Файловый архив студентов. Файловый архив студентов.
1260 вузов, 4599 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный исследовательский ядерный университет (МИФИ)
Предмет:
Комплексное обеспечение информационной безопасности автоматизированных систем
Файл:

Материалы курса В. И. Королёва / lektsia_7_korolev

.docx
Скачиваний:
181
Добавлен:
03.02.2018
Размер:
20.7 Кб
Скачать

18.10.2017 Лекция 7

Направления формирования обеспечения подсистем КСЗИ

  • Инфраструктура реализации функциональных задач ЗИ в АС;

  • Нормативно-правовая поддержка функционирования КСЗИ;

  • Структурно-технологическая и организационно-техническая поддержка функционирующих СЗ;

Нормативно-правовая поддержка функционирования КСЗИ

Основа – законодательная и регламентационная база РФ.

Нормативно-правовая поддержка функционирования КСЗИ – общесистемная обеспечивающая составляющая информационной сферы ОИ.

Реализующаяся с помощью комплексной подсистемы нормативно-правовой обеспечивающей КСЗИ.

Предназначена для формирования нормативно-правовой документальной базы информационных отношений в части накопления, обработки, хранения, передачи и использования защ.инф. на объекте и при внешнем инф. Обмене.

Подсистема нормативно-правового обеспечения КСЗИ – совокупность норм, правил, регламентов и требований, устанавливающих на ОИ и в процессах внешнего информационного обмена обязательный порядок информационных отношений между субъектами, отношений доступа субъектов к информационным объектам и к техническим ресурсам АС при работе с защищаемой информацией.

Все документы, входящие в нормативно-правовое обеспечение КСЗИ, не должны противоречить законодательным актам в области информационных технологий.

Разрабатываемые в ходе создания КСЗИ документы целесообразно выделить в следующие отдельные группы документов нормативно-правового обеспечения:

  • общесистемные нормативные документы;

  • регламентирующие и инструктивные документы;

  • организационно-распорядительные документы.

Модель (порядок) разграничения доступа в АС устанавливает конкретные документированные права и полномочия доступа пользователей и эксплуатационного персонала (администраторов, операторов, специалистов по эксплуатации компонентов АС) к информационным и техническим ресурсам объекта информатизации. Утверждённый или введённый приказом по объекту порядок разграничения доступа является нормативной основой для выполнения информационной работы на ОИ и настройки средств защиты информации КСЗИ (формирования в машинном виде прав и полномочий доступа).

Регламентирующие и инструктивные документы определяют ответственность, регламент, требования и порядок выполнения условий обеспечения информационной безопасности конкретных информационных технологий, сервисов и связанных с их реализацией работ. К ним, прежде всего, можно отнести такие критические с точки зрения информационной безопасности технологии как использование сети Интернет, выполнение антивирусных мероприятий, введение и исключение пользователей в действующем активе, порядок работы с парольными и ключевыми системами и другие. Эти документы предназначены для руководителей ОИ, администраторов и пользователей АС, а также специалистов, обеспечивающих эксплуатацию средств защиты КСЗИ. Практически в рамках этих документов определяются организационные меры по защите информации и, наряду с эксплуатационной документацией, они позволяют осуществлять эксплуатацию и организационный порядок работы с техническими (программными, аппаратными) средствами защиты, их использование в установленном регламенте.

Организационно-распорядительные документы (приказы, распоряжения) предназначены для придания правового статуса в организации принимаемых организационных и технических решений в части КСЗИ и её элементов, легитимного ввода в эксплуатацию КСЗИ, отдельных её средств, настроек, полномочного проведения расследований и принятия решений при нарушениях информационной безопасности.

Проблема защиты информации, состояния информационной безопасности в целом на объекте информатизации – это, прежде всего, правовая проблема построения информационных отношений. Поэтому подсистема нормативно-правового обеспечения КСЗИ является фундаментальной при проектировании КСЗИ.

Структурно-технологическая и организационно-техническая поддержка функционирования КСЗИ. В части структурно-технологической и организационно-технической поддержки функционирования КСЗИ выделяются типовые комплексы работ по созданию условий безопасности работы с защищаемой информацией и функционирования средств защиты КСЗИ:

  • организация режима конфиденциальности/секретности (решение организационно-структурных и штатных вопросов по обеспечению на объекте условий информационной безопасности, реализация организационных мер и мероприятий, контролирующих выполнение пользователями и обслуживающим персоналом нормативно-правовых и технологических требований по защите информации, распределение и контроль ответственности);

создание с помощью инженерно-технической защиты доверенного пространства размещения оборудования АС, служебных и технологических помещений, обеспечение установленного регламента работы в этих помещениях (установка систем инженерно-технической защиты – охранной сигнализации, видеонаблюдения, автоматизированного контроля управления и допуска в территориальные зоны и помещения; внедрение дисциплины использования доверенного пространства при функционировании АС).

