова область применения политики безопасности информации;
  • каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности информации;
  • кто имеет права доступа к информации ограниченного распространения;
  • кто и при каких условиях может читать и модифицировать информацию и т.д.

Политика нижнего уровня должна:

  • предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных информационных ресурсов;
  • определять коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к информации ограниченного распространения;
  • выбирать программно-математические и технические (аппаратные) средства криптозащиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

Регламентация доступа в помещения АС ОРГАНИЗАЦИИ

Эксплуатация защищенных АРМ и серверов АС ОРГАНИЗАЦИИ должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящимися под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (АРМ, документов, реквизитов доступа и т.п.). Размещение и установка технических средств ПЭВМ таких АРМ должна исключать возможность визуального просмотра вводимой (выводимой) информации лицами, не имеющими к ней отношения. Уборка помещений с установленными в них ПЭВМ должна производиться в присутствии ответственного, за которым закреплены данные технические средства, или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.

В помещениях во время обработки и отображения на ПЭВМ информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией. Запрещается прием посетителей в помещениях, когда осуществляется обработка защищаемой информации.

По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану с включением сигнализации и с отметкой в книге приема и сдачи служебных помещений.

Для хранения служебных документов и машинных носителей с защищаемой информацией помещения снабжаются сейфами и металлическими шкафами.

В случае оснащения помещений средствами охранной сигнализации, а также автоматизированной системой приема и регистрации сигналов от этих средств, прием-сдача таких помещений под охрану осуществляется на основании специально разрабатываемой инструкции, утверждаемой руководством органов ОРГАНИЗАЦИИ.

Помещения должны быть обеспечены средствами уничтожения документов.

В случае применения для обработки информации средств вычислительной техники, пропускной и внутриобъектовый режим объекта СВТ должен удовлетворять требованиям, предъявляемым к режимным объектам.

Регламентация допуска сотрудников к использованию ресурсов АС ОРГАНИЗАЦИИ

В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях; система разграничения доступа, которая предполагает определение для всех пользователей автоматизированной информационной системы информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.

Допуск сотрудников подразделений ОРГАНИЗАЦИИ к работе с автоматизированной системой и доступ к ее ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно “Инструкции по внесению изменений в списки пользователей АС ОРГАНИЗАЦИИ и наделению их полномочиями доступа к ресурсам системы”. Основными пользователями информации в АС ОРГАНИЗАЦИИ являются сотрудники структурных подразделений ОРГАНИЗАЦИИ. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:

  • открытая, конфиденциальная информация размещаются по возможности на различных серверах (это упрощает обеспечение защиты);
  • каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями;
  • начальник имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями;
  • наиболее ответственные технологические операции должны производиться по правилу "в две руки" - правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.

Все сотрудники ОРГАНИЗАЦИИ, допущенные к работе (пользователи) и обслуживающий персонал АС ОРГАНИЗАЦИИ, должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник (при приеме на работу) должен подписывать Соглашение-обязательство о соблюдении и ответственности за нарушение установленных требований по сохранению государственной, служебной и коммерческой тайны, а также правил работы с защищаемой информацией в АС ОРГАНИЗАЦИИ.

Обработка защищаемой информации в подсистемах АС ОРГАНИЗАЦИИ должна производиться в соответствии с утвержденными технологическими инструкциями (техническими порядками) для данных подсистем.

Для пользователей защищенных АРМ (то есть АРМ, на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению безопасности информации.

Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов

Все операции по ведению баз данных ОРГАНИЗАЦИИ и допуск сотрудников подразделений ОРГАНИЗАЦИИ к работе с этими базами данных должны быть строго регламентированы (должны производиться в соответствии с утвержденными технологическими инструкциями). Любые изменения состава и полномочий пользователей баз данных АС ОРГАНИЗАЦИИ должны производиться установленным порядком.

Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на специальных пользователей - администраторов конкретных баз данных. При этом могут использоваться как только штатные, так и дополнительные средства защиты СУБД и операционных систем.

Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС ОРГАНИЗАЦИИ

Все аппаратные и программные ресурсы АС ОРГАНИЗАЦИИ должны быть установленным порядком категорированы (для каждого ресурса должен быть определен требуемый уровень защищенности). Подлежащие защите ресурсы системы (задачи, программы, АРМ) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных).

Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация (с которых возможен доступ к защищаемым ресурсам), должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей. Все неиспользуемые в работе (лишние) устройства ввода-вывода информации (USB, COM, LPT порты, дисководы НГМД, CD с других носителей информации) на таких АРМ должны быть отключены (удалены), не нужные для работы программные средства и данные с дисков АРМ также должны быть удалены.

Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами).

Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств существующих АРМ в АС ОРГАНИЗАЦИИ должны осуществляться только установленным порядком.

Все программное обеспечение (разработанное специалистами отделов программирования ОРГАНИЗАЦИИ, полученное централизованно или приобретенной у фирм-производителей) должно установленным порядком проходить испытания и передаваться в фонд алгоритмов и программ (ФАП) ОРГАНИЗАЦИИ. В подсистемах АС должны устанавливаться и использоваться только полученные установленным порядком из ФАП программные средства. Использование в АС ПО, не учтенного в ФАП ОРГАНИЗАЦИИ, должно быть запрещено.

Разработка ПО задач (комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должна осуществляться в соответствии с установленным порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию.

Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов АС ОРГАНИЗАЦИИ

На всех АРМ, подлежащих защите, должны быть установлены необходимые технические средства защиты (соответствующие категории данных АРМ).

Узлы и блоки оборудования СВТ, к которым доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к их монтажным схемам должны закрываться и опечатываться (пломбироваться) сотрудниками службы технической защиты информации ОРГАНИЗАЦИИ. О вскрытии (опечатывании) блоков ПЭВМ делается запись в «Журнале учета нештатных ситуаций, фактов вскрытия и опечатывания блоков ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств АРМ подразделения».

Повседневный контроль за целостностью и соответствием печатей (пломб) на системных блоках ПЭВМ должен осуществляться пользователями АРМ и администраторами безопасности информации (ответственными за безопасность информации подразделений ОРГАНИЗАЦИИ). Периодический контроль - сотрудниками службы технической защиты информации ОРГАНИЗАЦИИ.

Кадровая работа (подбор и подготовка персонала, обучение пользователей)

До начала этапа эксплуатации автоматизированной системы ее пользователи, а также необходимый руководящий и обслуживающий персонал должны быть ознакомлены с перечнем сведений, подлежащих засекречиванию и защите, в части их касающейся, и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации ограниченного распространения.

Защита информации по всем перечисленным направлениям возможна только после выработки у пользователей определенной дисциплины, т.е. норм, обязательных для исполнения всеми, кто работает с АС ОРГАНИЗАЦИИ. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу АС ОРГАНИЗАЦИИ, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей.

Все сотрудники ОРГАНИЗАЦИИ, использующие при работе конкретные подсистемы АС ОРГАНИЗАЦИИ, должны быть ознакомлены с организационно-распорядительными документами по защите АС ОРГАНИЗАЦИИ в части, их касающейся, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации при использовании АС. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться начальниками подразделений под роспись.

Подразделения технической защиты информации

Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в ОРГАНИЗАЦИИ должна быть создана специальная служба технической защиты информации.

Служба технической защиты информации должна представлять собой систему штатных или нештатных подразделений, предназначенных для организации квалифицированной разработки (совершенствования) системы защиты информации и организационного (административного) обеспечения ее функционирования во всех подразделениях ОРГАНИЗАЦИИ.

На эти подразделения целесообразно возложить решение следующих основных задач:

  • проведение в жизнь политики обеспечения безопасности информации, определение требований к системе защиты информации;
  • организация мероприятий и координация работ всех подразделений ОРГАНИЗАЦИИ по комплексной защите информации;
  • контроль и оценка эффективности принятых мер и применяемых средств защиты информации.

Основные функции подразделения безопасности заключаются в следующем:

  • формирование требований к системе защиты в процессе создания (развития) АС ОРГАНИЗАЦИИ;
  • участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
  • планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;
  • распределение между пользователями необходимых реквизитов защиты;
  • наблюдение за функционированием системы защиты и ее элементов;
  • организация проверок надежности функционирования системы защиты;
  • обучение пользователей и персонала АС правилам безопасной обработки информации;
  • регламентация действий и контроль за администраторами баз данных, серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств защиты информации);
  • взаимодействие с ответственными за безопасность информации в подразделениях ОРГАНИЗАЦИИ;
  • контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
  • принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.

Организационно-правовой статус службы защиты определяется следующим образом:

  • численность службы защиты должна быть достаточной для выполнения всех перечисленных выше функций;
  • служба защиты должна подчиняться лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;
  • персонал службы защиты не должен иметь других обязанностей, связанных с функционированием АС;
  • сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура АС ОРГАНИЗАЦИИ и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;
  • руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы АС ОРГАНИЗАЦИИ, если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз безопасности информации;
  • службе защиты информации должны обеспечиваться все условия, необходимые для выполнения своих функций.

Для решения задач, возложенных на подразделение защиты информации, его сотрудники должны иметь следующие права:

  • определять необходимость и разрабатывать нормативные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность сотрудников подразделений ОРГАНИЗАЦИИ;
  • получать информацию от сотрудников подразделений ОРГАНИЗАЦИИ по вопросам применения информационных технологий и эксплуатации АС;
  • участвовать в проработке технических решений по вопросам обеспечения безопасности информации при проектировании и разработке комплексов задач (задач);
  • участвовать в испытаниях разработанных комплексов задач (задач) по вопросам оценки качества реализации требований по обеспечению безопасности информации;
  • контролировать деятельность сотрудников подразделений ОРГАНИЗАЦИИ по вопросам ОБИ.

В состав подразделения защиты информации должны входить следующие специалисты:

  • ответственные за администрирование средств защиты от НСД (выбор, установка, настройка, снятие средств защиты, просмотр журналов регистрации событий, оперативный контроль за работой пользователей и реагирование на события НСД и т.п.);
  • ответственные за администрирование криптографических средств защиты (установка, настройка, снятие СКЗИ, генерация и распределение ключей и т.д.);
  • ответственные за решение вопросов защиты информации в разрабатываемых программистами и внедряемых прикладных программах (участие в разработке технических заданий по вопросам защиты информации, выбор средств и методов защиты, участие в испытаниях новых прикладных программ с целью проверки выполнения требований по защите информации и т.д.);
  • специалисты по защите от утечки информации по техническим каналам.

Ответственность за нарушения установленного порядка использования АС ОРГАНИЗАЦИИ. Расследование нарушений.

Любое грубое нарушение порядка и правил работы в АС сотрудниками структурных подразделений ОРГАНИЗАЦИИ и других ведомств должно расследоваться. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами по усмотрению руководства центральных или территориальных органов ОРГАНИЗАЦИИ.

Для реализации принципа персональной ответственности пользователей за свои действия необходимы:

  • индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора, на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа;
  • проверка подлинности пользователей (аутентификация) на основе паролей, ключей на различной физической основе, биометрических характеристик личности и т.п.;
  • регистрация (протоколирование) работы механизмов контроля доступа к ресурсам информационных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата;
  • реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д.).

7.2.Физические средства защиты

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

7.2.1.Разграничение доступа на территорию и в помещения

Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств разведки.

Более современными, надежными системами физической защиты, дающими широкие возможности регистрации и контроля за доступом исполнителей и посторонних лиц в помещения, в которых проводятся работы и переговоры секретного (конфиденциального) характера, обрабатывается и хранится такая информация, являются технические системы, основанные на таких методах идентификации и аутентификации персонала как магнитные и электронные карты с личными данными, биометрические характеристики личности, реализуемые в виде автоматизированных систем контроля за доступом в указанные помещения. Подобные автоматизированные системы могут быть реализованы на центральной ПЭВМ службы безопасности, собирающей информацию с большого количества терминалов, контролирующих доступ в помещения, к объектам и отдельным средствам информатизации.

Для обеспечения физической безопасности компонентов АС ОРГАНИЗАЦИИ службе безопасности необходимо осуществить ряд организационных и технических мероприятий, включающих (кроме выполнения рекомендаций по инженерной и технической защите зданий и помещений):

  • проверку поступающего оборудования АС ОРГАНИЗАЦИИ, предназначенного для обработки закрытой (конфиденциальной) информации, на:
    • наличие специально внедренных закладных устройств;
    • побочные электромагнитные излучения и наводки;
  • введение дополнительных ограничений по доступу в помещения (компьютерный зал, серверная и т.д.), предназначенные для хранения и обработки закрытой информации;
  • оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи.

7.3.Технические (программно-аппаратные) средства защиты

Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС ОРГАНИЗАЦИИ и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

С учетом всех требований и принципов обеспечения безопасности информации в АС по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

  • средства аутентификации потребителей (пользователей) и элементов АС ОРГАНИЗАЦИИ (терминалов, задач, элементов баз данных и т.п.), соответствующих степени конфиденциальности информации и обрабатываемых данных;
  • средства разграничения доступа к данным;
  • средства криптографического закрытия информации в линиях передачи данных и в базах данных;
  • средства регистрации обращения и контроля за использованием защищаемой информации;
  • средства реагирования на обнаруженный НСД;
  • средства снижения уровня и информативности ПЭМИН, создаваемых различными элементами АС;
  • средства снижения уровня акустических излучений, сопровождающих функционирование элементов АС;
  • средства маскировки от оптических средств наблюдения;
  • средства электрической развязки как элементов АС, так и конструктивных элементов помещений, в которых размещается АС (включая водопроводную и канализационную систему);
  • средства активного зашумления в радио и акустическом диапазонах.

На технические средства защиты от НСД возлагается решение следующих основных задач (в соответствии с Руководящими документами ФСТЭК России и ГОСТ):

  • идентификация и аутентификации пользователей при помощи имен и/или специальных аппаратных средств (Touch Memory, Smart Card и т.п.);
  • регламентация доступа пользователей к физическим устройствам компьютера (дискам, портам ввода-вывода);
  • избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам;
  • полномочное (мандатное) разграничение доступа к защищаемым данным на рабочей станции и на файловом сервере;
  • создание замкнутой программной среды разрешенных для запуска программ, расположенных как на локальных, так и на сетевых дисках;
  • защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;
  • контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора;
  • регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
  • централизованный сбор, хранение и обработка на файловом сервере журналов регистрации рабочих станций сети;
  • защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети;
  • централизованное управление настройками средств разграничения доступа на рабочих станциях сети;
  • оповещение администратора безопасности обо всех событиях НСД, происходящих на рабочих станциях;
  • оперативный контроль за работой пользователей сети, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости) любой станции сети.

Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными мерами и используемыми физическими средствами защиты:

  • физическая целостность всех компонент АС ОРГАНИЗАЦИИ обеспечена;
  • каждый сотрудник (пользователь системы) имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;
  • использование на рабочих станциях АС ОРГАНИЗАЦИИ инструментальных и технологических программ (тестовых утилит, отладчиков и т.п.), позволяющих предпринять попытки взлома или обхода средств защиты, ограничено и строго регламентировано;
  • в защищенной системе нет программирующих пользователей. Разработка и отладка программ осуществляется за пределами защищенной системы;
  • все изменения конфигурации технических и программных средств ПЭВМ АС производятся строго установленным порядком только на основании распоряжений руководства структурных подразделений ОРГАНИЗАЦИИ;
  • сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних (специальные помещениях, шкафах, и т.п.).
  • специальной службой технической защиты информации осуществляется непрерывное управление и административная поддержка функционирования средств защиты в соответствии с Планом защиты АС ОРГАНИЗАЦИИ.

7.3.1.Средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей

В целях предотвращения работы с АС ОРГАНИЗАЦИИ посторонних лиц необходимо обеспечить возможность распознавания системой каждого законного пользователя (или ограниченных групп пользователей). Для этого в системе (в защищенном месте) должен храниться ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости - и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе. Кроме того, для идентификации могут применяться различного рода устройства: магнитные карточки, ключевые вставки, дискеты и т.п.

Аутентификация (подтверждение подлинности) пользователей должна осуществляться на основе использования паролей (секретных слов) или проверки уникальных характеристик (параметров) пользователей при помощи специальных биометрических средств.

7.3.2.Средства разграничения доступа зарегистрированных пользователей системы к ресурсам АС

После распознавания пользователя система должна осуществлять авторизацию пользователя, то есть определять, какие права предоставлены пользователю: какие данные и как он может использовать, какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. Авторизация пользователя должна осуществляется с использованием следующих механизмов реализации разграничения доступа:

  • механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;
  • механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;
  • механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для запуска программ),

поддерживаемых механизмами идентификации (распознавания) и аутентификации (подтверждения подлинности) пользователей при их входе в систему.

Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.

Технические средства разграничения доступа должны быть составной частью единой системы контроля доступа:

  • на контролируемую территорию;
  • в отдельные помещения;
  • к элементам АС и элементам системы защиты информации (физический доступ);
  • к ресурсам АС (программно-математический доступ);
  • к информационным хранилищам (носителям информации, томам, файлам, наборам данных, архивам, справкам, записям и т.д.);
  • к активным ресурсам (прикладным программам, задачам, формам запросов и т.п.);
  • к операционной системе, системным программам и программам защиты и т.п.

7.3.3.Средства обеспечения и контроля целостности программных и информационных ресурсов

Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:

  • средствами подсчета контрольных сумм;
  • средствами электронной цифровой подписи;
  • средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);
  • средствами разграничения доступа (запрет доступа с правами модификации или удаления).

В целях защиты информации и программ от несанкционированного уничтожения или искажения необходимо обеспечить:

  • дублирование системных таблиц и данных;
  • дуплексирование и зеркальное отображение данных на дисках;
  • отслеживание транзакций;
  • периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей;
  • антивирусный контроль;
  • резервное копирование данных по заранее установленной схеме;
  • хранение резервных копий вне помещения файл-сервера;
  • обеспечение непрерывности электропитания для файл-серверов и критичных рабочих станций и кондиционирование электропитания для остальных станций сети.

7.3.4.Средства оперативного контроля и регистрации событий безопасности

Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства контроля и регистрации должны предоставлять возможности:

  • ведения и анализа журналов регистрации событий безопасности (системных журналов). Журналы регистрации должны вестись для каждой рабочей станции сети;
  • оперативного ознакомления администратора безопасности с содержимым системного журнала любой станции и с журналом оперативных сообщений об НСД;
  • получения твердой копии (печати) системного журнала;
  • упорядочения системных журналов по дням и месяцам, а также установления ограничений на срок их хранения;
  • оперативного оповещения администратора безопасности о нарушениях.

При регистрации событий безопасности в системном журнале должна фиксироваться следующая информация:

  • дата и время события;
  • идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;
  • действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).

Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:

  • вход пользователя в систему;
  • вход пользователя в сеть;
  • неудачная попытка входа в систему или сеть (неправильный ввод пароля);
  • подключение к файловому серверу;
  • запуск программы;
  • завершение программы;
  • оставление программы резидентно в памяти;
  • попытка открытия файла недоступного для чтения;
  • попытка открытия на запись файла недоступного для записи;
  • попытка удаления файла недоступного для модификации;
  • попытка изменения атрибутов файла недоступного для модификации;
  • попытка запуска программы, недоступной для запуска;
  • попытка получения доступа к недоступному каталогу;
  • попытка чтения/записи информации с диска, недоступного пользователю;
  • попытка запуска программы с диска, недоступного пользователю;
  • нарушение целостности программ и данных системы защиты
  • и др.

Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности):

  • извещение владельца информации о НСД к его данным;
  • снятие программы (задания) с дальнейшего выполнения;
  • извещение администратора баз данных и администратора безопасности;
  • отключение терминала (рабочей станции), с которого были осуществлены попытки НСД к информации;
  • исключение нарушителя из списка зарегистрированных пользователей;
  • подача сигнала тревоги и др.

7.3.5.Криптографические средства защиты информации

Одним из важнейших элементов системы обеспечения безопасности информации АС ОРГАНИЗАЦИИ должно быть использование криптографических методов и средств защиты информации от несанкционированного доступа при ее передаче по каналам связи.

Все средства криптографической защиты информации в АС ОРГАНИЗАЦИИ должны строиться на основе базисного криптографического ядра, прошедшего всесторонние исследования специализированными организациями ФСБ России. Используемые средства криптографической защиты секретной информации должны быть сертифицированы, а вся подсистема, в которой они используются, должна быть аттестована ФСБ России. На использование криптографических средств органы ОРГАНИЗАЦИИ должны иметь лицензию ФСБ России.

Ключевая система применяемых в АС ОРГАНИЗАЦИИ шифровальных средств должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

Конфиденциальность и имитозащита информации при ее передаче по каналам связи должна обеспечиваться за счет применения в системе шифросредств абонентского и на отдельных направлениях канального шифрования. Сочетание абонентского и канального шифрования информации должно обеспечивать ее сквозную защиту по всему тракту прохождения, защищать информацию в случае ее ошибочной переадресации за счет сбоев и неисправностей аппаратно-программных средств центров коммутации.

В АС ОРГАНИЗАЦИИ, являющейся системой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной цифровой подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений. При этом должны использоваться только стандартизованные алгоритмы цифровой подписи, а соответствующие средства, реализующие эти алгоритмы, должны быть сертифицированы ФСБ России.

7.4.Защита информации от утечки по техническим каналам

В качестве основных мер защиты информации, циркулирующей в АС ОРГАНИЗАЦИИ, рекомендуются:

  • использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, а также образцов технических средств, прошедших специальные исследования, в соответствии с требованиями предписания на эксплуатацию;
  • использование сертифицированных средств защиты информации;
  • размещение объекта защиты относительно границы контролируемой зоны с учетом радиуса зоны возможного перехвата информации, полученного для данного объекта по результатам специальных исследований;
  • маскирующее зашумление побочных электромагнитных излучений и наводок информативных сигналов;
  • конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возможных каналов утечки информации;
  • размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах контролируемой зоны;
  • развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
  • периодическая проверка технических средств на отсутствие паразитной генерации их элементов;
  • создание выделенных сетей связи и передачи данных с учетом максимального затруднения доступа к ним посторонних лиц;
  • развязка линий связи и других цепей между выходящими за пределы контролируемой зоны и находящимися внутри нее;
  • использование защищенных каналов связи;
  • проверка импортных технических средств перед введением в эксплуатацию на отсутствие в них электронных устройств перехвата информации.

Техническая политика в области использования импортных технических средств информатизации

Одним из методов технической разведки, промышленного шпионажа является внедрение в конструкцию технических средств информатизации специальных электронных (закладных) устройств для съема, перехвата, ретрансляции информации или вывода технических средств из строя.

В целях противодействия такому методу воздействия для технических средств информатизации, предназначенных для обработки информации, составляющей государственную тайну, должен осуществляться специальный порядок приобретения импортных технических средств, проведение специальных проверок этих средств, осуществляемых специализированными организациями в соответствии с требованиями и по методикам ФАПСИ, осуществление радионаблюдения на объектах ОРГАНИЗАЦИИ.

Использование технических средств иностранного производства для обработки, и хранения конфиденциальной информации, или устанавливаемых в выделенных помещениях возможно при выполнении следующих условий:

  • проведены специальные исследования (сертификационные испытания) технических средств и выполнен полный комплекс работ по их специальной защите;
  • проведена специальная проверка технических средств на отсутствие в их составе возможно внедренных электронных устройств перехвата информации.

Специальная проверка технических средств иностранного производства может не проводиться при условии:

  • если суммарное затухание сигналов при их распространении от места установки технического средства до границ контролируемой зоны объекта составляет величину не менее 60 дБ в диапазоне частот 10 МГц - 10 ГГц;
  • при массовых поставках технических средств (к массовым относятся поставки, объем которых превышает 50 шт.), используемых в городах, не имеющих постоянных представительств иностранных государств, обладающих правом экстерриториальности.

Обеспечение защиты информации от утечки по техническим каналам при ее обработке (обсуждении), хранении и передаче по каналам связи предусматривает:

  • предотвращение утечки обрабатываемой техническими средствами информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований, создаваемых функционирующими техническими средствами;
  • выявление возможно внедренных в импортные технические средства специальных электронных устройств съема (ретрансляции) или разрушения информации (закладных устройств);
  • предотвращение утечки информации в линиях связи;
  • исключение перехвата техническими средствами речевой информации при ведении конфиденциальных переговоров.

Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также за счет электроакустических преобразований реализуется путем применения защищенных технических средств, сертифицированных по требованиям безопасности информации, внедрением объектовых мер защиты, в том числе установлением контролируемой зоны вокруг объектов АС ОРГАНИЗАЦИИ, средств активного противодействия (при необходимости) и др. Конкретные требования к мерам объектовой защиты определяются по результатам специальных исследований технических средств с учетом установленной категории защищаемого объекта в зависимости от степени конфиденциальности обрабатываемой информации и условий ее размещения.

Исключение перехвата техническими средствами речевой информации достигается проектными решениями, обеспечивающими необходимую звукоизоляцию помещений, применением технических средств и организационных мер защиты оборудования, расположенного в помещениях.

Основными направлениями снижения уровня и информативности ПЭМИН являются:

1) разработка и выбор оптимальных схем и элементов, основанных на применении устройств с низким уровнем излучения типа:

  • жидкокристаллических и газоразрядных экранов отображения;
  • оптико-электронных и волоконно-оптических линий передачи данных;
  • запоминающих устройств на магнитных доменах, голографических запоминающих устройств и т.п.;

2) экранирование (развязка) отдельных элементов и устройств АС, реализуемое путем:

  • локального экранирования излучающих элементов СВТ и средств связи;
  • экранирование кабелей и устройств заземления;
  • применение развязывающих фильтров в цепях питания и т.п.;

3) использование специальных программ и кодов, базирующихся:

  • на применении мультипрограммных режимов обработки данных, обеспечивающих минимальные интервалы обращения к защищаемой информации;
  • на применении параллельных многоразрядных кодов, параллельных кодов с малой избыточностью, а также симметричных кодов;
  • на ограничении регулярности вывода и времени отображения информации на устройствах отображения;

4) применение активных мешающих воздействий, основанных на использовании встроенных синхронизированных генераторов:

  • генераторов импульсных помех;
  • специальных (инверсных) схем заполнения интервалов;

5) использование специальных схем нарушения регулярности вывода информации на устройства отображения.

7.5.Защита речевой информации при проведении закрытых переговоров

Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения специальных электронных (закладных) устройств, транслирующих эту информацию, акустических, виброакустических и лазерных технических средств разведки, информации, наведенной на различные электрические и прочие цепи, выходящие за пределы контролируемой зоны, противодействие этим угрозам безопасности информационных ресурсов должно осуществляться всеми доступными средствами и методами.

Помещения, в которых предусматривается ведение конфиденциальных переговоров, должны быть проверены на предмет отсутствия в них (в стеновых панелях, фальшполах и фальшпотолках, мебели, технических средствах, размещенных в этих помещениях) закладных устройств, технические средства передачи информации (телефоны, телефаксы, модемы), а также различные электрические и прочие цепи, трубопроводы, системы вентиляции и кондиционирования и т.д. должны быть защищены таким образом, чтобы акустические сигналы не могли быть перехвачены за пределами контролируемой зоны, а в необходимых случаях и за пределами данного выделенного помещения.

В этих целях используются проектные решения, обеспечивающие звукоизоляцию помещений, специальные средства обнаружения закладных устройств, устанавливаются временные или постоянные посты радиоконтроля, на технические средства передачи информации устанавливаются устройства, предотвращающие перехват акустических сигналов с линий связи, на электрические цепи, выходящие за пределы контролируемой зоны, ставятся фильтры, а на трубопроводы - диэлектрические вставки, используются системы активной защиты в акустическом и других диапазонах.

7.6.Управление системой обеспечения безопасности информации

Управление системой обеспечения безопасности информации в АС представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические) с целью достижения требуемых показателей и норм защищенности циркулирующей в АС ОРГАНИЗАЦИИ информации в условиях реализации основных угроз безопасности.

Главной целью организации управления системой обеспечения безопасности информации является повышение надежности защиты информации в процессе ее обработки, хранения и передачи.

Целями управления системой обеспечения безопасности информации являются:

  • на этапе создания и ввода в действие АС ОРГАНИЗАЦИИ - разработка и реализация научно-технических программ и координационных планов создания нормативно-правовых основ и технической базы, обеспечивающей использование передовых зарубежных средств и информационных технологий и производство отечественных технических и программных средств обработки и передачи информации в защищенном исполнении в интересах обеспечения безопасности информации АС; организация и координация взаимодействия в этой области разработчиков АС, концентрация кадровых, финансовых и иных ресурсов заинтересованных сторон при разработке и поэтапном вводе в действие системы; создание действенной организационной структуры, обеспечивающей комплексное решение задач безопасности информации при функционировании АС, в том числе службы безопасности АС, оснащенной необходимыми программно-аппаратными средствами управления и контроля;
  • на этапе эксплуатации АС - обязательное и неукоснительное выполнение предусмотренных на этапе создания АС правил и процедур, направленных на обеспечение безопасности информации, всеми задействованными в системе участниками, эффективное пресечение посягательств на информационные ресурсы, технические средства и информационные технологии, своевременное выявление негативных тенденций и совершенствование управления в области защиты информации.

Управление системой обеспечения безопасности информации реализуется специализированной подсистемой, представляющей собой совокупность органов управления, технических, программных и криптографических средств и организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней.

Органами управления являются подразделения безопасности информации, а пунктами управления - центр управления безопасностью (ЦУБ) и автоматизированные рабочие места администраторов (операторов) безопасности, расположенные на объектах АС ОРГАНИЗАЦИИ.

Функциями подсистемы управления являются: информационная, управляющая и вспомогательная.

Информационная функция заключается в непрерывном контроле состояния системы защиты, проверке соответствия показателей защищенности допустимым значениям и немедленном информировании операторов безопасности о возникающих в АС ситуациях, способных привести к нарушению безопасности информации. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты, которая обобщается (агрегируется) и передается на вышестоящие пункты управления.

Управляющая функция заключается в формировании планов реализации технологических операций АС с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков АС, на которых возникают угрозы безопасности информации. К управляющим функциям службы безопасности относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, приемка включаемых в программную среду АС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического процесса обработки секретной (конфиденциальной) информации возлагается на администратора автоматизированной системы (базы данных) и администратора службы безопасности, которые расположены в ЦУБ.

К вспомогательным функциям подсистемы управления относятся учет всех операций, выполняемых в АС с защищаемой информацией, формирование отчетных документов и сбор статистических данных с целью анализа и выявления потенциальных каналов утечки информации.

7.7.Контроль эффективности системы защиты

Контроль эффективности защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.

Контроль может проводиться как службой безопасности (оперативный контроль в процессе информационного взаимодействия в АС), так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности, а также Инспекцией Гостехкомиссии России или Федеральным агентством правительственной связи и информации в пределах их компетенции.

Оценка эффективности мер защиты информации проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.

Контроль может осуществляться администратором безопасности как с помощью штатных средств системы защиты информации от НСД, так и с помощью специальных программных средств контроля.

8. Первоочередные мероприятия по обеспечению безопасности информации АС организации

Для реализации основных положений настоящей Концепции целесообразно провести (осуществить) следующие мероприятия:

  • создать во всех территориальных подразделениях ОРГАНИЗАЦИИ подразделения технической защиты информации в АС ОРГАНИЗАЦИИ и ввести ответственных (возможно внештатных, из числа сотрудников подразделения) за безопасность информации в структурных подразделениях ОРГАНИЗАЦИИ, определить их задачи и функции на различных стадиях создания, развития и эксплуатации АС и системы защиты информации;
  • для снижения затрат на создание системы защиты и упрощения категорирования и аттестации подсистем АС ОРГАНИЗАЦИИ рассмотреть возможность внесения изменений в конфигурацию сетей и СВТ, технологии обработки, передачи и хранения (архивирования) информации (с целью максимального разделения подсистем АС ОРГАНИЗАЦИИ, в которых обрабатывается информация различных категорий конфиденциальности);
  • определить порядок приобретения и использования сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации; образцов технических средств, прошедших специальные исследования, в соответствии с требованиями предписания на эксплуатацию, а также сертифицированных средств защиты информации;
  • уточнить (в том числе на основе апробации) конкретные требования к СЗИ, включаемые в ТЗ на разработку СЗИ АС ОРГАНИЗАЦИИ;
  • определить возможность использования в АС ОРГАНИЗАЦИИ имеющихся сертифицированных средств защиты информации;
  • произвести закупку сертифицированных образцов и серийно выпускаемых технических и программных средств защиты информации («Secret Net» и т.п.) и их внедрение на рабочих станциях и файловых серверах сети с целью контроля за изменением конфигурации аппаратных и программных средств и действиями пользователей;
  • произвести разработку и последующую сертификацию программных средств защиты информации в случае, когда на рынке отсутствуют требуемые программные средства;
  • для обеспечения режима удаленного доступа пользователей по сети ОРГАНИЗАЦИИ к информации конфиденциальных баз данных рассмотреть возможность разработки, сертификации и аттестации специальных криптографических средств. В их состав должны входить: сетевой криптошлюз, защищенные абонентские пункты доступа через криптошлюз, центр генерации и распространения ключей. На уровне прикладных программ необходимо разработать средства, обеспечивающие возможность доступа к конфиденциальным данным только с защищенных абонентских пунктов;
  • определить степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер его взаимодействия между собой и с подразделениями по защите информации;
  • произвести разработку и реализацию разрешительной системы доступа пользователей и эксплуатационного персонала АС ОРГАНИЗАЦИИ или иного объекта информатизации к обрабатываемой информации, оформляемой в виде раздела «Положения о разрешительной системе допуска исполнителей к документам и сведениям»;
  • произвести разработку организационно-распорядительной и рабочей документации по эксплуатации объекта информатизации в защищенном исполнении, а также средств и мер защиты информации в АС ОРГАНИЗАЦИИ (План защиты, Инструкции, обязанности и т.п.), регламентирующих процессы допуска пользователей к работе с АС ОРГАНИЗАЦИИ, разработки, приобретения и использования программного обеспечения на рабочих станциях и серверах, порядок внесения изменений в конфигурацию аппаратных и программных средств при ремонте, развитии и обслуживании СВТ, порядок применения и администрирования средств защиты информации и т.п.;
  • для снижения риска перехвата в сети с других рабочих станций имен и паролей привилегированных пользователей (в особенности администраторов средств защиты и баз данных) организовать их работу в отдельных сегментах сети, шире применять сетевые устройства типа switch, не использовать удаленных режимов конфигурирования сетевых устройств (маршрутизаторов, концентраторов и т.п.);
  • исключить доступ программистов в эксплуатируемые подсистемы АС ОРГАНИЗАЦИИ (к реальной информации и базам данных), организовать опытный участок АС для разработки и отладки программ. Передачу разработанных программ в эксплуатацию производить через архив эталонов программ (фонд алгоритмов и программ) подразделения, ответственного за эксплуатацию ПО;
  • для защиты компонентов ЛВС органов ОРГАНИЗАЦИИ от неправомерных воздействий из других ЛВС ОРГАНИЗАЦИИ и внешних сетей по IP - протоколу целесообразно использовать на узлах корпоративной сети ОРГАНИЗАЦИИ сертифицированные установленным порядком межсетевые экраны;
  • произвести опытную эксплуатацию средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объектов информатизации и отработки технологических процессов обработки (передачи) информации;
  • произвести специальную проверку импортных технических средств на предмет возможно внедренных в эти средства электронных устройств перехвата информации («закладок»);
  • произвести специальную проверку выделенных помещений на предмет обнаружения возможно внедренных в эти помещения или предметы интерьера электронных устройств перехвата информации («закладок»);
  • произвести обследование объекта информатизации и специальные исследования технических средств;
  • произвести конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возможных технических каналов утечки информации (в случае необходимости);
  • произвести развязку цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
  • произвести развязку линий связи и других цепей между выходящими за пределы контролируемой зоны и находящимися внутри нее;
  • произвести необходимую звуко- и виброизоляцию выделенных помещений;
  • произвести категорирование помещений, в которых проводятся обсуждения или ведутся переговоры по секретным вопросам (выделенных помещений);
  • произвести категорирование ОТСС, предназначенных для обработки, передачи и хранения конфиденциальной информации;
  • произвести классификацию защищенности автоматизированных систем от несанкционированного доступа (НСД) к информации, предназначенных для обработки конфиденциальной информации;
  • произвести оформление технического паспорта объекта информатизации (АС ОРГАНИЗАЦИИ);
  • произвести аттестацию объекта информатизации по требованиям защиты информации;
  • организовать охрану и физическую защиту объекта информатизации и отдельных технических средств, исключающих НСД к техническим средствам, их хищение и нарушение работоспособности;
  • организовать контроль состояния и эффективности защиты информации с оценкой выполнения требований нормативных документов организационно-технического характера, обоснованности принятых мер, проверки выполнения норм эффективности защиты информации по действующим методикам с применением поверенной контрольно-измерительной аппаратуры и сертифицированных программных средств контроля.
  • для контроля за состоянием защиты, выявлением слабых мест (уязвимостей) в системе защиты серверов и рабочих станций и принятия своевременных мер по их устранению (перекрытию возможности их использования злоумышленниками) необходимо использовать специальные программы оценки защищенности (сканеры, например Internet Security Scanner фирмы ISS);
  • для контроля за правильностью настроек администраторами средств защиты на серверах под управлением ОС UNIX (SINIX) целесообразно использовать System Security Scanner (фирмы ISS).

Приложение 1

ПЕРЕЧЕНЬ
НОРМАТИВНЫХ ДОКУМЕНТОВ, РЕГЛАМЕНТИРУЮЩИХ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ

 

Конституция Российской Федерации;

Гражданский Кодекс Российской Федерации;

Уголовный Кодекс Российской Федерации;

Кодекс Российской Федерации об административных правонарушениях;

Декларация прав и свобод человека и гражданина Российской Федерации;

Законы Российской Федерации:

  • «Об информации, информатизации и защите информации» от 20 февраля 1995 г. № 24‑ФЗ;
  • «О безопасности» от 5 марта 1992 г. № 2446‑1;
  • «О связи» от 16 февраля 1995 г. № 15‑ФЗ;
  • «О государственной тайне» от 21 июля 1993 г. № 5485‑1;
  • «О защите прав потребителей» от 7 февраля 1992 г. № 2300‑1;
  • «Об участии в международном информационном обмене» от 4 июля 1996 г. № 85‑ФЗ;
  • «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128‑ФЗ;
  • «Об электронной цифровой подписи» от 10 января 2002 г. № 1‑ФЗ;
  • «О техническом регулировании» от 27 декабря 2002 г. № 184‑ФЗ;
  • «О коммерческой тайне» от 29 июля 2004 г. № 98‑ФЗ;

Указы Президента Российской Федерации:

  • «Об основах государственной политики в сфере информатизации» от 20 января 1994 г. № 170;
  • «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3 апреля 1995 г. № 334;
  • «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 9 января 1996 г. № 21;
  • «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. № 188;
  • «Об утверждении концепции национальной безопасности Российской Федерации» от 17 декабря 1997 г. № 1300;
  • «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» от 12 мая 2004 г. № 611;

Постановления Правительства Российской Федерации:

  • «О перечне сведений, которые не могут составлять коммерческую тайну» от 5 декабря 1991 г. № 35;
  • «Об утверждении Положения о выпуске и обращении ценных бумаг и фондовых биржах в РСФСР» от 28 декабря 1991 г. № 78;
  • «Об утверждении Перечня территорий Российской Федерации с регламентированным посещением для иностранных граждан» от 4 июля 1992 г. № 470;
  • «О порядке приема и передвижении иностранных граждан в Российской Федерации» от 14 октября 1992 г. № 790;
  • «Об утверждении Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» от 15 сентября 1993 г. № 912‑51;
  • «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» от 3 ноября 1994 г. № 1233;
  • «О лицензировании деятельности предприятий, учреждений и организации по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» от 15 апреля 1995 г. № 333;
  • «О сертификации средств защиты информации» от 26 июня 1995 г. № 608;
  • «Об утверждении Положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и перечня видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности» от 1 июля 1996 г. № 770;
  • «О лицензировании отдельных видов деятельности» от 11 февраля 2002 г. № 135;
  • «О лицензировании деятельности по технической защите конфиденциальной информации» от 30 апреля 2002 г. № 290;
  • «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» от 27 мая 2002 г. № 348;
  • «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» от 23 сентября 2002 г. № 691;

Решения Гостехкомиссии России:

  • «Основы концепции защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам» от 16 ноября 1993 г. № 6;
  • «О типовых требованиях к содержанию и порядку разработки руководства по защите информации от технических разведок и от ее утечки по техническим каналам на объекте» от 3 октября 1995 г. № 42;

Совместные решения Гостехкомиссии России и ФАПСИ:

  • «Положение о государственном лицензировании деятельности в области защиты информации» от 24 апреля 1994 г. № 10 с дополнениями и изменениями, внесенными решением Гостехкомиссии России и ФАПСИ от 24 июня 1997 г. № 60;
  • «Система сертификации средств криптографической защиты информации» (N РОСС RU.0001.03001);

Специальные нормативные документы Гостехкомиссии России:

  • «Концепция защиты информации в системах ее обработки» (утверждена председателем Гостехкомиссии России 1992 г.);
  • «Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 30 марта 1992 г.);
  • «Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения» (решение Председателя Гостехкомиссии России от 30 марта 1992 г.);
  • «Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники» (решение Председателя Гостехкомиссии России от 30 марта 1992 г.);
  • «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 30 марта 1992 г.);
  • «Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации» (решение Председателя Гостехкомиссии России от 30 марта 1992 г.);
  • «Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 25 июля 1997 г.);
  • «Руководящий документ. Защита информации. Специальные защитные знаки. Классификация и общие требования» (решение Председателя Гостехкомиссии России от 25 июля 1997 г.);
  • «Руководящий документ. Средства защиты информации. Специальные и общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам» (Гостехкомиссия России 1998 г.);
  • «Руководящий документ. Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов»
  • «Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (приказ Председателя Гостехкомиссии России от 4 июня 1999 г. № 114);
  • «Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий (Часть 1, Часть 2, Часть 3)» (приказ Председателя Гостехкомиссии России от 19 июня 2002 г. № 187);
  • «Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности» (Гостехкомиссия России 2003 г.);
  • «Руководящий документ. Безопасность информационных технологий. Руководство по регистрации профилей защиты» (Гостехкомиссия России 2003 г.);
  • «Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты» (Гостехкомиссия России 2003 г.);
  • «Руководство по разработке профилей защиты и заданий по безопасности» (Гостехкомиссия России 2003 г.);
  • «Положение о сертификации средств защиты информации по требованиям безопасности информации» (приказ председателя Гостехкомиссии России от 27 октября 1995 г. № 199);
  • «Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям по безопасности информации» (утверждено председателем Гостехкомиссии России 25 ноября 1994 г.);
  • «Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации)» (одобрены решением Гостехкомиссии России от 14 марта 1995 г. № 32);
  • «Положение по аттестации объектов информатизации по требованиям безопасности информации» (утверждено председателем Гостехкомиссии России 25 ноября 1994 г.);
  • «Перечень средств защиты информации, подлежащих сертификации в системе сертификации средств защиты информации по требованиям безопасности информации» (N РОСС RU.0001.01БИ00);
  • «Перечень объектов информатизации, подлежащих аттестации в системе сертификации средств защиты информации по требованиям безопасности информации» (N РОСС RU.0001.01БИ00);
  • «Государственный реестр сертифицированных средств защиты информации»;
  • «Основы концепции защиты информации от иностранных технических разведок и от ее утечки по техническим каналам» (одобрены решением Гостехкомиссии России от 16 ноября 1993 г. № 6);
  • «Специальные требования и рекомендации по технической защите конфиденциальной информации» (приказ председателя Гостехкомиссии России от 30 августа 2002 г. № 282);

Документы по созданию автоматизированных систем и систем защиты информации:

  • «Информационная безопасность и защита информации. Сборник терминов и определений» (Гостехкомиссия России 2001 г.);
  • ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на АС. Техническое задание на создание АС»;
  • РД. 50-34.698-90. «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на АС. АС. Требования к содержанию документов»;
  • ГОСТ 24.202-80 «Система технической документации на АСУ»;
  • Требования к содержанию документа «Технико-экономическое обоснование создания АСУ»;
  • ГОСТ 6.38-90 «Система организационно-распорядительной документации. Требования к оформлению документов»;
  • ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники»;
  • ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство»;
  • ЕСКД. «Эксплуатационная и ремонтная документация»;
  • ГОСТ 34.201-89. «Информационная технология. Комплекс стандартов на АС. Виды, комплектность и обозначение документов при создании АС»;
  • ГОСТ 28195-89. «Оценка качества программных средств. Общие положения»;
  • ГОСТ 28806-90. «Качество программных средств. Термины и определения»;
  • ГОСТ Р ИСО/МЭК 9126-93. «Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению»;
  • ГОСТ 2.111-68. «Нормоконтроль»;
  • ГОСТ РВ 50170-92. «Противодействие ИТР. Термины и определения»;
  • ГОСТ Р 51275-99. «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»;
  • ГОСТ Р ИСО 7498-1-99. «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель»;
  • ГОСТ Р ИСО 7498-2-99. «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации»;
  • ГОСТ Р ИСО/МЭК 15408-1-2002. «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Ведение и общая модель»;
  • ГОСТ Р ИСО/МЭК 15408-2-2002. «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;
  • ГОСТ Р ИСО/МЭК 15408-3-2002. «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности»;

Стандарты по защите от НСД к информации:

  • ГОСТ Р 50922-96. «Защита информации. Основные термины и определения»;
  • ГОСТ Р 50739-95. «Средства вычислительной техники. Защита от НСД к информации. ОТТ»;
  • ГОСТ ВД 16325-88. «Машины вычислительные электронные цифровые общего назначения. ОТТ. Дополнения».

Стандарты по криптографической защите и ЭЦП:

  • ГОСТ 28147-89. «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;
  • ГОСТ Р 34.10-94. «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»;
  • ГОСТ Р 34.11-94. «Функция хеширования».

Стандарты, применяемые при оценке качества объектов информатизации:

  • ГОСТ 40.9001-88. «Системы качества. Модель обеспечения качества при проектировании и(или) разработке, производстве, монтаже и обслуживании»;
  • ГОСТ 40.9003-88. «Системы качества. Модель для обеспечения качества при окончательном контроле и испытаниях»;
  • «Порядок проведения Госстандартом России государственного контроля и надзора за соблюдением обязательных требований государственных стандартов, правил обязательной сертификации и за сертифицированной продукцией (работами, услугами)» от 30 декабря 1993 г. № 239;
  • ГОСТ 28906-91. «Системы обработки информации. Взаимосвязь открытых систем. Базовая ЭТАЛОННАЯ модель»;
  • ГОСТ 16504-81. «Испытания и контроль качества продукции»;
  • ГОСТ 28195-89. «Оценка качества программных изделий. Общие положения».

Нормативные документы, регламентирующие сохранность информации на объекте информатизации:

  • «Об использовании в качестве доказательств по арбитражным делам документов, подготовленных с помощью электронно-вычислительной техники» (Инструктивные указания Государственного Арбитража СССР от 29 июня 1979 г. № И-1-4);
  • «Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике» Раздел IV. Могут ли подтверждаться обстоятельства дела доказательствами, изготовленными и подписанными с помощью средств электронно-вычислительной техники, в которых использована система цифровой (электронной) подписи? (Письмо Высшего Арбитражного суда Российской Федерации от 19 августа 1994 г. № C1-7/ОП-587 в редакции от 12сентября 1996 г.);
  • «О Федеральном законе «Об информации, информатизации и защите информации»» (Письмо Высшего Арбитражного суда Российской Федерации от 07июня 1995 г. № C1-7/03-316).

Стандарты ЕСПД, ЕСКД, СРПП:

  • ЕСКД. «Эксплуатационная и ремонтная документация»;
  • ГОСТ 34.603-92. «Виды испытаний АС»;
  • ГОСТ 23773-88. Машины вычислительные электронные цифровые общего назначения. Методы испытаний»;
  • ГОСТ 27201-87. «Машины вычислительные электронные персональные. Типы, основные параметры, ОТТ»;
  • ГОСТ 21964-76. «Внешние воздействующие факторы. Номенклатура и характеристики»;
  • ГОСТ В 15.210-78. «Испытания опытных образцов изделий. Основные положения»;
  • ГОСТ В 15.211-78. «СРПП ВТ. Порядок разработки программ и методик испытаний опытных образцов изделий»;
  • ГОСТ В 15.110-81. «Документация отчетная научно - техническая на НИР и ОКР. Основные положения»;
  • ГОСТ Р 34.951-92. «Информационная технология. Взаимосвязь открытых систем. Услуги сетевого уровня»;

Стандарты в области терминов и определений:

  • ГОСТ 34.003-90. «Информационная технология. Комплекс стандартов на АС. Термины и определения»;
  • ГОСТ Р В 50170-92. «Противодействие ИТР. Термины и определения»
  • ГОСТ 15971-90. «СОИ. Термины и определения»;
  • ГОСТ 22348-77. «Единые автоматизированные системы связи. Термины и определения»;
  • ГОСТ 29099-91. «Сети вычислительные локальные. Термины и определения»;
  • ГОСТ 28806-90. «Качество программных средств. Термины и определения».

Приложение 2

 

СПИСОК ИСПОЛЬЗОВАННЫХ СОКРАЩЕНИЙ

 

CУБД

Система управления базами данных

АРМ

Автоматизированное рабочее место

АС

Автоматизированная система

ВП

Выделенной помещение

ВТСС

Вспомогательные технические средства и системы

ГОСТ

Государственный стандарт

ЕСКД

Единая система конструкторской документации

ЕСПД

Единая система программной документации

ЗИ

Защита информации

ЛВС

Локальная вычислительная сеть

НГМД

Накопитель на гибком магнитном диске

НД

Нормативный документ

НЖМД

Накопитель на жестком магнитном диске

НСД

Несанкционированный доступ

ОИБ

Обеспечение безопасности информации

ОС

Операционная система

ОТЗИ

Отдел технической защиты информации

ОТСС

Основные технические средства и системы

ПО

Программное обеспечение

ПС

Программные средства

ПЭВМ

Персональная ЭВМ

ПЭМИН

Побочные электромагнитные излучения и наводки

РД

Руководящий документ

РС

Рабочая станция сети

СЗИ НСД

Система защиты от НСД к информации

СКЗИ

Средство криптографической защиты информации

СПД

Система передачи данных

ТЗ

Техническое задание

ТРП

Технорабочий проект

ТС

Технические средства

ФАП

Фонд алгоритмов и программ

ФАПСИ

Федеральное агентство правительственной связи и информации при

ЭВМ

Электронно-вычислительная машина

ЭМС

Электромагнитная совместимость

 

Приложение 3

Термины и определения

Термины и определения согласно действующих ГОСТ, используемые в данном документе:

  • Объект защиты информации - информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации;
  • Организационный контроль эффективности защиты информации - проверка соответствия полноты и обоснованности мероприятий по защите информации требованиям нормативных документов в области защиты информации;
  • Показатель качества программной продукции (программного средства) - по ГОСТ 28809-90
  • Приемо-сдаточные испытания - по ГОСТ 16504-81;
  • Программа испытаний - по ГОСТ 16504-81;
  • Программная продукция - по ГОСТ 28809-90;
  • Средство защиты информации - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации;
  • Цель защиты информации - заранее намеченный результат защиты информации.

 

Кроме того, применены следующие термины:

Безопасность - состояние защищенности жизненно важных интересов личности, предприятия, общества и государства от внутренних и внешних угроз. Безопасность достигается проведением единой политики в области охраны и защиты важных ресурсов, системой мер экономического, политического, организационного и иного характера, адекватных угрозам жизненно важным интересам личности, общества и государства;

Безопасность компьютерной информации - достижение требуемого уровня защиты (класса и категории защищенности) объекта информатизации при обработке информации и ее передаче через сети передачи данных (СПД), обеспечивающего сохранение таких ее качественных характеристик (свойств), как: секретность (конфиденциальность), целостность и доступность;

Внешний воздействующий фактор - воздействующий фактор, внешний по отношению к объекту информатизации;

Внутренний воздействующий фактор - воздействующий фактор, внутренний по отношению к объекту информатизации;

Вредоносные программы - программы или измененные программы объекта информатизации (ОИ), приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ОИ;

Выделенное помещение (ВП) - помещение для размещения технических средств защищенного объекта информатизации, а также помещение, предназначенное для проведения семинаров, совещаний, бесед и других мероприятий, в котором циркулирует конфиденциальная речевая информация;

Доступ к информации - ознакомление с информацией или получение возможности ее обработки. Доступ к информации регламентируется ее правовым режимом и должен сопровождаться строгим соблюдением его требований. Доступ к информации. осуществленный с нарушениями требований ее правового режима, рассматривается как несанкционированный доступ;

Замысел защиты - основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность мероприятий, необходимых для достижения цели защиты информации и объекта;

Защита информации (ЗИ) - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на информацию (ГОСТ Р 50922-96);

Защита информации от несанкционированного доступа (НСД) - деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации (ГОСТ Р 50922-96);

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации (ГОСТ Р 50922-96);

Физический канал утечки информации - неконтролируемый физический путь от источника информации за пределы организации или круга лиц, обладающих охраняемыми сведениями, посредством которого возможно неправомерное (несанкционированное) овладение нарушителем защищаемой информацией;

Компьютерная информация - информация в виде:

  • записей в памяти ЭВМ, электронных устройствах, на машинных носителях (элементы, файлы, блоки, базы данных, микропрограммы, прикладные и системные программы, пакеты и библиотеки программ, микросхемы, программно-информационные комплексы и др.), обеспечивающих функционирование объекта информатизации (сети);
  • сообщений, передаваемых по сетям передачи данных;
  • программно-информационного продукта, являющегося результатом генерации новой или обработки исходной документированной информации, представляемого непосредственно на экранах дисплеев ОИ, на внешних носителях данных (магнитные диски, магнитные ленты, оптические диски, дискеты, бумага для распечатки и т.п.) или через сети передачи данных;
  • электронных записей о субъектах прав;

Лицензия в области защиты информации - разрешение на право проведения тех или иных работ в области защиты информации;

Пароль - служебное слово, которое считается известным узкому кругу лиц (одному лицу) и используется для ограничения доступа к информации, в помещение, на территорию;

Показатель эффективности защиты информации - мера или характеристика для оценки эффективности защиты информации (ГОСТ Р 50992-96);

Угроза - реально или потенциально возможные действия по реализации опасных воздействующих факторов на АС с целью преднамеренного или случайного (неумышленного) нарушения режима функционирования объекта и нарушения свойств защищаемой информации или других ресурсов объекта;

Естественные угрозы - это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека;

Искусственные угрозы - это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

  • непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;
  • преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников);

Угроза автоматизированной системе - потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба ресурсам АС;

Уязвимость автоматизированной системы - любая характеристика АС, использование которой может привести к реализации угрозы;

Атака на автоматизированную систему - любое действие, выполняемое нарушителем, которое приводит к реализации угрозы, путем использования уязвимостей АС;

Уровень защиты (класс и категория защищенности) ОИ - характеристика, описываемая в нормативных документах определенной группой требований к данному классу и категории защищенности;

Угроза безопасности информации - случайное (неумышленное) или преднамеренное (злоумышленное) воздействие, приводящее к нарушению целостности, доступности и конфиденциальности информации или поддерживающей ее инфраструктуры, которое наносит ущерб собственнику, распорядителю или пользователю информации;

Естественные угрозы – это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов техногенного характера или стихийных природных явлений, независящих от человека;

Искусственные угрозы – это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

  • непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;
  • преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников);

Информационные способы нарушения безопасности информации - включают:

  • противозаконный сбор, распространение и использование информации;
  • манипулирование информацией (дезинформация, сокрытие или искажение информации);
  • незаконное копирование информации (данных и программ);
  • незаконное уничтожение информации;
  • хищение информации из баз и банков данных;
  • нарушение адресности и оперативности информационного обмена;
  • нарушение технологии обработки данных и информационного обмена.

Программно-математические способы нарушения безопасности информации - включают:

  • внедрение программ-вирусов;
  • внедрение программных закладок как на стадии проектирования системы (в том числе путем заимствования "зараженного" закладками программного продукта), так и на стадии ее эксплуатации, позволяющих осуществить несанкционированный доступ или действия по отношению к информации и системам ее защиты (блокирование, обход и модификация систем защиты, извлечение, подмена идентификаторов и т.д.) и приводящих к компрометации системы защиты информации.

 

Физические способы нарушения безопасности информации - включают:

  • уничтожение, хищение и разрушение средств обработки и защиты информации, средств связи, целенаправленное внесение в них неисправностей;
  • уничтожение, хищение и разрушение машинных или других оригиналов носителей информации;
  • хищение ключей (ключевых документов) средств криптографической защиты информации, программных или аппаратных ключей средств защиты информации от несанкционированного доступа;
  • воздействие на обслуживающий персонал и пользователей системы с целью создания благоприятных условий для реализации угроз безопасности информации;
  • диверсионные действия по отношению к объектам безопасности информации (взрывы, поджоги, технические аварии и т.д.).

Радиоэлектронные способы нарушения безопасности информации - включают:

  • перехват информации в технических каналах ее утечки (побочных электромагнитных излучений, создаваемых техническими средствами обработки и передачи информации, наводок в коммуникациях (сети электропитания, заземления, радиотрансляции, пожарной и охранной сигнализации и т.д.) и линиях связи, путем прослушивания конфиденциальных разговоров с помощью акустических, виброакустических и лазерных технических средств разведки, прослушивания конфиденциальных телефонных разговоров, визуального наблюдения за работой средств отображения информации);
  • перехват и дешифрование информации в сетях передачи данных и линиях связи;
  • внедрение электронных устройств перехвата информации в технические средства и помещения;
  • навязывание ложной информации по сетям передачи данных и линиям связи;
  • радиоэлектронное подавление линий связи и систем управления.

Организационно-правовые способы нарушения безопасности информации - включают:

  • закупку несовершенных, устаревших или неперспективных средств информатизации и информационных технологий;
  • невыполнение требований законодательства и задержки в разработке и принятии необходимых нормативных правовых и технических документов в области безопасности информации.

АВТОМАТИЗИРОВАННАЯ СИСТЕМА ОБРАБОТКИ ИНФОРМАЦИИ (АС) - организационно-техническая система, представляющая собой совокупность следующих взаимосвязанных компонентов: технических средств обработки и передачи данных (средств вычислительной техники и связи), методов и алгоритмов обработки в виде соответствующего программного обеспечения, массивов (наборов, баз) данных на различных носителях, персонала и пользователей, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки данных с целью удовлетворения информационных потребностей государственных органов, общественных или коммерческих организаций (юридических лиц), отдельных граждан (физических лиц) и иных потребителей информации;

ИНФОРМАЦИЯ В АС - сведения о фактах, событиях, процессах и явлениях в некоторой предметной области, включенные в систему обработки информации, или являющиеся ее результатом в различных формах представления на различных носителях и используемые (необходимые) для оптимизации принимаемых решений в процессе управления объектами данной предметной области;

ОБРАБОТКА ИНФОРМАЦИИ В АС - совокупность операций (сбор, накопление, хранение, преобразование, отображение, выдача и т.п.), осуществляемых над информацией (сведениями, данными) с использованием средств АС;

СУБЪЕКТЫ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ - государство, государственные органы, государственные, общественные или коммерческие организации (объединения) и предприятия (юридические лица), отдельные граждане (физические лица) и иные субъекты, взаимодействующие с целью совместной обработки информации;

ЖИЗНЕННО ВАЖНЫЕ ИНТЕРЕСЫ - совокупность потребностей, удовлетворение которых необходимо для надежного обеспечения существования и возможности прогрессивного развития субъекта (личности, организации, общества или государства).

ДОСТУПНОСТЬ ИНФОРМАЦИИ - свойство системы, в которой циркулирует информация (средств и технологии ее обработки), характеризующееся способностью обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия;

ЦЕЛОСТНОСТЬ ИНФОРМАЦИИ - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию);

КОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ - субъективно определяемая (приписываемая) информации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней;

УЯЗВИМОСТЬ СУБЪЕКТА ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ - потенциальная подверженность субъекта нанесению ущерба его жизненно важным интересам посредством воздействия на критичную для него информацию, ее носители и процессы обработки;

УЯЗВИМОСТЬ ИНФОРМАЦИИ - подверженность информации воздействию различных дестабилизирующих факторов, которые могут привести к нарушению ее конфиденциальности, целостности, доступности, или неправомерному ее тиражированию;

УГРОЗА ИНТЕРЕСАМ СУБЪЕКТОВ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ - потенциально возможное событие, действие, процесс или явление, которое посредством воздействия на информацию и другие компоненты АС может привести к нанесению ущерба интересам данных субъектов;

УГРОЗА БЕЗОПАСНОСТИ ИНФОРМАЦИИ - потенциально возможное событие, действие, процесс или явление, которое может привести к нарушению конфиденциальности, целостности, доступности информации, а также неправомерному ее тиражированию;

БЕЗОПАСНОСТЬ СУБЪЕКТОВ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ -защищенность субъектов информационных отношений от нанесения им материального, морального или иного ущерба путем воздействия на информацию и/или средства ее обработки и передачи;

БЕЗОПАСНОСТЬ АС (компьютерной системы) - защищенность АС от несанкционированного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, незаконной модификации или разрушения ее компонентов;

БЕЗОПАСНОСТЬ ЛЮБОГО КОМПОНЕНТА (РЕСУРСА) АС - складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности;

Конфиденциальность компонента системы заключается в том, что он доступен только тем субъектам доступа (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.

Целостность компонента предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.

Доступность компонента означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы (ресурсу);

БЕЗОПАСНОСТЬ ИНФОРМАЦИОННОЙ ТЕХНОЛОГИИ - защищенность технологического процесса переработки информации;

БЕЗОПАСНОСТЬ ИНФОРМАЦИИ - защищенность информации от нежелательного (для соответствующих субъектов информационных отношений) ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования;

ДОСТУП К ИНФОРМАЦИИ - ознакомление с информацией (копирование, тиражирование), ее модификация (корректировка) или уничтожение (удаление);

ПРАВИЛА РАЗГРАНИЧЕНИЯ ДОСТУПА - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе;

РАЗГРАНИЧЕНИЕ ДОСТУПА К РЕСУРСАМ АС - это такой порядок использования ресурсов системы, при котором субъекты получают доступ к объектам в строгом соответствии с установленными правилами;

ОБЪЕКТ - пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа;

СУБЪЕКТ - активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа;

АВТОРИЗОВАННЫЙ СУБЪЕКТ ДОСТУПА - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия);

ДОСТУП К РЕСУРСУ - получение субъектом доступа возможности манипулировать (использовать, управлять, изменять характеристики и т.п.) данным ресурсом;

НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа;

НЕСАНКЦИОНИРОВАННОЕ ДЕЙСТВИЕ - действие субъекта в нарушение установленных в системе правил обработки информации;

НАРУШИТЕЛЬ - это лицо (субъект), которое предприняло (пыталось предпринять) попытку несанкционированного доступа к ресурсам системы (попытку выполнения запрещенных ему действий с данным ресурсом) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или с целью самоутверждения и т.п.) и использовавшее для этого различные возможности, методы и средства (чисто агентурные методы получения сведений, технические средства перехвата без модификации компонентов системы, штатные средства и недостатки систем защиты, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ и т.п.);

ЗЛОУМЫШЛЕННИК - нарушитель, действующий умышленно из корыстных побуждений;

СИСТЕМА ЗАЩИТЫ АС (ИНФОРМАЦИИ) - совокупность (комплекс) специальных мер правового (законодательного) и административного характера, организационных мероприятий, физических и технических (программных и аппаратных) средств защиты, а также специального персонала, предназначенных для обеспечения безопасности АС (циркулирующей в АС информации);

ЦЕЛЬ ЗАЩИТЫ АС (ИНФОРМАЦИИ) - предотвращение или минимизация наносимого ущерба (прямого или косвенного, материального, морального или иного) субъектам информационных отношений посредством нежелательного воздействия на компоненты АС, а также разглашения (утечки), искажения (модификации), утраты (снижения степени доступности) или незаконного тиражирования информации;

ПРАВОВЫЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ - действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушения, препятствующие тем самым неправомерному ее использованию и являющиеся сдерживающим фактором для потенциальных нарушителей;

МОРАЛЬНО-ЭТИЧЕСКИЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ - традиционно сложившиеся в стране или обществе нормы поведения и правила обращения с информацией. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний;

ОРГАНИЗАЦИОННЫЕ (АДМИНИСТРАТИВНЫЕ) МЕРЫ ЗАЩИТЫ - это меры, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности циркулирующей в ней информации;

ФИЗИЧЕСКИЕ МЕРЫ ЗАЩИТЫ - это разного рода механические, электро- или электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам АС и защищаемой информации, а также технические средства визуального наблюдения, связи и охранной сигнализации;

ТЕХНИЧЕСКИЕ (АППАРАТНО-ПРОГРАММНЫЕ) СРЕДСТВА ЗАЩИТЫ - различные электронные устройства и специальные программы, входящие в состав АС, которые выполняют (самостоятельно или в комплексе с другими средствами) функции защиты информации (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.);

АДМИНИСТРАТОР БЕЗОПАСНОСТИ - лицо или группа лиц, ответственных за обеспечение безопасности системы, за реализацию и непрерывность соблюдения установленных административных мер защиты и осуществляющих постоянную организационную поддержку функционирования применяемых физических и технических средств защиты;

Секретная информация - речевая информация, информация, циркулирующая в средствах вычислительной техники и связи, телекоммуникациях, а также другие информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, представленные в виде информативных акустических и электрических сигналов, физических полей, материальных носителей (в том числе на магнитной и оптической основе), информационных массивов и баз данных.

Защищаемые объекты информатизации:

  • средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки секретной информации;
  • технические средства и системы, не обрабатывающие непосредственно секретную информацию, но размещенные в помещениях, где обрабатывается (циркулирует) секретная информация;
  • выделенные помещения, предназначенные для ведения секретных переговоров или в которых размещены средства закрытой телефонной связи;

Основные технические средства и системы (ОТСС) защищаемого объекта информатизации - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи секретной информации. К ним могут относиться средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), используемые для обработки секретной информации;

Вспомогательные технические средства и системы (ВТСС) защищаемого объекта информатизации - технические средства и системы, не предназначенные для передачи, обработки и хранения секретной информации, устанавливаемые совместно с ОТСС или в выделенных помещениях.

К ним относятся:

  • различного рода телефонные средства и системы;
  • средства вычислительной техники;
  • средства и системы передачи данных в системе радиосвязи;
  • средства и системы охранной и пожарной сигнализации;
  • средства и системы оповещения и сигнализации;
  • контрольно-измерительная аппаратура;
  • средства и системы кондиционирования;
  • средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания; телевизоры и радиоприемники и т.д.);
  • средства электронной оргтехники;
  • средства и системы электрочасофикации;

Выделенные помещения (ВП) - помещения (служебные кабинеты, актовые залы, конференцзалы и т.д.), специально предназначенные для проведения закрытых мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.) по секретным вопросам, а также помещения, оборудованные средствами правительственной связи, иных видов специальной связи;

Информативный сигнал - электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта секретная информация, передаваемая, хранимая или обрабатываемая в ОТСС и обсуждаемая в ВП;

Контролируемая зона (КЗ) - это пространство, в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.

Границей КЗ могут являться:

  • периметр охраняемой территории предприятия (учреждения);
  • ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

В отдельных случаях на период обработки техническими средствами секретной информации (проведения закрытого мероприятия) КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне;

Зона 2 - пространство вокруг ОТСС, на границе и за пределами которого напряженность электромагнитного поля информативного сигнала не превышает нормированного значения;

Зона 1 - пространство вокруг ОТСС, на границе и за пределами которого уровень наведенного от ОТСС информативного сигнала в ВТСС, а также в посторонних проводах и линиях передачи информации, имеющих выход за пределы контролируемой зоны, не превышает нормированного значения.

Комментарии к статье "Концепция обеспечения безопасности информации в автоматизированной системе организации"
Войдите или зарегистрируйтесь, чтобы оставлять комментарии.
Забыли пароль?