Информационные ресурсы подлежащие защите

2.1. Защищаемая информация и информационные ресурсы

В соответствии с Федеральным законом №149 «Об информации, информатизации и защите информации» от 27.07.2006 информация делится на две категории:

• Общедоступная информация — общеизвестные сведения, доступ к которым не ограничен;
• Информация ограниченного доступа — информация, доступ к которой ограничен в соответствии с федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Установлены категории информации, доступ к которым нельзя ограничить в соответствии с федеральным законодательством (ст.8 ФЗ №149):

1. нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;
2. информации о состоянии окружающей среды;
3. информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
4. информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
5. иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Информация ограниченного доступа в свою очередь подразделяется на два типа — государственная тайна и конфиденциальная информация .

Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации [9].

В статье 5 Федерального закона «О государственной тайне» определен перечень сведений, составляющих государственную тайну. Они разбиты на следующие категории:

• сведения в военной области:
• сведения в области экономики, науки и техники:
• сведения в области внешней политики и экономики:
• сведения в области разведывательной, контрразведывательной, оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.

Предметом данного курса является защита информации ограниченного доступа, не относящаяся к государственной тайне. В рамках курса такая информация называется конфиденциальной.

Перечень сведений, относящихся к конфиденциальной информации, определен в Указе Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера»:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них [10].

Как видно из текста Указ Президента РФ определяет некоторые виды тайн. На самом деле их гораздо больше. Рассмотрим более подробно основные виды тайн в законодательстве РФ:

Коммерческая тайна — режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ , услуг или получить иную коммерческую выгоду. Информация, составляющая коммерческую тайну, — сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны [11].

В определении коммерческой тайны виден упор на то, что это информация , позволяющая получить выгоду ее обладателю. На практике в крупных организациях на уровне руководства и службы безопасности определяется перечень информации, относящейся к коммерческой тайне и положение по работе с коммерческой тайной. Чтобы ввести режим » коммерческая тайна » обладатель информации должен сделать следующее:

• определить перечень информации, относящейся к коммерческой тайне;
• реализовать ограничение доступа к коммерческой тайне;
• вести учет лиц, допущенных до работы с коммерческой тайной;
• уведомить под расписку сотрудников о вводе данной категории информации и о наказании за ее разглашение;
• регулировать отношения по использованию информации, составляющей коммерческую тайну. Это достигается путем внесения соответствующих пунктов о неразглашении в трудовые договора и гражданско-правовые договора с контрагентами. Также на практике в настоящее время широко применяется так называемое соглашение о неразглашении (англ. non-disclosure agreement, NDA), в котором прописывается перечень сведений, которые сторона или стороны обязуются не разглашать, и обязанности по компенсации убытков в случае разглашения.
• использовать гриф «коммерческая тайна» на носителях с информацией.

Нарушение режима коммерческой тайны влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. Следует отметить, что несоблюдение даже одного из вышеперечисленных пунктов работодателем может стать причиной ненаказуемости сотрудника, разгласившего коммерческую тайну. В соответствии с п.4 ст.14 Федерального Закона [11] лицо, которое не имело достаточных оснований считать информацию коммерческой тайной, не может быть привлечено в ответственности за ее использование.

Банковская тайна — сведения об операциях, счетах и вкладах клиентов и корреспондентов кредитной организации, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону [12].

Служебная тайна — служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами [13].

Тайна кредитной истории — информация , которая характеризует исполнение заемщиком принятых на себя обязательств по договорам займа (кредита) и хранится в бюро кредитных историй[14].

Профессиональная тайна — сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна и т.п.).

Известный эксперт в области защиты информации Алексей Лукацкий нашел 65 видов различных тайн в законодательстве РФ. Ознакомиться с полным перечнем можно по ссылке на его статью: http://www.securitylab.ru/blog/personal/Business_without_danger/13824.php

Отдельно следует отметить такой вид конфиденциальной информации как персональные данные.

Персональные данные — любая информация , относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)[16].

Классификация информации по категориям доступа представлена на рисунке 2.1.

Информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов) [17].

Следует отметить, что определение из ГОСТ 1999 года, приведенное выше, не затрагивает такой немаловажный аспект как индивидуальные знания отдельных людей или коллективные знания, то есть недокументированную информацию. Приведем альтернативное определение информационного ресурса.

Информационный ресурс — это индивидуальные и коллективные экспертные знания, отдельные документы, отдельные массивы документов, а также документы и их массивы, составляющие базы и банки данных, базы знаний, библиотеки, архивы, фонды, информационные системы и другие системы в определенной предметной тематической области, которые удовлетворяют функциональным потребностям и запросам потребителей информации.

Информационные ресурсы можно классифицировать по разным признакам: по целевому назначению, по виду носителя, по способу представления, по содержанию, по географическому признаку и т.д.

Наиболее часто рассматривается классификация информационных ресурсов по форме представления или фиксации информации — рис. 2.2.

2.2. Государственные информационные ресурсы, негосударственные информационные ресурсы, находящиеся в ведении органов государственной власти и организаций

Информационные ресурсы могут быть государственными и негосударственными и как элемент состава имущества находятся в собственности граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объединений. Отношения по поводу права собственности на информационные ресурсы регулируются гражданским законодательством Российской Федерации.

Физические и юридические лица являются собственниками тех информационных ресурсов, которые созданы за счет их средств, приобретены ими на законных основаниях, получены в порядке дарения или наследования.

Российская Федерация и ее субъекты являются собственниками информационных ресурсов, создаваемых, приобретаемых, накапливаемых за счет средств федерального бюджета, бюджетов субъектов Российской Федерации, а также полученных путем иных установленных законом способов. Российская Федерация имеет право выкупа информации, относящейся к государственной тайне. Собственник информационных ресурсов, которые можно отнести к государственной тайне, может распоряжаться этой собственностью только с разрешения соответствующих органов государственной власти.

Субъекты, представляющие в обязательном порядке документированную информацию (информационные ресурсы) в органы государственной власти и организации, не утрачивают своих прав на эти документы и на использование информации, содержащейся в них. Такие информационные ресурсы находятся в совместном владении государства и субъектов, предоставивших информацию.

Информационные ресурсы подлежащие защите

Документ описывает применимую в широких рамках политику ИТ-безопасности.

Содержание

Перечень сокращений

АРМ	автоматизированное рабочее место
АС	автоматизированная система
БД	база данных
ВрП	вредоносная программа
ВТСС	вспомогательные технические средства и системы
ГИС	геоинформационная система
ЗИ	защищаемая информация
ИБ	информационная безопасность
ИР	информационный ресурс
ИТ	информационная технология
КВ	компьютерный вирус
КЗ	контролируемая зона
КСЗИ	комплексная система защиты информации
ЛВС	локальная вычислительная сеть
МНИ	машинные носители информации
МЭ	межсетевой экран
НД	нормативный документ
НСД	несанкционированный доступ
ОИ	объект информатизации
ОС	операционная система
ОСПД	объединенная сеть передачи данных
ОТСС	основные технические средства и системы
ПИБ	подсистема обеспечения информационной безопасности
ПК	программный комплекс
ПО	программное обеспечение
ПЭВМ	персональная электронно-вычислительная машина
РД	руководящий документ
РСД	разрешительная система доступа
РПС	разрушающее программное средство
РФ	Российская Федерация
СУБД	система управления базы данных
СВТ	средства вычислительной техники
СЗИ	система защиты информации
СКЗИ	средства криптографической защиты информации
СУБД	система управления базами данных
ФСБ	федеральная служба безопасности
ФЗ	федеральный закон
ЭлД	электронный документ
ЭЦП	электронная цифровая подпись

Назначение и правовая основа политики информационной безопасности

Настоящая политика информационной безопасности (ИБ) разработана на основе требований действующих в Российской Федерации законодательных и нормативных документов, приведенных в разделе «Нормативные документы», регламентирующих вопросы защиты информации Организации, с учетом современного состояния, целей, задач и правовых основ создания, эксплуатации и функционирования информационной системы.

Положения и требования Политики распространяются на все предприятия и учреждения Организации, основных разработчиков и исполнителей, которые участвуют в разработке, создании, развертывании, вводе в эксплуатацию информационной системы, в части их касающейся.

Положения и требования Политики могут быть распространены (по согласованию) также на другие предприятия, учреждения и организации, осуществляющих информационное взаимодействие в качестве поставщиков и потребителей (пользователей) информации.

Под информационной безопасностью информационной системы понимается состояние защищенности информационной среды (информации, информационных ресурсов, фондов и информационных систем, баз данных), при которой её формирование, использование, развитие и информационный обмен обеспечивается защитой информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования.

Политика ИБ является методологической основой для:

• разработки подсистемы информационной безопасности (далее именуется — ПИБ) при доступе к информации, реализуемой на объектах информатизации с ограниченным доступом, в виде комплексной системы защиты информации от несанкционированного доступа — КСЗИ НСД;
• разработки защищенного электронного документооборота, с использованием средств криптографической защиты информации, развертывания системы удостоверяющих центров, применения электронной цифровой подписи и частных виртуальных сетей обмена защищаемой информации;
• разработки конкретных нормативных документов и мероприятий, регламентирующих деятельность в области обеспечения информационной безопасности;
• реализации прав граждан, организаций и государства на получение, распространение и использование информации.

Политика обеспечения информационной безопасности основывается на следующих основных принципах:

• соблюдение Конституции Российской Федерации, законов Российской Федерации, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности;
• достижение целей, описанных в уставном положении Организации;
• открытость процессов, и информирование лиц, принимающих решения;
• приоритетное развитие отечественных и свободных современных информационных и телекоммуникационных технологий, в том числе в защищенном исполнении;
• правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;
• определение и поддержание требуемого баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;
• оценка состояния информационной безопасности, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, парирования и нейтрализации этих угроз;
• применение сертифицированных средств защиты информации и лицензирование деятельности в области защиты информации;
• совершенствование и развитие системы подготовки кадров в области информационной безопасности.

Основные сведения об информационной системе

Информационные системы Организации предназначены для обеспечения эффективного достижения целей Организации посредством эффективного использования ресурсов, современного управления и технологий.

Информационные системы Организации включают в себя средства информатизации — программно-технические комплексы и телекоммуникационные средства, обеспечивающие доступ к данным, а также организационно-правовое, методическое и технологическое обеспечение её создания и функционирования.

Информационная система развивается, как территориально-распределенная гетерогенная система, объединяющая объекты информатизации предприятий и учреждений Организации, предприятий, организаций и учреждений основных разработчиков, исполнителей и заказчиков в единую корпоративную вычислительную (информационно-телекоммуникационную) сеть.

В общем виде информационная система представляет собой совокупность объектов информатизации состоящих из локальных вычислительных сетей (программно-технических комплексов), автоматизированных рабочих мест, объединенных средствами телекоммуникации.

Каждая ЛВС объединяет ряд взаимосвязанных и взаимодействующих автоматизированных подсистем (технологических участков), обеспечивающих решение отдельных задач пользователей.

Ряд объектов информатизации осуществляет взаимодействие с внешними (государственными и коммерческими) организациями по коммутируемым и выделенным каналам с использованием средств передачи информации.

Программно-технические комплексы на объектах информатизации включают технические средства обработки данных (ПЭВМ, сервера БД, почтовые сервера, сервера обеспечения совместной работы, контроля, планирования), средства обмена данными в ЛВС, с возможностью выхода в телекоммуникационные системы и сети (кабельная система, мосты, шлюзы, маршрутизаторы, модемы), а также средства хранения (резервирования, дублирования и архивирования).

В технологическом плане объекты информатизации включают:

• технологическое оборудование (программно-технические комплексы, сетевое и кабельное оборудование);
• программные средства (операционные системы, системы управления базами данных, общесистемное и прикладное программное обеспечение, ГИС-технологии);
• информационные ресурсы, содержащие открытые сведения, сведения конфиденциального характера и сведения, составляющие государственную тайну, представленные в виде документов в электронной форме (электронный документ), на бумажной и иной основе или записей на носителях на магнитной, оптической и другой физической основе, информационных массивов и баз данных;
• средства связи и передачи данных (средства телекоммуникации);
• каналы связи;
• служебные режимные и выделенные помещения (где это необходимо), в которых обрабатывается документированная информация с ограниченным доступом;
• технические средства и системы, не обрабатывающие информацию (вспомогательные технические средства и системы — ВТСС), размещенные в помещениях, где обрабатывается (циркулирует) документированная информация, содержащая сведения с ограниченным доступом;
• средства защиты информации от несанкционированного доступа, средства противодействия техническим разведкам (где это необходимо), средства криптографической защиты информации, включая систему удостоверяющих центров для применения электронной цифровой подписи и VPN —сети, объединенные в подсистему информационной безопасности.

В процессе функционирования информационная система должна обеспечить:

• сбор и обработку информации на всех уровнях;
• ведение баз данных информации и информационное обслуживание Организации и его деловых партнёров;
• организацию обмена сведениями на уровне межкорпоративного взаимодействия, а также обслуживания организаций и отдельных граждан;
• информационную безопасность на объектах информатизации, где ведется обработка документированной информации с ограниченным доступом, в виде КСЗИ НСД.

Основными объектами защиты в информационной системе являются:

• информационные ресурсы с ограниченным доступом, содержащие сведения, составляющие государственную тайну, и сведения конфиденциального характера (служебная и коммерческая информация, персональные данные) и иные информационные ресурсы (в том числе открытая информация), представленные в виде документов, баз данных;
• система формирования, распространения и использования информации, информационные технологии, процедуры сбора, обработки, хранения и передачи информации, пользователи системы и её обслуживающий персонал;
• информационная инфраструктура, включающая центры обработки и анализа информации (данных), технические и программные средства её обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, КСЗИ НСД, документация на них и другая, относящаяся к ним информация, здания и помещения, в которых проводится обработка документированной информации с ограниченным доступом или переговоры конфиденциального характера;
• технологические процессы обработки, передачи и хранения информации по ведению документов, управленческой, отчётной и статистической информации.

Категории информационных ресурсов и роли пользователей

В данном разделе описаны основные информационные артефакты политики информационной безопасности.

Категории информационных ресурсов, подлежащих защите

Перечень и необходимый уровень защиты обрабатываемых информационных ресурсов содержащих сведения, составляющие конфиденциальную информацию (служебную информацию, персональные данные и коммерческие сведения), определяется следующим образом:

• перечень сведений, отнесенных к служебной информации, определяется пометкой «Для служебного пользования»;
• перечень сведений, отнесенных к персональным данным, определяется в соответствии с 152-ФЗ «О персональных данных»;
• перечень сведений, отнесенных к коммерческой тайне, определяется в соответствии с «Перечнями сведений, отнесенных к коммерческой тайне», составляемых руководителями подразделений Организации;
• необходимый уровень защиты определяется, в соответствии с требованиями основных документов.

Открытые информационные ресурсы — информация, которая не отнесена к категории ограниченного доступа. Открытые информационные ресурсы с точки зрения ограничения доступа разделяются на следующие категории:

• регламентируемые ресурсы — информационные ресурсы, доступ к которым требует выполнения определенных процедур (например, получение разрешения — визирования, или платный доступ), или доступ к которым свободен, а право копирования ограничено на основании авторского права;
• свободные ресурсы — информационные ресурсы, доступ к которым свободен для всех пользователей (в том числе и внешних) и которые разрешено свободно копировать, модифицировать и распространять.

Категории информации, подлежащие защите

Категория (тип) сведений (информации)	Документы, определяющие состав и объем сведений (информации)	Требования по защите
Служебная тайна	Состав и объем определяется (до принятия Федерального закона «О служебной тайне») «Перечнями сведений, отнесенных к служебной информации ограниченного распространения».	Защита обязательна
Персональные данные	Состав и объем определяется Федеральным законом «О персональных данных» и «Перечнями сведений, отнесенных к персональным данным (информация о гражданах)». Примечание: Персональные данные — сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность	Защита обязательна
Коммерческая тайна	Состав и объем определяется (до принятия Федерального закона «О коммерческой тайне») в соответствии с «Перечнями сведений, отнесенных к коммерческой тайне», разрабатываемыми руководством подразделений	Защита рекомендуется
Открытые регламентные ресурсы	Состав и объем определяется руководством министерства, службы и агентства, предприятия, организации или учреждения	Уровень защиты определяется руководством.

Разрешительная ролевая система доступа к информации

Пользователями информационных ресурсов (в части их касающейся) являются:

• заказчики, подрядчики и другие партнёры организации;
• органы государственной власти и местного самоуправления;
• налоговые органы в пределах территории, находящейся под их юрисдикцией;
• суды и правоохранительные органы, имеющие в производстве дела, связанные с деятельностью Организации;
• работники Организации;
• иные лица, устанавливаемые законодательством Российской Федерации.

На объектах информатизации имеются следующие основные категории пользователей (в части их касающейся), которые должны иметь различные полномочия по доступу к информационным, программным и другим ресурсам:

• лица, заинтересованные в получении сведений;
• пользователи прикладного программного обеспечения и СУБД баз данных (конечные пользователи предприятий, организаций и учреждений);
• ответственные лица за ведение баз данных (ввод, корректировка, удаление, архивирование, резервирование, дублирование данных БД);
• администраторы серверов (файловых серверов, серверов приложений, серверов БД) и ЛВС;
• системные программисты (ответственные за сопровождение общего программного обеспечения) на серверах и АРМ пользователей;
• разработчики прикладного программного обеспечения;
• специалисты по обслуживанию технических средств вычислительной техники;
• администраторы и специалисты по защите информации (информационной безопасности);
• должностные лица, осуществляющие технологические процедуры.

На всех объектах информатизации в соответствии с действующими нормативными документами должна быть разработана разрешительная система доступа.

Угрозы информационной безопасности

В данном разделе рассматриваются и классифицируются угрозы информационной безопасности.

Источники и угрозы информационной безопасности на объектах информатизации

Основными источниками защищаемой информации на объектах информатизации (ОИ) являются субъекты информационных отношений:

• пользователи (операторы), программисты, администраторы АС (ЛВС), руководители разработки и эксплуатации АС, технический (обслуживающий) персонал;
• документы на твердой основе, различного характера и назначения включая электронные документы на машиночитаемых носителях информации, с защищаемой информацией;
• штатные технические средства АС обработки защищаемой информации: АРМ, ЛВС, средства обеспечения производственной деятельности людей, информационные и телекоммуникационные линии связи.

Под угрозами информационной безопасности понимается потенциальная возможность нарушения её следующих основных, качественных характеристик (свойств):

• конфиденциальности (разглашение, утечка) сведений, составляющих государственную, служебную или коммерческую тайну, а также персональных данных;
• работоспособности (дезорганизация работы) программно-технических комплексов, блокирование информации, нарушение технологических процессов обработки информации, срыв своевременного решения выполняемых задач;
• целостности и достоверности информационных, программных и других ресурсов, а также фальсификация (подделка) документов.

Источники угроз информационной безопасности, разделяются на внешние и внутренние:

К внешним источникам угроз относятся:

• деятельность иностранных разведывательных и специальных служб, направленная на добывание защищаемых информационных ресурсов с ограниченным доступом, о подготавливаемых решениях и инициативах, в том числе по экономическим вопросам, а также на подрыв авторитета Организации;
• действия преступных групп, формирований и связанных с ними коррумпированных лиц по добыванию защищаемой информации в целях реализации своих преступных замыслов;
• использование средств опасного воздействия на информационные ресурсы, получение несанкционированного доступа к ним;
• недружественная политика иностранных государств в области распространения информации и новых информационных технологий;
• преступная деятельность отдельных лиц, бандитских групп и формирований или злоумышленников, конкурирующих и недобросовестных организаций, в том числе с использованием телекоммуникационных систем (прежде всего Интернет);
• промышленный шпионаж со стороны иностранных представителей при проведении совместных международных проектов и работ;
• диверсионные действия по отношению к объектам информатизации (поджоги, технические аварии, взрывы и т.д.);
• деятельность министерств и ведомств и субъектов Российской Федерации, препятствующая или умышленно создающая трудности работе системы, совершаемая в противовес принятых законодательных актов;
• стихийные бедствия, аварии, и техногенные катастрофы.

К внутренним источникам угроз относятся:

• неправомерные действия должностных лиц в области формирования, распространения и использования защищаемой информации;
• преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия персонала, работающего на объектах информатизации;
• отказы технических средств и программного обеспечения в информационных и телекоммуникационных системах;
• некомпетентные действия и ошибки, допущенные при проектировании и эксплуатации информационных систем;
• халатность и недостаточно четкое исполнение служебных обязанностей при проведении мероприятий по защите информации;
• нарушения пользователями (исполнителями работ) и обслуживающим персоналом установленных регламентов сбора, обработки и передачи информации, а также требований по защите информации;
• отказы, неисправности и сбои средств защиты информации и средств контроля эффективности, принятых мер по защите информации;
• непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия персонала при эксплуатации объектов информатизации, приводящие к разглашению защищаемой информации;
• некоординированность или отсутствие необходимых сил и финансовых средств, для реализации мер в организации и защите информационных ресурсов;
• противозаконная деятельность коммерческих и экономических структур, имеющих позиции в среде сотрудников и пользователей;
• получение криминальными структурами доступа к защищаемой информации, снижение степени защищенности законных интересов граждан, общества и государства в информационной сфере.

Классификация, способы реализации и природа возникновения угроз информационной безопасности на объектах информатизации

Потенциальные угрозы безопасности защищаемой информации на объектах информатизации по сфере воздействия, с точки зрения их нахождения вне или внутри ОИ, при его создании и функционировании разделяются на внешние и внутренние.

Внешние угрозы исходят от субъектов (источников) — внешних, возможных нарушителей, приведенных в разделе 5.

Внутренние угрозы исходят от субъектов (источников) — внутренних, возможных нарушителей, приведенных в разделе 5.

Потенциальные угрозы, по отношению к компонентам объекта информатизации (АРМ, ЛВС и т.п.) с защищаемой информацией, могут реализовываться следующими основными способами:

• информационными;
• программно-математическими;
• физическими;
• организационно-правовыми.

Информационные способы реализации угроз включают:

• противозаконный сбор, распространение и использование защищаемой информации;
• манипулирование защищаемой информацией (сокрытие, искажение);
• незаконное копирование защищаемых данных и программ;
• незаконное уничтожение защищаемой информации;
• хищение информации из баз и банков данных;
• нарушение адресности и оперативности информационного обмена;
• нарушение технологии обработки и информационного обмена.

Программно-математические способы реализации угроз включают:

• удаленное проникновение;
• локальное проникновение;
• удаленный отказ в обслуживании;
• локальный отказ в обслуживании;
• взлом паролей
• внедрение компьютерных вирусов;
• внедрение программных закладок как на стадии разработки программного обеспечения (в том числе путем заимствования «зараженного» закладками программного продукта), так и на стадии эксплуатации ПО, позволяющих осуществить НСД по отношению к информации и системе её защиты (включая блокирование, обход и модификацию средств защиты информации от НСД, извлечение, подмена идентификаторов) и приводящих к компрометации СЗИ от НСД.

Физические способы реализации угроз включают:

1. уничтожение, хищение и разрушение средств обработки и защиты защищаемой информации, информационных линий связи ОИ, целенаправленное внесение в них неисправностей;
2. уничтожение, хищение и разрушение машинных или других оригиналов носителей защищаемой информации;
3. хищение программных или аппаратных ключей (реквизитов) средств защиты информации от НСД;
4. воздействие на персонал ОИ с целью создания благоприятных условий для реализации угроз;
5. диверсионные действия по отношению к компонентам ОИ, включая взрывы, поджоги, технические аварии.

Организационно-правовые способы реализации угроз включают:

1. использование несовершенных, устаревших или неперспективных СВТ и информационных технологий;
2. невыполнение требований законодательства Российской Федерации и задержка в разработке и принятии необходимых нормативных, правовых, организационно-распорядительных и эксплуатационных документов в области информационной безопасности.

Результатом реализации угроз на ОИ являются:

• нарушение конфиденциальности защищаемых сведений (разглашение, утрата, хищение, утечка, перехват и т.п.);
• нарушение целостности защищаемой информации (уничтожение, искажение, подделка и т.п.);
• нарушение регламентируемой доступности к защищаемой информации и работоспособности программно-технических комплексов ОИ.

Потенциальные угрозы на объектах информатизации, по природе их возникновения, разделяются на два класса: естественные (объективные) и искусственные (субъективные).

Естественные угрозы — угрозы, вызванные воздействиями на ОИ и её компоненты объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы — угрозы на ОИ, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

• непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и её компонент, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;
• преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей.

Основные искусственные, непреднамеренные угрозы на ОИ — действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без корыстного или злого интереса.

Основные искусственные, преднамеренные угрозы на ОИ — действия, совершаемые людьми умышленно для дезорганизации работы, вывода ОИ или его компонент из строя, проникновения в ОИ для реализации несанкционированного доступа к защищаемой информации. Для достижения поставленной цели возможный нарушитель может использовать не одну, а некоторую совокупность угроз.

Искусственные угрозы

Непреднамеренные угрозы на ОИ

Преднамеренные угрозы на ОИ

Неумышленные действия, приводящие к частичному или полному отказу или разрушению технических, программных, информационных ресурсов ОИ. Неумышленная порча оборудования, удаление, искажение файлов с защищаемой информацией или программ, в том числе системных. Неправомерное отключение оборудования или изменение режимов работы устройств и программ. Неумышленная порча носителей информации. Запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности ОИ или его компонент (зависания или зацикливания) или осуществляющих необратимые изменения (форматирование или реструктуризацию МНИ, удаление данных и т.п.). Нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях). Заражение ПЭВМ компьютерными вирусами. Неосторожные действия, приводящие к разглашению защищаемой информации или делающие её общедоступной. Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей, идентификационных карточек, пропусков и т.п.). Проектирование архитектуры ОИ, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности ОИ и СЗИ от НСД. Игнорирование организационных ограничений (установленных правил) при работе на ОИ. Вход в ЛВС в обход средств защиты (например, загрузка посторонней операционной системы со сменных МНИ). Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности. Пересылка данных по ошибочному адресу абонента (устройства). Ввод ошибочных данных. Неумышленное повреждение информационных линий связи.

Физическое разрушение ОИ (путем взрыва, поджога и т.п.) или вывод из строя отдельных наиболее важных компонент (устройств, носителей важной системной информации, и т.п.). Отключение или вывод из строя подсистем обеспечения функционирования ОИ (электропитания, охлаждения и вентиляции, линий связи). Действия по дезорганизации функционирования ОИ (изменение режимов работы устройств или программ). Вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей ОИ, имеющих определенные полномочия. Применение устройств дистанционной фото- и видео съемки. Перехват данных, передаваемых по информационным линиям связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения на ОИ. Хищение технических средств и носителей информации (системных блоков ПЭВМ, МНИ, запоминающих устройств). Несанкционированное копирование носителей информации, включая МНИ. Хищение производственных отходов (распечаток, записей, списанных МНИ). Чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств ПЭВМ. Чтение информации из областей оперативной памяти, используемых операционной системой (в том числе СЗИ от НСД) или другими пользователями, в асинхронном режиме используя недостатки многозадачных операционных систем и систем программирования. Незаконное получение паролей и других реквизитов разграничения доступа (используя халатность пользователей, путем подбора, путем имитации интерфейса обмена) с последующей маскировкой под зарегистрированного пользователя («маскарад»). Несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи. Внедрение вредоносного программного кода («закладок», «вирусов», «троянских коней», «кейлогеров», «жучков»), то есть такого исполняемого кода, который не нужен для осуществления заявленных функций, но позволяет преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи защищаемой информации или дезорганизации функционирования ОИ. Незаконное подключение к информационным линиям связи с целью работы «между строк», с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений. Незаконное подключение к информационным линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в ЛВС и успешной аутентификации с последующим вводом и навязыванием ложных сообщений. Воздействие на технические и программные средства в целях нарушения адресности и своевременности информационного обмена в ЛВС.

Технические каналы утечки защищаемой информации

Технические каналы утечки информации разделяют на косвенные и прямые.

Под косвенными понимаются технические каналы утечки информации, использование которых не требует проникновения в помещения, где расположены компоненты ОИ. Для использования прямых каналов такое проникновение необходимо.

Прямые технические каналы утечки информации могут использоваться без внесения изменений в компоненты ОИ или с изменениями компонентов.

По типу основного средства, используемого для реализации угрозы (атакующего воздействия), все технические каналы можно условно разделить на три группы:

• с помощью человека;
• с помощью программы;
• с помощью технических средств (аппаратуры).

Технические каналы утечки информации ОИ в общем, виде могут быть сведены в следующие группы:

• визуально-оптические (визуальный обзор документов, просмотр информации с экранов дисплеев и других средств её отображения с помощью фото и видеосъемки);
• акустические;
• электромагнитные (магнитные, электрические);
• материально-вещественные.

От каждого источника защищаемая информация по техническим каналам утечки может попасть к нарушителю.

Нарушители, совершая действия с преднамеренными или непреднамеренными угрозами и используя соответствующие способы реализации угроз, осуществляют несанкционированный доступ по техническим каналам утечки к защищаемой информации.

Для защиты информации от угроз информационной безопасности, осуществления несанкционированного доступа по техническим каналам утечки, на каждом объекте информатизации разрабатывается и применяется комплексная система защиты информации от несанкционированного доступа — КСЗИ НСД, объединяемая в подсистему информационной безопасности.

Модель возможного нарушителя на объектах информатизации

В данном разделе построена модель возможного нарушителя информационной безопасности.

Категории возможных нарушителей

Разработка модели возможного нарушителя на объектах информатизации проведена в соответствии с основными положениями документа: «Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (Гостехкомиссия России, 1992г.).

В соответствии с указанным документом принимаются следующие основные положения:

• В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами ОИ.
• Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами ОИ. Выделяется четыре уровня этих возможностей.

Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.

Первый уровень определяет самый низкий уровень возможностей ведения диалога в ОИ — запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень определяется возможностью управления функционированием ОИ, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию оборудования.

Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств ОИ, вплоть до включения в состав программно-технических комплексов собственных технических средств с новыми функциями по обработке информации.

В своем уровне нарушитель является специалистом высшей квалификации, знает все о ОИ и, в частности, о системе и средствах её защиты.

Под возможным нарушителем (злоумышленником) для объектов информатизации подразумевается лицо или группа лиц, не состоящих или состоящих в сговоре, которые в результате преднамеренных или непреднамеренных действий потенциально могут нанести ущерб защищаемым ресурсам (информации).

Для принятия мер по обеспечению информационной безопасности защищаемой информации на объектах информатизации (обрабатывающих информацию с ограниченным доступом) в разрабатывается модель возможного нарушителя (применительно к конкретному ОИ), которая включает две категории возможных нарушителей — внешние и внутренние возможные нарушители.

Категории возможных нарушителей на ОИ

Уровень	Внешние, возможные нарушители	Внутренние, возможные нарушители
I	Посетители	Пользователи (операторы)
II	Уволенные работники организации	Программисты
III	Хакеры	Администраторы ЛВС и специалисты по защите информации
IV	Криминальные группировки и сторонние организации	Руководители разработки и эксплуатации ОИ, технический (обслуживающий) персонал

Предполагается, что несанкционированный доступ на объекты информатизации посторонних лиц исключается организационными мерами (охрана территории, организация пропускного режима).

К внешним возможным нарушителям относится деятельность по добыванию конфиденциальной информации. При этом внешний возможный нарушитель ведет перехват, анализ и модификацию информации, передаваемой по каналам связи ОИ, проходящим вне контролируемой территории.

Предположения о квалификации внешнего возможного нарушителя:

• является высококвалифицированным специалистом в области съема и обработки информации с проводных линий связи и радиоканалов;
• знает сетевое и канальное оборудование, протоколы передачи данных, используемые в программно-технических комплексах;
• знает особенности системного и прикладного программного обеспечения, а также технических средств;
• знает функциональные особенности работы ОИ, формирования массивов информации и потоков запросов к ним;
• знает специфику задач, и структуру ОИ.

Возможность создания коалиций нарушителей (внутренних и внешних, внешних и внутренних), должна исключаться с помощью проведения службой безопасности и кадровой службы организационных мероприятий.

Особенности возможных нарушителей

Каждый уровень возможных нарушителей характеризуется следующими параметрами:

• квалификация возможного нарушителя;
• техническая оснащённость, финансовые возможности возможного нарушителя;
• категории лиц, к которым может принадлежать возможный нарушитель;
• данные, необходимые возможному нарушителю и период их актуальности;
• количественная оценка времени, которое возможный нарушитель может затратить для преодоления системы (средств) защиты.

Внешние возможные нарушители

Невозможность пребывания внешних возможных нарушителей в помещениях с программно-техническими комплексами ОИ без контроля со стороны работников Организации обеспечивается организационно.

Посетители

Посетители, находясь на территории (в помещениях) ОИ организации могут случайно, или целенаправленно:

• стать свидетелем конфиденциальных переговоров между сотрудниками организации;
• получить доступ к защищаемой информации на бумажных носителях (например, путем визуального обзора разложенных документов на столах работников организации, фотографирования);
• получить случайный доступ к АРМ (ЛВС);
• получить доступ к информационным линиям ЛВС;
• проникнуть в защищаемые помещения организации, во вне рабочее время.

Уволенные работники организации

Уволенные работники организации могут обладать специфическими возможностями, основанными на осведомленности о структуре организации и ОИ в целом, неизмененных правах по доступу к защищаемой информации. Возможна продажа третьим лицам украденной документации и МНИ с защищаемой информацией. При увольнении программиста или технического специалиста: информации о топологии информационной сети, о доступе к ЛВС.

Хакеры

Хакеры (не смотря на малочисленность) несут большую потенциальную опасность, в связи с высокой профессиональной квалификацией. В случае найма хакеров криминальными группировками или сторонними организациями (осуществляющих экономический или промышленный шпионаж), а также взаимодействия с внутренними нарушителями в организации они являются опасными нарушителями. Хакеры получив информацию о внутренней структуре ЛВС и проходящих информационных потоках, могут создать ситуации по скрытому получению защищаемой информации (в течении длительного периода времени), проводить модификацию или уничтожение данных и программного обеспечения, препятствовать штатному функционированию СВТ.

Криминальные группировки и сторонние организации

Криминальные группировки и сторонние организации (осуществляющие экономический или промышленный шпионаж) являются самими опасными, так как обладают значительными финансовыми и техническими возможностями и будут стараться получить защищаемую информацию всеми возможными способами: путем взлома ЛВС или её компонент, подкупа или шантажа работников организации. Нарушителей данной группы достаточно сложно обнаружить, поскольку ущерб от утечки защищаемой информации может быть неявный, цели нарушителей могут быть рассчитаны на долгосрочную перспективу.

Распространенными действиями являются подкуп администраторов ЛВС, позволяющий получать защищаемую информацию (например, в виде копий резервных магнитных носителей информации) по текущему состоянию всех баз данных. В случае подкупа руководящих работников и работников канцелярии организации — получение информации о текущих целях, планах, решениях, стратегии организации. Возможен наем хакеров для проведения спланированных атак с целью получения защищаемой информации из ЛВС организации.

Внутренние возможные нарушители

Невозможность нанесения существенного вреда внутренними возможными нарушителями обеспечивается организационно.

Пользователи (операторы)

Пользователи (операторы), несмотря на свою многочисленность и постоянную возможность доступа к базам данных, не являются опасными. При правильной организации работы в ЛВС (АРМ), все действия пользователей (операторов) протоколируются, доступ к персональным компьютерам (АРМам) и базам данных ограничен и не превышает уровень необходимый для выполнения производственных задач.

Программисты

Программисты, в виду своей высокой квалификации, наличия прав по доступу в программных комплексах, несут в себе завуалированные и трудно распознаваемые угрозы безопасности. В частности:

• В случае доступа к реальным базам данных могут вносить неконтролируемые изменения (модификации) в базы данных.
• В случае доступа к исходному коду продуктов могут вносить неконтролируемые изменения в разрабатываемые программные продукты (системы управления базами данных, технологии).
• В случае доступа к исходному коду продуктов могут вносить контролируемые изменения в разрабатываемые программные продукты: программные закладки с целью несанкционированного доступа, системы блокировки работы по условному ключу или команде.

Администраторы ЛВС и специалисты по защите информации

Администраторы ЛВС и специалисты по защите информации являются опасной группой среди внутренних нарушителей, в связи с высокой профессиональной квалификацией и спецификой выполняемых задач, не смотря на свою малочисленность. В частности, ими могут быть созданы ситуации, препятствующие штатному функционированию СВТ (останов, сбой серверов; уничтожение и/или модификация программного обеспечения для внесения программных закладок; создания множественных, ложных информационных сообщений). Администраторы ЛВС и специалисты по защите информации обладают большими возможностями по несанкционированному съему защищаемой информации, блокированию работы отдельных пользователей, перестройке планов маршрутизации информации и порядка доступа к информационным ресурсам.

Руководители разработки и эксплуатации ОИ

Руководители разработки и эксплуатации ОИ, являются потенциально опасными в первую очередь из-за наличия больших прав по доступу в ЛВС и в силу больших руководящих полномочий. Кроме того, учет и протоколирование действий руководителей, смена личных паролей (идентификаторов) по доступу в ЛВС часто не выполняются должным образом. Это может привести к несанкционированному доступу к защищаемой информации посторонних пользователей, через подбор пароля и выполнение действий от лица руководителя.

Технический (обслуживающий) персонал

Технический (обслуживающий) персонал обладает опасными специфическими возможностями, заключающимися, в:

• наличии прав на изменение топологии ЛВС;
• создании незарегистрированных узлов ЛВС;
• создании незарегистрированных точек входа и выхода из ЛВС.

Указанные виды нарушений поддаются контролю при четкой организации процедур доступа технического (обслуживающего) персонала к функционирующему оборудованию ЛВС.

Цели и задачи обеспечения информационной безопасности

Основными целями обеспечения информационной безопасности, являются:

1. защита субъектов информационных отношений (интересы которых затрагиваются при создании и функционировании информационной системы) от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования объектов информатизации или несанкционированного доступа к циркулирующей в ней информации и её незаконного использования;
2. обеспечение соблюдения требований законодательства, руководящих и нормативных документов и общей политики безопасности;
3. обеспечение работоспособности подсистемы информационной безопасности;
4. обеспечение требований и условий целостности и конфиденциальности информации циркулирующей в системе.

Указанная цель достигается посредством обеспечения (поддержания) следующих свойств информации при её автоматизированной обработки:

• доступности обрабатываемой информации для зарегистрированных пользователей, устойчивого функционирования системы, при котором пользователи имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время;
• сохранения в тайне (обеспечения конфиденциальности) определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи;
• целостности и аутентичности (подтверждение авторства) информации, хранимой, обрабатываемой и передаваемой по каналам связи.

Основными задачами, реализуемыми подсистемой информационной безопасности (с входящими в её состав КСЗИ НСД каждого объекта информатизации) являются:

• своевременное выявление и прогнозирование внутренних и внешних угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений;
• выявление попыток несанкционированного доступа к информационным ресурсам;
• выполнение централизованного комплекса мер по противодействию техническим разведкам и предотвращения НСД к защищаемой информации и БД;
• предупреждение преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе её создания, обработки, передачи и хранения;
• разработка и эксплуатация информационных технологий в защищенном исполнении;
• организация защищенного электронного документооборота, с использованием СКЗИ, развертывания системы удостоверяющих центров, применения электронной цифровой подписи и частных виртуальных сетей обмена информации по телекоммуникационным системам связи;
• разработка соответствующей ведомственной нормативно — правовой базы в области обеспечения информационной безопасности;
• создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации;
• развитие системы сертификации средств информатизации, программных продуктов, применения сертифицированных средств защиты информации и использование системы лицензирования деятельности в области защиты информации и международного информационного обмена;
• определение оптимального с экономической точки зрения отнесения информации к категории ограниченного доступа, в том числе государственной тайне и конфиденциальной информации;
• создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями пользователей (исполнителей работ) на объектах информатизации;
• подготовка кадров в области защиты информации.

Для достижения основных целей защиты КСЗИ НСД на объектах информатизации должна обеспечивать решение следующих основных задач:

• защиту от вмешательства в процесс функционирования ОИ посторонних лиц (возможность использования ОИ и доступа к ресурсам должны иметь только зарегистрированные установленным порядком пользователи или должностные лица);
• разграничение доступа зарегистрированных пользователей (в том числе внешних пользователей, пользователей из числа сотрудников взаимодействующих органов государственной власти, подведомственных предприятий, организаций и учреждений министерств и ведомств) к аппаратным, программным и информационным ресурсам ОИ (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), т.е. защиту от несанкционированного доступа;
• регистрацию действий пользователей при использовании защищаемых ресурсов на ОИ в системных журналах СЗИ от НСД и периодический контроль корректности действий пользователей путем анализа содержимого этих журналов специалистами по защите информации;
• контроль целостности (обеспечение неизменности) среды исполнения программ и её восстановление в случае нарушения;
• защиту от несанкционированной модификации и контроль целостности используемых на ОИ программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
• защиту информации от утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию в целях её уничтожения, искажения и блокирования и по противодействию техническим средствам разведки;
• защиту информации ограниченного распространения, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;
• обеспечение, аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
• обеспечение живучести криптографических средств защиты информации, при компрометации части ключевой системы.

Политика информационной безопасности

В разделе изложена политика информационной безопасности системы.

Цели политики информационной безопасности

Основными целями политики информационной безопасности является:

• обеспечение сохранности, целостности информационных ресурсов и предоставление доступа к ним в строгом соответствии с установленными приоритетами и правилами разграничения доступа;
• обеспечение защиты подсистем, задач и технологических процессов, от угроз информационной безопасности, описанных выше в настоящем документе;
• обеспечение защиты управляющей информации от угроз информационной безопасности, описанных выше в настоящем документе;
• обеспечение защиты каналов связи от угроз со стороны каналов связи.

Основой создания подсистемы информационной безопасности (ПИБ) является политика информационной безопасности, под которой понимается набор правил и практических рекомендаций, на которых строится обеспечение информационной безопасности, управление и распределение средств защиты информации на объектах информатизации.

Политика информационной безопасности должна представлять совокупность требований, правил, положений и принятых решений, определяющих:

• порядок доступа к информационным ресурсам;
• необходимый уровень (класс и категорию) защищенности объектов информатизации;
• организацию защиты информации в целом;
• дополнительные требования по защите отдельных компонент;
• основные направления и способы защиты информации.

Политика информационной безопасности направлена на обеспечение:

• конфиденциальности (секретности) информации, циркулирующей в системе, субъективно определяемой характеристике информации, указывающей на необходимость введения ограничений на круг субъектов информационных отношений, имеющих доступ к данной информации, и обеспечиваемую способность среды обработки сохранять информацию в тайне от субъектов, не имеющих полномочий на доступ к ней;
• целостности информации и среды её обработки, то есть предотвращение несанкционированной модификации, реконфигурации или уничтожения информации, программных средств её обработки, а также предотвращения несанкционированного изменения структуры и её объектов информатизации;
• доступности информации, то есть способности информационной среды, средств и технологий обработки информации обеспечить санкционированный доступ субъектов к информации, программным и аппаратным средствам.