Для реализации данного комплекса работ могут быть выделены следующие основные обеспечивающие подсистемы:

  • подсистема организации режима конфиденциальности/секретности;

  • подсистема (система) охранной сигнализации — контроль с помощью технических средств территории, зон размещения АС, служебных и технологических помещений, основного и вспомогательного оборудования (для создания доверенной территории размещения оборудования АС в период отсутствия на них доверенного обслуживающего персонала);

  • подсистема (система) контроля и управления допуском – СКУД (для гарантированного и подконтрольного допуска в служебные и технологические помещения только доверенного в части выполнения работ в этих помещениях персонала);

  • подсистема (система) видеонаблюдения — за территорией, помещениями и выполнением работ пользователями и обслуживающим персоналом АС (для контроля действий доверенного персонала в рамках своих полномочий).

Технологическое обеспечение КСЗИ

  • Подсистема технологического обеспечения КСЗИ (ТЕХНОЛОГИЯ)совокупность процессов, реализующих на уровне операций, процедур и работ выполнение задач защиты функциональных подсистем средствами обеспечивающих подсистем, объединяющих во взаимосвязанную функциональную среду средства защиты информации и средства реализации информационных технологий на объекте защиты.

Управление информационной безопасностью

  • Подсистема управления информационной безопасностью КСЗИ (УПРАВЛЕНИЕ) – совокупность методов, способов, средств и служб управления/администрирования, обеспечивающих заданный уровень состояния защищённости информационных ресурсов ОИ от угроз информации.

Управление на уровне технологических процессов – оперативное управление (У3 на Рисунке 3) включает в себя:

  • управление процессами, когда анализ ситуаций и принятие решений осуществляется непосредственно программно-техническими средствами защиты (например, при аутентификации, разграничении доступа средствами защиты от НСД);

  • административное управление, когда принятие решений и последующие действия осуществляются администраторами безопасности в ходе функционирования систем или ответственным лицом за выполнение определённых функций защиты (например, при нарушениях, зафиксированных системами инженерно-технической защиты).

Общесистемные нормативные документы определяют концептуальные подходы к созданию КСЗИ и требования к мерам и средствам защиты информации, устанавливают отношения доступа субъектов, взаимодействующих с АС, к информационным и техническим ресурсам.

Основными документами данного вида являются:

  • модель нарушителя;

  • политика информационной безопасности ОИ;

  • модель (порядок) разграничения доступа субъектов к информационным и техническим ресурсам в АС.

Основным результатом модели нарушителя должен быть официально принятый категорированный перечень потенциальных нарушителей информационной безопасности с описанием их профессиональных, служебных, функциональных и технических возможностей по инициированию и реализации нарушений. Модель нарушителя должна дать однозначный ответ на вопрос, в отношении каких субъектов и явлений осуществляется защита информации.

Модель нарушителя ОИ предполагает: определение угроз информации; уязвимостей информационной среды и технологий, способствующих реализации этих угроз; выделение из них существенных угроз по соотношению «ущерб – затраты на нейтрализацию», то есть актуальных угроз; определение источников актуальных угроз информации – субъекты (группы субъектов), имеющие потенциальную возможность реализации угроз; анализ и фиксирование этих возможностей в виде оценочных характеристик, связанных с родом служебной деятельности, соответствующим ей санкционированным доступом к ресурсам АС и следуемым из этого каналам реализации угроз; анализ и фиксирование квалификации субъектов (групп субъектов) и специфичных условий; представление всех этих сведений в формализованном или вербальном виде. Основным результатом модели нарушителя должен быть официально принятый категорированный перечень потенциальных нарушителей информационной безопасности с описанием их профессиональных, служебных, функциональных и технических возможностей по инициированию и реализации нарушений. Модель нарушителя должна дать однозначный ответ на вопрос, в отношении каких субъектов и явлений осуществляется защита информации.

На основании модели нарушителя ОИ могут разрабатываться частные модели нарушителя, ориентированные на их конкретное использование при проектировании функциональных подсистем КСЗИ, что означает, практически, решение сформулированных для модели вопросов в отношении информационных технологий определённого вида или критических информационных ситуаций.

Модель нарушителя ОИ и частные модели нарушителя, если такие разрабатываются, должны быть официально утверждены, как нормативные документы.

Политика информационной безопасности ОИ – это совокупность документированных управленческих, организационных, технических и технологических решений, направленных на защиту информации и ассоциированных с ней других ресурсов с учётом утверждённой модели нарушителя.

Политика информационной безопасности является исполнительным концептуальным документом, позволяющим целенаправленно осуществлять проектирование и эксплуатацию КСЗИ и АС, организовать защищённую информационную деятельность на ОИ в целом, оценивать и принимать выверенные в правовом отношении решения при возможных нарушениях информационной безопасности.

Политика информационной безопасности может быть многоаспектным документом и затрагивать сферу высших (руководство ОИ) административных решений, общесистемных для информационной деятельности ОИ положений и порядка, административных, организационно-технических и технологических требований уровня процессов и работ.

Как правило, политика информационной безопасности ОИ утверждается руководством объекта информатизации (организации) по согласованию и представлению её соответствующими уполномоченными структурами.

Соседние файлы в папке Материалы курса В. И. Королёва
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности