Ярочкин В.И. - Информационная безопасность
.pdf(предприятия) на проведение работ с ука занием конкретного должностного лица, ответственно го за создание СЗИ в целом. В приказе излагаются цели и задачи создания СЗИ в данной организации, определя ются этапы и сроки их выпо лнения, назначаются конкретные до лжностные лица, ответственные за отдельные этапы, о тдельные виды работ. В приказе определяется подразделение или временный творческий (научно -технический) коллектив, который будет вести работы по созданию (совершенствованию ) системы.
Если к работе по созданию СЗИ буду т привлекать ся сторонние организации, в приказе оговаривается способ взаимодействия с ними, а также даю тся необхо димые поручения по его обеспечению.
В соответстви и со сложившейся практикой разработки сложных систем устанавливаю тся следующие стадии:
■предпроектирование работ (обследование и разработка технического задания);
■проектирование (разработка техническо го, рабочего или технорабочего проектов);
■ввод СЗ И в эксплуатацию.
Окончательное решение о стадийности проектиро вания разработки СЗИ определяется на стадии предпроектных работ при разработке ТЗ исхо дя из производствен но-технических условий, экономических возможностей, особенностей СЗИ и испо льзуемых технических средств.
Входе выполнения работ формируется:
■проектная документация — технический, рабочий или технорабочий проект (э тап реализации техно логии СЗИ);
■организационно-распорядительная документация
(разрабатывается по всем этапам).
Одной из о тветственнейших работ является обсле дование объекта защиты (предприятия, организации, фирмы, банка). На данной стадии:
■определяется категория объекта с позиций степени конфиденциальности его информации по важ ности, ценности и секретности;
■обследуются все информационные потоки по виду и
важности информации; ■ оцениваются режимы и техно логия обработки, пере дачи
и хранения подлежащей защите информации;
■оцениваются технические средства обработки информации на всем технологическом цикле на предмет
их опасности и наличия ПЭМИН; ■ определяю тся состав и содержание организаци онных,
организационно-технических и техничес ких мер, реализующих защитные мероприятия.
В результате проведения э тих работ должны быть разработаны: информационная модель организации, структура информационных потоков, классификаторы потенциальных каналов у течки информации и анали тический обзор действующей системы защиты с оценкой ее эффективности, надежности и обеспечения ею необхо димой безопасности.
Комплексный анализ полученных результатов в сочетании с инструментальным обследованием техни ческих средств обработки информации с использованием контрольно-измерительной аппаратуры позволит выявить возможные каналы утечки информации за счет ПЭМИН, оценить способы несанкционированного доступа к техническим средствам и документам.
На этапе разработки определяю тся организационнофункциональная схема СЗИ, порядок и правила работы сотрудников в новых условиях. Предлагаемый к внедрению проект СЗИ по длежит изучению руководством организации и последующей его защите. После этого принимается решение о внедрении разработки в практику деятельности организации. Э ту работу обычно выполняет группа ревизии, приема и контроля.
По завершении всех конструкторских работ СЗИ принимается в опытную э ксплуатацию.
Опытная эксплуатация имеет целью отработку взаимодействия по дразделений и служб в условиях новой технологии, отладку технологического процесса обработки информации и проверку соответствия реализо ванных решений требованиям технического проекта. Опытная эксплуатация проводится на реальных информационных пото ках в соответствии с установленным регламентом.
Завершающей стадией является прием СЗИ в про мышленную эксплуатацию. Для э того создается специальная приемная комиссия. Комиссия составляет акт приемки, в ко тором дается характеристика средствам и мерам защиты , фиксируется их полнота и до статочность, обеспечивающая требуемую степень безопасности. Акт утверждается руководством. На осно вании акта готовится приказ по организации на вво д СЗ И в промышленную эксплуатацию.
Порядок действий по обеспечению безопасности промышленной и коммерческой информации с деталь ным изложением решаемых вопросов, ответственнос ти по их решениям, необхо димых мероприятий, учитывающих специфические особенности и содержание конкретных разрабатываемых документов по основным этапам разработки, приведен в таблице
19.
Таблица содержит в основном организационные мероприятия, содержащие основные направления действий по разработке и обеспечению функционирования СЗИ. Следует о тметить, ч то хотя этот порядо к и типовой, но он носит рекомендательный характер и не претендует на нормативный материал.
Независимо оттого, насколько хорошо разработаны технические и организационные меры безопасности, они в конце концов основываются на человеческой деятель ности, в которой возможны ошибки и злой умысел. Если отдельный со трудник обманет доверие, то никакая сис тема безопасности и секретности не сможет предо твра тить неправомерное овладение информацией.
Для обеспечения уверенности в том, что данная организация успешно поддерживает функционирова ние системы безопасности, применяются различные методы проверки. Это регу лярные независимые инспекции и ревизии, а также проверочные комиссии, включающие представителей всех участвующих в работе с конфиденциальной информацией.
Так как ни одна из форм не является идеальной, то общий контроль за деятельностью системы защиты и ее функционированием должен осуществлять высший орган
ПОРЯДОК ДЕЙСТВИЙ ПО ОБЕСПЕЧЕНИЮ
Этапы |
1. АНАЛИЗ |
2. АНАЛИЗ |
3. ОЦЕНКА |
4. |
5. ОЦЕНКА затрат |
|
|
|
состава и |
ценности |
у язвимости |
ИССЛЕДОВАНИЕ |
на разработку |
|
|
содержания |
информации |
информации |
действу ющей |
новой системы |
|
|
конфиденциальной |
|
|
системы защиты |
защиты |
|
|
информации |
|
|
информации |
информации |
|
|
Какие сведения |
Какие виды |
Какие каналы |
Какие меры |
Какова стоимость |
|
|
следу ет охранять? |
информации |
утечки |
безопасности |
новой системы |
решать? |
|
Кого интересу ют |
имеются? Какова |
информации |
использу ются? |
защиты? Какой |
|
охраняемые |
ценность каждого |
имеются? Какова |
Какой у ровень |
у ровень |
|
|
|
|||||
|
|
сведения и когда? |
вида информации? |
степень |
организации |
организации новой |
надо |
|
Почему они |
Какая защита |
у язвимости |
защиты |
системы? Какая |
|
ну ждаются в |
необходима для |
каналов у течки? |
информации ? |
стоимость |
|
|
|
|||||
вопросы |
|
полу чении этих |
каждого вида |
Насколько |
Какова стоимость |
досту пна и какая |
|
|
|
информации при |
информации? |
полу чен при новой |
|
|
|
сведений? |
информации ? |
у меньшится |
досту пных мер |
велика? Какой |
|
|
|
|
у язвимость |
защиты |
выигрыш бу дет |
Какие |
|
|
|
использовании |
Какова |
системе? |
|
|
|
системы и средств |
эффективность |
|
|
|
|
|
|
|
||
|
|
|
|
защиты? |
действу ющей |
|
|
|
|
|
|
системы защиты |
|
|
|
|
|
|
информации? |
|
Ответств |
енные исполни тели |
Ру ководство |
Администрация |
Специалисты |
Администрация, |
Администрация, |
организации, |
|
отдела |
линейное |
финансово- |
||
|
|
|
||||
|
|
предприятия |
|
безопасности |
ру ководство, отдел |
плановая служба |
|
|
|
|
|
безопасности |
|
|
|
|
|
|
|
|
|
|
Обеспечить |
Установить |
Составить |
Составить |
Разработать план |
|
|
изу чение вопросов |
правовые и |
перечень каналов |
аналитический |
реализации |
мероприятиянеобходимо |
провести? |
состояния |
законодательные |
утечки |
обзор |
замысла на |
Проверить |
вида информации |
охраняемые |
|
|
||
|
|
секретности и |
требования. |
информации. |
действу ющей |
создание новой |
|
|
защиты |
Разработать |
Составить |
системы защиты |
системы защиты |
|
|
информации. |
принципы |
перечень у язвимых |
информации. |
информации. |
|
|
Составить |
определения |
помещений. |
Оценить затраты и |
Изыскать |
|
|
подробный об зор |
ценности |
Установить |
степень риска при |
необходимые |
|
|
всех |
информации. |
приоритеты |
действу ющей |
ресу рсы |
|
|
информационных |
Определить |
информации и |
системе защиты |
|
|
|
потоков. |
ценность каждого |
определить |
информации |
|
Какие |
|
обоснованность и |
|
сведения. |
|
|
|
необходимость |
|
Классифицировать |
|
|
|
|
|
информационных |
|
информацию по |
|
|
|
|
потоков |
|
приоритетам и |
|
|
|
|
|
|
ценности |
|
|
|
|
Оценить |
Законодательну ю |
Распределение |
Усиление |
Установить |
|
|
необходимость |
ответственность |
приоритетов |
безопасности не |
требования по |
особеннонужно |
|
накопленной |
администрации за |
информации, |
остановит |
финансированию и |
учитывать? |
информации |
безопасность |
требу ющей |
злоу мышленника. |
его источники |
|
|
информации. |
защиты, пу тем |
Что новая |
|
||
|
Степень у щерба |
определения |
технология может |
|
||
|
|
|
при раскрытии, |
относительной |
быть эффективнее |
|
|
|
|
потере, ошибках в |
у язвимости и |
по критерию |
|
Что |
|
|
информации. |
степени |
эффективность/сто |
|
|
|
Наличие |
секретности |
имость |
|
|
|
|
|
нормативных |
|
|
|
|
|
|
доку ментов |
|
|
|
|
|
|
|
|
|
|
|
|
Информационная |
Стру кту ра |
Классификатор |
Аналитический |
Средства СЗИ. |
документыКакие |
разрабатываются? |
модель |
классификации |
информации. |
обзор |
Бюджет на |
организации, |
информации. |
Классификатор |
действу ющей СЗИ |
разработки. |
||
|
|
предприятия |
Принципы |
каналов у течки |
и ее безопасность |
Внедрение и |
|
|
|
классификации |
информации. |
|
сопровождение |
|
|
|
информации. |
|
|
новой СЗИ. |
|
|
|
Законодательные |
|
|
|
|
|
|
требования, |
|
|
|
|
|
|
инстру кции, |
|
|
|
|
|
|
нормы |
|
|
|
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ |
Таблица 19 |
||||
|
|
|
|
|
|
6. ОРГАНИЗАЦИЯ |
7. ЗАКРЕПЛЕНИЕ |
8. РЕАЛИЗАЦИЯ |
9. СОЗДАНИЕ |
|
10. КОНТРОЛЬ И |
мер защиты |
персональной |
технологии зашиты |
обстановки |
|
ПРИЕМ в |
информации |
ответственности за |
информации |
сознательного |
|
эксплу атацию повой |
|
защиту информации |
|
отношения к защите |
системы защиты |
|
|
|
|
информации |
|
|
Какие появляются |
Какие конкретные |
Каков приоритет |
Ориентирована ли |
Какой должен быть |
|
новые фу нкции? |
сотру дники имеют |
секретной |
политика |
|
состав специальной |
Какой потребу ется |
досту п к |
информации и |
организации на |
|
гру ппы приема |
новый персонал? |
охраняемым |
изделия? Какие |
защиту |
|
системы? Имеются |
Какая |
сведениям? |
дополнительные |
информации? |
|
ли стандарты |
квалификация |
Проверены ли эти |
ресу рсы |
Имеется ли |
|
безопасности и |
необходима для |
сотру дники на |
потребу ются? Кто |
программа |
|
секретности |
выполнения новых |
благонадежность? |
отвечает за |
подготовки и |
|
информации? |
обязанностей? |
|
согласование |
обу чения |
|
Насколько |
|
|
проекта СЗИ с |
сотру дников |
|
эффективна новая |
|
|
партнерами? |
организации в новых |
система защиты |
|
|
|
Замысел реализации |
у словиях работы с |
инфор мации? Какие |
|
|
|
проекта |
СЗИ? |
|
у лу чшения можно |
|
|
|
|
|
произвести? |
|
|
|
|
|
|
Администрация, |
Линейное |
Администрация, |
Линейное |
|
Гру ппа ревизии, |
линейное |
ру ководство, отдел |
гру ппа реализации |
ру ководство, отдел |
приема и контроля |
|
ру ководство, отдел |
безопасности |
проекта, отдел |
безопасности, |
|
работы СЗИ |
безопасности |
|
безопасности, |
ответственные за |
|
|
|
|
линейное |
безопасность |
|
|
|
|
ру ководство |
информации |
|
|
Определить |
Проверить |
Разработать планы |
Разработать |
|
Утвердить состав |
ответственность за |
персонал, |
реализации проекта |
программы |
|
гру ппы ревизии. |
безопасность |
обрабатывающий |
новой системы |
подготовки |
|
Рассмотреть |
информации в |
секретну ю |
защиты |
сотру дников. |
|
законодательные |
каждом |
информацию. |
информации. |
Оценить личные |
требования. |
|
подразделении. |
Подготовить |
Определить |
качества |
|
Переоценить |
Подготовить |
перечни секретных |
контрольные сроки |
сотру дников по |
|
у язвимость |
инстру кции по |
сведений для всех |
и позиции их |
обеспечению |
|
информации и |
организации |
сотру дников |
выполнения |
безопасности |
|
степень риска. |
защиты |
|
|
информации |
|
Оценить точность и |
информации |
|
|
|
|
полноту реализации |
|
|
|
|
|
проекта |
|
|
|
|
|
|
Важность |
Необходимость |
Полноту реализации |
Необходимость |
|
Оценить реальну ю |
организационных |
регу лярного |
требований новой |
комплексной |
|
эффективность |
мер зашиты |
контроля за работой |
системы защиты |
защиты |
|
новой системы |
информации |
системы защиты |
информации |
информации. |
|
защиты. |
|
информации |
|
Сознательное |
|
Необходимость |
|
|
|
отношение к защите |
систематического |
|
|
|
|
информации и бди- |
контроля за работой |
|
|
|
|
тельность всего |
|
СЗИ |
|
|
|
персонала |
|
|
|
|
|
|
|
|
Организационно |
Профили |
Подробный бюджет |
Ру ководство по |
|
Программа обу чения |
фу нкциональная |
секретности |
проекта новой СЗИ |
защите |
|
сотру дников. Отчет |
схема СЗИ. |
сотру дников и |
|
конфиденциальной |
и рекомендации, |
|
Порядок и правила |
линейных |
|
информации |
|
выработанные |
работы в новых |
подразделений |
|
|
|
гру ппой ревизии |
у словиях |
|
|
|
|
|
|
|
|
|
|
|
руководства организации (предприятия) через специаль ные подразделения обеспечения безопасности.
Оценка эффективности защиты должна осуществ ляться в соответствии с принципом комплексности и включать:
установление на основе комплексно го подхо да со става проверяемых мер и средств: воспрещения, исключения несанкционированного доступа, режим;
проверку организационно-режимных мероприятий;
проверку категории объекта;
проверку эффективности защиты информации;
проверку воспрещения несанкционированного доступа;
составление акта комплексной проверки;
разработку рекомендаций по совершенствованию защиты (устранению установленны х в процессе контроля недостатков).
На конкретных объектах при контроле эффектив ности защиты , обеспечиваемой конкретными СЗ И, может иметь место значительное разнообразие задач проверки. Так, на одном объекте может быть достаточ но осуществить проверку эффективности экранирования, на другом — проверить эффективность шумовой защиты , а на третьем — необ хо димо убедиться, ч то из лучения ПЭМИН могут быть приняты за пределами охраняемой территории организации (предприятия). То же имеет место и при проверке эффективности защи ты информации от несанкционированного доступа : на о дном объекте испо льзуется, например, монопольный режим обработки подлежащей защите информации, а на другом — программная система защиты информации. Все это означает, что работа по контролю эффективности защиты должна начинаться с определения состава проверяемых мер и средств. Кроме того, орга - низационно-режимные средства и мероприятия долж ны иметь преимущественное значение по о тношению к другим мерам и средствам защиты, поскольку их соста в и эффективность оказывают определяющее действие на эффективность защиты о т несанкциони рованного доступа. Это связано с тем, что при непра - вильном определении степени конфиденциальности за щищаемой информации может оказаться неэффективным как воспрещение , так и защита от НСД. Иначе говоря, необ ходимо начинать контроль эффективности защиты с контроля организационно -режимных мер и средств защиты. Далее последовательность проверки может быть произвольной. Рабо ты по проверке эффективности
противодействия и защиты о т НСД проводятся параллельно, поскольку на практике могут осуще ствляться то лько разными группами специалистов.
Организация и проведение контроля организаци онных мероприятий осуществляется с целью выявления нарушений требований соответствующей инструкции по обеспечению режима, которая действует на данном объекте, а также того, как данная инструкция и действующие по ней исполнители предо твращаю т возникновение нарушений. При подготовке к провер ке целесообразно на основе анализа составить пере чень возможных нарушений, что может оказать существенную помощь в организации контроля.
Эффективность защиты объекта обеспечивается, как известно, в соответствии с категорией его важности. В свою очередь, категория важности определяется в соответствии с грифом защищаемой информации. Поэтому после проведения организационно-режимных мероприятий (работ по проверке точности уста новления грифа защищаемой информации) можно провести проверку правильности категорирования объекта . Если при этом категория объекта оказалась неправильно определенной (заниженной), а защита на объекте реализована в точном соответствии с категорией, то защиту следует считать неэффективной.
Контроль эффективности защиты информации от утечки за счет ПЭМИН предусматривает проведение работ с использованием определенной контрольно-измерительной аппаратуры в соответствии с существу ющими методиками. Э тот контроль имеет целью определить наличие каналов утечки информации и их уро - вень за пределами о храняемой территории объекта.
Особое внимание при оценке эффективности систе мы защиты техническими средствами необ хо димо обратить на их надежность и безотказность. При их эксплуа тации имеют место поломки, сбои, отказы, вследствие чего они не обеспечивают выполнение задачи защиты . Отсю да задача обеспечения надлежащей надежности технических средств обретает значительную важность, так как уро - вень, качество и безопасность защиты находятся в пря мой зависимости о т надежности технических средств.
Приложение 1
Гостехкомиссия России. Руководящий документ Защита от несанкционированного Доступа к информации. Термины и Определения
Приложение 2
Доктрина информационной безопасности Российской Федерации
Приложение 3
Перечень сведений, отнесенных к государственной тайне. Указ президента российской федерации о перечне сведений, отнесенных к государственной тайне. 24 января 1998 го да № 61
Приложение 4
Указ президента российской федерации. Об утверждении перечня сведений конфиденциального характера
Приложение 5 |
|
|
|
Положение о |
лицензировании деятельности по |
||
те хнической |
защите |
конфиденциальной |
информации. |
Постановление Правительства Российской Федерации о т 30 апреля 2002 г. № 290 г. Москва
Приложение 6
ИНСТРУКЦИЯ
по защите конфиденциальной информации при работе с зарубежными партнерами
1.Общие положения
1.2.Настоящая Инструкция определяет порядок работы с зарубежными партнерами. Положениями настоящей Инструкции необхо димо руководствовать ся также и при контактах с
представителями совместных предприятий и с представителями конкурирующих фирм и организаций.
1.3.При работе с зарубежными партнерами также следует руководствоваться положениями «Инструкции по защите коммерческой тайны».
1.4.Инструкция устанавливает режим работы с иностранцами
сцелью защиты конфиденциальной информации.
1.5.Под работой с иностранцами следует понимать совокупность всех видов деятельности при контактах с
иностранными компаниями, фирмами (переписка, телефонные разговоры, передача телексных и факси мильных сообщений) либо личных встреч с их представителями по служебным делам.
1.6. Ответственность за организацию работы с за рубежными партнерами и соблюдение требований настоящей Инструкции несут руководство, служба безопасности и руководители соответствующих структурных по дразделений фирмы.
1.7.Для работы с зарубежными партнерами еже годно составляю тся списки сотрудников, выделенных для э той работы.
2.Основания д ля работы с зарубежными партнерами
2.2.Основанием для работы с зарубежными партнерами по
служебной необходимости являю тся: планы .» международных научно-технических связей, заключенные контракты и протоколы , соглашения об установле нии прямых произво дственных, научно - технических связей, решения о совместной деятельности, а также инициатива самих зарубежных представителей и пред ставителей российской стороны.
2.3. Решение о приеме иностранцев принимается генеральным директором или его заместителями по представлениям
руководителей структурных по дразде лений, согласованных с отделом по международным связям, службой безопасности, техническим отделом и отделом документационного обеспечения.
2.4. Основанием для командирования сотрудников за рубеж служит решение генерального директора или его заместителей, выносимое на основании представляемых руководителями соответствующих отделов материалов, оформленных в установленном порядке. Принятое реше ние излагается письменно непосредственно на докладной записке, представляемой в установленные сроки.
2.5. В докладной записке о тражаются следующие сведения: цель выезда; страна командирования и принимающая организация (фирма); срок командирования; условия финансирования поездки; фамилия, имя, о тчество и занимаемая должность командируемых.
3.Формы работы с зарубежными партнерами
3.1.Прием зарубежных делегаций
3.1.1.Прием приглашенных зарубежных делегаций осуществляется на основе у твержденных программ, составляемых по установленной форме, а также сметы расхо дов по приему.
|
Программы пребывания приглашенных зарубежных делегаций |
|||
и |
сметы |
расходов |
составляются |
соответству ющими |
подразделениями, о твечающими за прием, |
согла совываются с |
отделом международных связей, службой безопасности и утверждаю тся генеральным директором.
Ответственным за выполнение программы пребывания иностранной делегации является руководитель соответствующего отдела.
3.2.Организация деловых встреч (переговоров)
3.2.1.Деловые встречи с зарубежными партнерами организуются на основе заявок, оформленных coответствующими отделами, о твечающими за прием по установленной форме.
3.2.2.Заявки согласовываются с руководителем отдела международных связей, службой безопасности, отделом технического обеспечения и утверждаются генеральным
директором или его заместителями.
3.2.3.Переводчиков на деловые встречи приглашает отдел, принимающий зарубежных представителей.
3.2.4.Для участия в деловых встречах с зарубежными партнерами, как правило, привлекаю тся специ алисты из числа