ИБ

ческие, программные и другие средства и системы, разработанные и предназначенные для защиты конфиденциальной информации, а также средства, устройства и системы контроля эффективности защиты информации.

Технические средства защиты информации — устройства (приборы), предназначенные для обеспечения защиты информации, исключения ее утечки, создания помех (препятствий) техническим средствам доступа к информации, подлежащей защите.

Криптографические средства защиты информации — средства (устройства), обеспечивающие защиту конфиденциальной информации путем ее криптографического преобразования (шифрования).

Программные средства защиты информации — системы защиты средств автоматизации (персональных электронно-вычислительных машин и их комплексов) от внешнего (постороннего) воздействия или вторжения.

Эффективное решение задач организации защиты информации невозможно без применения комплекса имеющихся в распоряжении руководителя предприятия соответствующих сил и средств. Вместе с тем определяющую роль в вопросах организации защиты информации, применения в этих целях сил и средств предприятия играют методы защиты информации, определяющие порядок, алгоритм и особенности использования данных сил и средств в конкретной ситуации.

Методы защиты информации — применяемые в целях исключения утечки информации универсальные и специфические способы использования имеющихся сил и средств (приемы, меры, мероприятия), учитывающие специфику деятельности по защите информации.

Общие методы защиты информации подразделяются на правовые, организационные, технические и экономические.

Методы защиты информации с точки зрения их теоретической основы и практического использования взаимосвязаны. Правовые методы регламентируют и всесторонне нормативно регулируют деятельность по защите информации, выделяя, прежде всего, ее организационные направления. Тесную связь организационных и правовых методов защиты информации можно показать на примере решения задач по исключению утечки конфиденциальной информации, в частности относящейся к коммерческой тайне предприятия, при его взаимодействии с различными государственными и территориальными инспекторскими и надзорными органами. Эти органы в соответствии с предоставленными им законом полномочиями осуществляют деятельность по получению (истребованию), обработке и хранению информации о предприятиях и гражданах (являющихся их сотрудниками).

Передача информации, в установленном порядке отнесенной к коммерческой тайне или содержащей персональные данные работника предприятия, должна

осуществляться на основе договора, предусматривающего взаимные обязатель-

ства сторон по нераспространению (неразглашению) этой информации, а также необходимые меры по ее защите.

Организационные механизмы защиты информации определяют порядок и условия комплексного использования имеющихся сил и средств, эффективность которого зависит от применяемых методов технического и экономического характера.

Технические методы защиты информации, используемые в комплексе с организационными методами, играют большую роль в обеспечении защиты информации при ее хранении, накоплении и обработке с использованием средств автоматизации. Технические методы необходимы для эффективного применения имеющихся в распоряжении предприятия средств защиты информации, основанных на новых информационных технологиях.

Среди перечисленных методов защиты информации особо выделяются организационные методы, направленные на решение следующих задач:

реализация на предприятии эффективного механизма управления, обеспечивающего защиту конфиденциальной информации и недопущение ее утечки;

осуществление принципа персональной ответственности руководителей подразделений и персонала предприятия за защиту конфиденциальной информации;

определение перечней сведений, относимых на предприятии к различным категориям (видам) конфиденциальной информации;

ограничение круга лиц, имеющих право доступа к различным видам информации в зависимости от степени ее конфиденциальности;

подбор и изучение лиц, назначаемых на должности, связанные с конфиденциальной информацией, обучение и воспитание персонала предприятия, допущенного к конфиденциальной информации;

организация и ведение конфиденциального делопроизводства;

осуществление систематического контроля за соблюдением установленных требований по защите информации.

28. Методы и средства обнаружения уязвимостей в корпоративных компьютерных сетях.

Корпоративные сети — сети масштаба предприятия, корпорации. Поскольку эти сети обычно используют коммуникационные возможности Интернета, территориальное размещение для них роли не играет. Корпоративные сети относят к особой разновидности локальных сетей, имеющей значительную территорию

охвата. Сейчас корпоративные сети весьма активно развиваются и их часто называют сетями интранет.

Интранет (интрасеть) — это частная внутрифирменная или межфирменная компьютерная сеть, обладающая расширенными возможностями благодаря за- действо-ванию в ней технологий Интернета, имеющая доступ в сеть Интернет, но защищенная от обращений к своим ресурсам со стороны внешних пользовате-

лей. Ее можно определить и как систему хранения, передачи, обработки и доступа к межфирменной и внутрифирменной информации с использованием средств локальных сетей и сети Интернет.

В настоящее время не существует каких-либо стандартизированных методик анализа защищенности АС, поэтому в конкретных ситуациях алгоритмы действий аудиторов могут существенно различаться. Однако типовую методику анализа защищенности корпоративной сети предложить все-таки возможно. И хотя данная методика не претендует на всеобщность, ее эффективность многократно проверена на практике.

Типовая методика включает использование следующих методов:

Изучение исходных данных по АС;

Оценка рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС;

Анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности и оценка их соответствия

требованиям существующих нормативных документов, а также их адекватности существующим рискам;

Ручной анализ конфигурационных файлов маршрутизаторов, МЭ и прок- си-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры;

Сканирование внешних сетевых адресов ЛВС из сети Интернет; Сканирование ресурсов ЛВС изнутри;

Анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств.

Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты. Активное тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника по преодолению механизмов защиты. Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную либо с исполь-

зованием специализированных программных средств.

Обнаружением уязвимостей занимаются системы анализа защищенности - сканеры безопасности или системы поиска уязвимостей. Они проводят всесторонние исследования заданных систем с целью обнаружения уязвимостей, которые могут привести к нарушениям политики безопасности. Результаты, по-

лученные от средств анализа защищенности, представляют "мгновенный снимок" состояния защиты системы в данный момент времени.

Несмотря на то, что эти системы не могут обнаруживать атаку в процессе ее развития, они могут определить потенциальную возможность реализации атак.

Технология анализа защищенности является действенным методом реализации политики сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.

Средства анализа защищенности

Системы анализа защищенности могут быть классифицированы по типам обнаруживаемых ими уязвимостей.

Системы анализа защищенности второго и третьего классов получили наибольшее распространение среди конечных пользователей. Существует несколько дополнительных классификаций этих систем. Например, системы анализа исходного текста и исполняемого кода тестируемого программно-аппаратного обеспечения и т.д. Первые также применяются обычно при сертификации программного обеспечения по требованиям безопасности. В большинстве случаев программное обеспечение поставляется в организации без исходных текстов. Кроме того, анализ исходных текстов требует высокой квалификации от обслуживающего их персонала. Отсутствие эффективных систем анализа исходных текстов не позволяет проводить такой анализ на качественном уровне. Именно поэтому большой интерес вызывают системы поиска уязвимостей в исполняемом коде, самым распространенным подклассом которых являются системы имитации атак, которые моделируют различные несанкционированные воздействия на компоненты информационной системы. Именно эти системы получили широкую известность во всем мире ввиду своей относительной простоты и дешевизны. Посредством таких имитаторов обнаруживаются уязвимости еще до того, как они будут использованы нарушителями для реализации атак. К числу систем

данного класса можно отнести SATAN, Internet Scanner, Cisco Secure Scanner и т.д. Системы анализа защищенности могут быть использованы:

•для оценки уровня безопасности организации;

•для контроля эффективности настройки сетевого, системного и прикладного программно-аппаратного обеспечения;

•внешними аудиторскими и консалтинговыми компаниями, осуществляющими информационные обследования сетей заказчиков;

•для тестирования и сертификации того или иного программно-аппаратного обеспечения.

29. Лицензирование и сертификация в области защиты информации.

Лицензированием в области защиты информации называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Государственная политика в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности».

Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.

Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом.

Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют:

•государственные органы по лицензированию;

•лицензионные центры;

•предприятия-заявители.

Государственные органы по лицензированию:

•организуют обязательное государственное лицензирование деятельности предприятий;

•выдают государственные лицензии предприятиям-заявителям;

•согласовывают составы экспертных комиссий, представляемые лицензионными центрами;

• осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации.

Лицензионные центры:

•формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ;

•планируют и проводят работы по экспертизе предприятий-заявителей;

•контролируют полноту и качество выполненных лицензиатами работ.

Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.

Лицензированию подлежат следующие виды деятельности (в области защиты информации):

•деятельность по распространению шифровальных (криптографических) средств;

•деятельность по техническому обслуживанию шифровальных (криптографических) средств;

•предоставление услуг в области шифрования информации;

•разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

•деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации;

•деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

Сертификация СЗИ – деятельность по подтверждению характеристик СЗИ требованиям государственных стандартов или иных нормативных документов по ЗИ. Сертификат защиты – документ, удостоверяющий соответствие средства

вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и

дающий право разработчику на использование и/или распространение их как защищенных.

Комплексные системы защиты информации.1. Подача и рассмотрение заявки на сертификацию. Заявки принимаются от заявителей, имеющих лицензии на производство СКЗИ. В заявке указывается схема проведения сертификации

инаименования стандартов и иных НД, на соответствие требованиям которых должна проводиться сертификация. Орган по сертификации в месячный срок после получения заявки направляет заявителю решение.

2.Испытания сертифицируемой продукции. Проводятся на изделиях, аналогичных изделиям, предоставляемым потребителям. Количество изделий, порядок

исроки проведения испытания устанавливаются договором между заявителем и ИЛ, результаты оформляются протоколом, который отправляется органу по сертификации. Орган оценивает результаты и выносит решение о выдаче (отказе в выдаче) сертификата.

3.Оформление, регистрация и выдача сертификата соответствия. Сертификат выдаётся ФСБ сроком действия не более 3 лет. При внесении изменений, которые могут повлиять на характеристики СКЗИ, заявитель извещает ФСБ и орган по сертификации. ФСБ принимает решение о необходимости проведения новых сертификационных испытаний.

4.Информирование о результатах сертификации. ФСБ проводит учет сертифицированной продукции и создает фонды сертификатов соответствия и организационно-методических документов по сертификации продукции. ФСБ организует периодическую публикацию материалов о работах по сертификации (перечень сертифицированных СКЗИ, органов по сертификации, ИЛ).

5.Рассмотрение апелляций. В случае несогласия с результатами сертификации заявитель подаёт в ФСБ апелляцию, которая рассматривается в месячный срок с привлечением заинтересованных сторон.

Под аттестацией объектов информатизации (ОИ) понимается комплекс ор- ганизационно-технических мероприятий, в результате которых посредством 378 специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по БИ, утвержденных ФСТЭК. Наличие на ОИ действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфи-

денциальности) на установленный период времени.

30. Комплексные системы защиты информации.

Комплексная система защиты информации – это система, полно и всесто-

ронне охватывающая все предметы, процессы и факторы, которые обеспечивают безопасность всей защищаемой информации.

Функциями КСЗИ будут функции защиты, то есть совокупность однород¬- ных функциональных отношений и мероприятий, регулярно осуществляемых на предприятии с целью создания, поддержания и обеспечения условий, необходи¬- мых для защиты информации.

Комплексность имеет три назначения:

Первое назначение состоит в объединении в одно целое локальных СЗИ, при этом они должны функционировать в единой «связке». В качестве локальных СЗИ могут быть рассмотрены, например, виды защиты информации: правовая, организационная, инженерно-техническая.

Второе назначение комплексности обусловлено назначением самой системы. Система должна объединить логически и технологически все составляющие защиты. Но она не рассматривает полноту этих составляющих, не учитывает всех факторов, которые оказывают или могут оказывать влияние на качество защиты.

Третье назначение комплексности состоит в том, что система должна обеспечивать безопасность всей совокупной информации, подлежащей защите, и при любых обстоятельствах. Это означает, что должны защищаться все носители информации во всех компонентах ее сбора, хранения, передачи и использования, в любое время и при всех режимах функционирования системы обработки информации.

Перед КСЗИ стоят следующие задачи:

•прогнозирование, своевременное выявление и устранение угроз безопасности персоналу и ресурсам коммерческого предприятия, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

•отнесение информации к категории ограниченного доступа (служебной и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов — к различным уровням уязвимости (опасности), подлежащих сохранению;

•создание механизма и условий оперативного реагирования на /грозы безопасности проявления негативных тенденций в функционировании предприятия;

•эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых организационных и инженерно-технических мер и средств обеспечения безопасности;

• создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности предприятия.

Обеспечение безопасности предприятия должно основываться на следующих основных принципах: системности; комплексности; своевременности; непрерывности защиты; разумной достаточности; гибкости; специализации; взаимодействия и координации — должно осуществляться планирование; совершенствования; централизации и управления (процесс управления всегда централизован); активности; экономической эффективности; простоты применяемых защитных мер и средств.

(БОЛЬШЕ В 5 FAQ)