- •Комплексная система защиты информации на объектах информатизации Системный подход при комплексной защите информации Объект информатизации как объект защиты
- •Системность и комплексность защиты информации
- •Структурная схема построения ксзи
- •Структурная схема построения ксзи
- •Макроструктурные компоненты ксзи Функциональные подсистемы
- •Обеспечивающие подсистемы
- •3.3 Технологическое обеспечение ксзи
- •3.4 Управление информационной безопасностью
- •4 Подсистема информационного обеспечения ксзи
- •Литература
- •Условные обозначения
Обеспечивающие подсистемы
Реализация задач защиты информации функциональных подсистем должна быть обеспечена соответствующими средствами и мерами, которые интегрируются в обеспечивающие подсистемы КСЗИ. Обеспечивающие подсистемы выделяются по признакам однородности средств, общности методов и специализации сфер, обеспечивающих решение функциональных задач защиты. Объединение средств реализации функциональных задач защиты по видовому признаку способствует их эффективному выбору с точки зрения нейтрализации угроз информации в различных средах (программно-технической, телекоммуникационной, в ручном контуре АС, при организации работ на ОИ). Такой подход позволяет также комбинировать средствами и мерами защиты для получения нужного результата по защите при приемлемых затратах, а также обеспечивает специализацию работ при проектировании и эксплуатации КСЗИ.
Обеспечивающая подсистема КСЗИ – совокупность мер и средств реализации функциональных задач защиты информации, однородных по своей природе или относящихся к определённой сфере обеспечения условий для реализации функциональных задач защиты информации.
В общем случае обеспечивающая подсистема КСЗИ включает в себя обеспечивающие меры и средства (СрЗ), которые выполняют соответствующие им обеспечивающие задачи: непосредственную программную, аппаратную или организационную реализацию функциональных задач защиты, реализацию определённого порядка настройки, использования, эксплуатации средств защиты и ИТ, организации и регламента их работы и т.д.
Целесообразно выделить следующие направления для формирования обеспечивающих подсистем КСЗИ (выбора средств реализации функциональных задач защиты и постановки обеспечивающих задач):
инфраструктура реализации функциональных задач защиты информации в АС;
нормативно-правовая поддержка функционирования КСЗИ;
структурно-технологическая и организационно-техническая поддержка функционирования средств защиты.
Инфраструктура реализации функциональных задач защиты информации в АС. Функциональные задачи защиты информации в АС реализуются непосредственно в технологических процессах автоматизированной обработки и передачи информации, следовательно, в компьютерной и телекоммуникационной среде. Для их решения используются различные виды (группы) методов и средств, которые являются реализационной инфраструктурой функционала КСЗИ:
программные изделия (отдельные программы, самостоятельные программные комплексы или вложенные программные компоненты, реализующие функции защиты в программных продуктах общесистемного или специального назначения);
технические устройства и аппаратные изделия (отдельные технические устройства или встраиваемые в компьютерное и телекоммуникационное оборудование аппаратные блоки, реализующие определённый набор функций защиты информации);
математические методы решения функциональных задач защиты информации (модели и алгоритмы реализации функций защиты, математический аппарат их реализации);
криптографические методы решения функциональных задач защиты (алгоритмы шифрования информации и цифровой подписи, методы изготовления и ведения ключей для шифрования, аутентификации и разграничения доступа, математический аппарат для их реализации);
специальные базы данных КСЗИ (парольная и ключевая документация, матрицы доступа или представленные в другой форме сведения по управлению разграничением доступа, регистрационные показатели и сведения по мониторингу и аудиту состояния информационной безопасности, классифицированная информация по попыткам нарушений и отождествляемым с ними реакциями КСЗИ и другие специальные сведения);
языковые средства, предназначенные для реализации функциональных задач защиты в технологических процессах обработки и передачи информации.
В этот перечень возможно включение и других видов методов и средств реализации функциональных задач защиты. Из их числа для КСЗИ выбираются (приобретаются, создаются новые, настраиваются) конкретные средства и разрабатываются ориентированные на средства меры для решения функциональных задач защиты, которые интегрируются в обеспечивающие подсистемы.
Определение и обоснование состава обеспечивающих подсистем для конкретного ОИявляется отдельно решаемой задачей проектирования КСЗИ ОИ с определённым набором эксплуатируемых АС и с их общесистемной и специальной программно-аппаратной инфраструктурой. Однако, можно выделить типовой набор обеспечивающих подсистем КСЗИ, учитывая включённые в выше предложенный перечень виды используемых методов и средств и подходы выделения обеспечивающих подсистем в любой автоматизированной системе [11].:
подсистема программного обеспечения защиты информации;
подсистема технического обеспечения защиты информации;
подсистема математического обеспечения защиты информации;
подсистема криптографического обеспечения защиты информации;
подсистема информационного обеспечения КСЗИ;
подсистема лингвистического обеспечения КСЗИ.
Следует отметить, что в практике создания и производства средств защиты информации широко используется разработка программно-аппаратных комплексов (ПАК) как отдельных устройств выполнения определённого набора функций назначения по защите информации АС, реализуемых совокупностью программных и аппаратных средств, математических или криптографических методов. Этот факт необходимо учитывать при рассмотрении структуры обеспечивающей части КСЗИ, в особенности при разработке схемы деления системы защиты.
Нормативно-правовая поддержка функционирования КСЗИ. Нормативно-правовая поддержка функционирования КСЗИ является общесистемной обеспечивающей составляющей информационной сферы ОИ, предназначенной для формирования нормативно-правовой документированной базы информационных отношений в части накопления, хранения, обработки, передачии использования защищаемой информации на объекте и при внешнем информационном обмене. Нормативно-правовая поддержка функционирования КСЗИ реализуется комплексной подсистемой нормативно-правового обеспечения КСЗИ.
Подсистема нормативно-правового обеспечения КСЗИ– совокупность норм, правил, регламентов и требований, устанавливающих на ОИ и в процессах внешнего информационного обмена обязательный порядок информационных отношений между субъектами, отношений доступа субъектов к информационным объектам и к техническим ресурсам АС при работе с защищаемой информацией.
Информационные отношения и отношения доступа рассматриваются при реализации всех технологических процессов обработки и передачи защищаемой информации. Должны учитываться особенности компьютерной и телекоммуникационной среды, в которой они выстраиваются. Порядок реализации отношений материализуется в виде необходимого и достаточного набора официальных документов – стандартов, руководящих документов, приказов, положений, инструкций, протоколов и других видов документов. На основании этих документов осуществляется проектирование и эксплуатация КСЗИ, выполнение информационных работ, настройка средств защиты информации на установленный штатный режим функционирования.
Все документы, входящие в нормативно-правовое обеспечение КСЗИ, не должны противоречить законодательным актам в области информационных технологий.
К документам нормативно-правового обеспечения, прежде всего, относятся международные и государственные стандарты, ведомственные требования, официальные руководящие документы по разработке и применению средств защиты информации, созданию систем защиты информации.
Разрабатываемые в ходе создания КСЗИ документы целесообразно выделить в следующие отдельные группы документов нормативно-правового обеспечения:
общесистемные нормативные документы;
регламентирующие и инструктивные документы;
организационно-распорядительные документы.
Общесистемные нормативные документыопределяют концептуальные подходы к созданию КСЗИ и требования к мерам и средствам защиты информации, устанавливают отношения доступа субъектов, взаимодействующих с АС, к информационным и техническим ресурсам.
Основными документами данного вида являются:
модель нарушителя;
политика информационной безопасности ОИ;
модель (порядок) разграничения доступа субъектов к информационным и техническим ресурсам в АС.
Модель нарушителяОИпредполагает: определение угроз информации; уязвимостей информационной среды и технологий, способствующих реализации этих угроз; выделение из них существенных угроз по соотношению «ущерб – затраты на нейтрализацию», то есть актуальных угроз; определение источников актуальных угрозинформации – субъекты(группы субъектов), имеющие потенциальную возможность реализации угроз; анализ и фиксирование этих возможностей в виде оценочных характеристик, связанных с родом служебной деятельности, соответствующим ей санкционированным доступом к ресурсам АС и следуемым из этого каналам реализации угроз; анализ и фиксирование квалификации субъектов (групп субъектов) и специфичных условий; представление всех этих сведений в формализованном или вербальном виде. Основным результатом модели нарушителя должен быть официально принятый категорированный перечень потенциальных нарушителей информационной безопасности с описанием их профессиональных, служебных, функциональных и технических возможностей по инициированию и реализации нарушений. Модель нарушителя должна дать однозначный ответ на вопрос, в отношении каких субъектов и явлений осуществляется защита информации.
На основании модели нарушителя ОИ могут разрабатываться частные модели нарушителя, ориентированные на их конкретное использование при проектировании функциональных подсистем КСЗИ, что означает, практически, решение сформулированных для модели вопросов в отношении информационных технологий определённого вида или критических информационных ситуаций.
Модель нарушителя ОИ и частные модели нарушителя, если такие разрабатываются, должны быть официально утверждены, как нормативные документы.
Политика информационной безопасности ОИ– это совокупность документированных управленческих, организационных, технических и технологических решений, направленных на защиту информации и ассоциированных с ней других ресурсов с учётом утверждённой модели нарушителя [9.]. Политика информационной безопасности является исполнительным концептуальным документом, позволяющим целенаправленно осуществлять проектирование и эксплуатацию КСЗИ и АС, организовать защищённую информационную деятельность на ОИ в целом, оценивать и принимать выверенные в правовом отношении решения при возможных нарушениях информационной безопасности.
Политика информационной безопасности может быть многоаспектным документом и затрагивать сферу высших (руководство ОИ) административных решений, общесистемных для информационной деятельности ОИ положений и порядка, административных, организационно-технических и технологических требований уровня процессов и работ.
Как правило, политика информационной безопасности ОИ утверждается руководством объекта информатизации (организации) по согласованию и представлению её соответствующими уполномоченными структурами.
Модель (порядок) разграничения доступа в АСустанавливает конкретные документированные права и полномочия доступа пользователей и эксплуатационного персонала (администраторов, операторов, специалистов по эксплуатации компонентов АС) к информационным и техническим ресурсам объекта информатизации. Утверждённый или введённый приказом по объекту порядок разграничения доступа являетсянормативнойосновой для выполнения информационной работы на ОИ и настройки средств защиты информации КСЗИ (формирования в машинном виде прав и полномочий доступа).
Регламентирующие и инструктивные документыопределяют ответственность, регламент, требования и порядок выполненияусловий обеспеченияинформационной безопасности конкретных информационных технологий, сервисов и связанных с их реализацией работ. К ним, прежде всего, можно отнести такие критические с точки зрения информационной безопасности технологии как использование сети Интернет, выполнение антивирусных мероприятий, введение и исключение пользователей в действующем активе, порядок работы с парольными и ключевыми системами и другие. Эти документы предназначены для руководителей ОИ, администраторов и пользователей АС, а также специалистов, обеспечивающих эксплуатацию средств защиты КСЗИ. Практически в рамках этих документов определяются организационные меры по защите информации и, наряду с эксплуатационной документацией, они позволяют осуществлять эксплуатацию и организационный порядок работы с техническими (программными, аппаратными) средствами защиты, их использование в установленном регламенте.
Организационно-распорядительные документы(приказы, распоряжения) предназначены для придания правового статуса в организации принимаемых организационных и технических решений в части КСЗИ и её элементов, легитимного ввода в эксплуатацию КСЗИ, отдельных её средств, настроек, полномочного проведения расследований и принятия решений при нарушениях информационной безопасности.
Проблема защиты информации, состояния информационной безопасности в целом на объекте информатизации – это, прежде всего, правовая проблема построения информационных отношений. Поэтому подсистема нормативно-правового обеспечения КСЗИ является фундаментальной при проектировании КСЗИ.
Структурно-технологическая и организационно-техническая поддержка функционирования КСЗИ.В части структурно-технологической и организационно-технической поддержки функционирования КСЗИ выделяются типовые комплексы работ по созданию условий безопасности работы с защищаемой информацией и функционирования средств защиты КСЗИ:
организация режима конфиденциальности/секретности (решение организационно-структурных и штатных вопросов по обеспечению на объекте условий информационной безопасности, реализация организационных мер и мероприятий, контролирующих выполнение пользователями и обслуживающим персоналом нормативно-правовых и технологических требований по защите информации, распределение и контроль ответственности);
создание с помощью инженерно-технической защиты доверенного пространства размещения оборудования АС, служебных и технологических помещений, обеспечение установленного регламента работы в этих помещениях (установка систем инженерно-технической защиты – охранной сигнализации, видеонаблюдения, автоматизированного контроля управления и допуска в территориальные зоны и помещения; внедрение дисциплины использования доверенного пространства при функционировании АС) [1].
Для реализации данного комплекса работ могут быть выделены следующие основные обеспечивающие подсистемы:
подсистема организации режима конфиденциальности/секретности;
подсистема (система) охранной сигнализации — контроль с помощью технических средств территории, зон размещения АС, служебных и технологических помещений, основного и вспомогательного оборудования (для создания доверенной территории размещения оборудования АС в период отсутствия на них доверенного обслуживающего персонала);
подсистема (система) контроля и управления допуском – СКУД (для гарантированного и подконтрольного допуска в служебные и технологические помещения только доверенного в части выполнения работ в этих помещениях персонала);
подсистема (система) видеонаблюдения — за территорией, помещениями и выполнением работ пользователями и обслуживающим персоналом АС (для контроля действий доверенного персонала в рамках своих полномочий).