Защите подлежит принимаемая/передаваемая, обрабатываемая и хранимая информация содержащая:

• сведения, предназначенные для предоставления средствам массовой информации;
• иные сведения, не составляющую служебную тайну;
• сведения, составляющие конфиденциальную, служебную тайну, доступ к которым ограничен собственником информации, в соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» и постановлениями Правительства Российской Федерации «Об утверждении Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам» и «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»;
• сведения, составляющие коммерческую тайну, доступ к которой ограничен в соответствии с правами, предоставленными Федеральным законом «Об информации, информационных технологиях и о защите информации», и целями Организации;
• сведения о частной жизни граждан (персональные данные), доступ к которым ограничен законодательством.

Обеспечение защиты открытой информации осуществляется организационными мерами, средствами сетевого и телекоммуникационного оборудования, а также стандартными средствами общего программного обеспечения (операционных систем, СУБД).

Первым шагом на пути обеспечения информационной безопасности является разработка политики информационной безопасности.

Принципы, реализуемые при построении подсистемы информационной безопасности

Подсистема информационной безопасности строится на базе использования следующих основных принципов:

• законность;
• системность;
• комплексность;
• непрерывность защиты;
• катастрофоустойчивость;
• равнопрочность;
• своевременность;
• использование существующей базы;
• использование серийных решений;
• преемственность и непрерывность совершенствования;
• преимущественное использование отечественных аппаратно-программных средств защиты;
• устойчивость функционирования средств защиты при отдельных отказах;
• масштабируемость подсистемы информационной безопасности;
• разумная достаточность;
• рубежность;
• разделение на подсистемы;
• персональная ответственность;
• минимизация полномочий;
• персонификация при определении порядка доступа к защищаемой информации;
• взаимодействие и сотрудничество;
• гибкость системы защиты;
• открытость алгоритмов и механизмов защиты;
• простота применения средств защиты;
• научная обоснованность и техническая реализуемость;
• максимально возможная степень автоматизации процессов управления безопасностью;
• специализация и профессионализм;
• обязательность контроля;
• этапность.

Законность

Разработка подсистемы информационной безопасности при доступе к системе осуществляется в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры безопасности информации не должны препятствовать доступу к данным сотрудникам Организации в пределах своих полномочий в предусмотренных законодательством случаях к информации конкретных систем.

Системность

Системный подход к построению подсистемы информационной безопасности при доступе к системе предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых, для понимания и решения проблемы обеспечения безопасности информации АС ГЗК.

При создании подсистемы информационной безопасности учитываются все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты строится с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Комплексность

Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных её компонентов. Внешняя защита обеспечивается физическими средствами, организационными и правовыми мерами.

Кроме того, комплексный подход к обеспечению безопасности информации подразумевает использование защитных механизмов на всех этапах жизненного цикла системы, от её проектирования и до вывода из эксплуатации, и совместное решение целого спектра вопросов, начиная от физической защиты объектов АС ГЗК, с применением системы контроля доступа, и оканчивая вопросами поддержки функционирования в критических ситуациях.

Непрерывность защиты

Защита информации — не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка, такая как обновление программного обеспечения, своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий. Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления её функционирования.

Кроме того, организационно-техническое обеспечение должно быть реализовано таким образом, чтобы при внесении любых изменений в структуру, адекватные изменения вносились и в её подсистеме защиты.

Катастрофоустойчивость

Означает такое построение и эксплуатацию, при которых вероятность безвозвратной потери информации, обрабатываемой и хранимой, при возможном разрушении, а также при возможном значительным или частичным нанесением физического ущерба зданиям, помещениям, в которых располагается оборудование и системам жизнеобеспечения, будет минимальна.

Равнопрочность

При создании системы комплексной защиты используется принцип равнопрочности защиты, при котором в системе отсутствуют элементы, снижающие уровень защищенности на отдельных её участках.

Своевременность

Предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач ПИБ и реализацию мер обеспечения безопасности информации по мере развития системы в целом и её подсистемы информационной безопасности, в частности.

Использование существующей базы

Базой для подсистемы информационной безопасности является существующая система, находящаяся в процессе развития. При этом в подсистемы информационной безопасности максимально задействуются штатные механизмы защиты информации, имеющиеся в аппаратных и программных компонентах (на серверах, рабочих станциях, маршрутизаторах, в операционных системах, прикладном программном обеспечении).

Использование серийных решений

В системе комплексной защиты информации максимально используются серийно выпускаемое отечественное и зарубежное оборудование и программное обеспечение, адаптируемое к конкретным условиям эксплуатации и положительно себя зарекомендовавшее.

Преемственность и совершенствование

Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования системы и её защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

Преимущественное использование отечественных аппаратно-программных средств защиты

При построении ПИБ предполагается осуществить преимущественное использование отечественных аппаратно-программных средств защиты в рамках реализации единой политики информационной безопасности на объектах.

Устойчивость функционирования средств защиты

При проектировании ПИБ закладываются такие решения, которые бы обеспечили устойчивое функционирование средств защиты и доступ пользователей к ресурсам объектов, в условиях возможных отдельных отказов и сбоев оборудования и активных негативных воздействий на аппаратно-программные средства защиты.

Масштабируемость подсистемы информационной безопасности

Подсистема информационной безопасности должна удовлетворять требованию масштабируемости, то есть обеспечивать заданный уровень работоспособности и эффективности защиты в условиях динамического развития, роста объема информационных и программных ресурсов объектов.

Разумная достаточность

Предполагает экономическую целесообразность, сопоставимость возможного ущерба от разглашения, утраты, утечки, уничтожения и искажения информации и затрат на организацию её защиты. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы, в которой эта информация передается, обрабатывается и хранится. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала.

Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности, заданный в РД Гостехкомиссии «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации». Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

Рубежностъ

Для каждой защищаемой системы используется принцип «рубежности» для построения многоуровневой системы доступа к защищаемой информации. Одним из эффективных внешних рубежей защиты системы должны быть СЗИ, реализованные на уровне операционных систем (ОС) в силу того, что ОС — это та часть компьютерной системы, которая управляет использованием всех её ресурсов. Рубеж защиты на прикладном уровне, учитывающий особенности предметной области, представляет собой внутренний рубеж защиты.

Уровни доступа к защищаемой информации

№ уровня защиты	Наименование
Уровень 5	Доступ к передаче информации по каналам связи (ввод ключа шифрования и ЭЦП)
Уровень 4	Доступ к информации в базах данных (ввод пароля в прикладном ПО для доступа к базам данных)
Уровень 3	Доступ к ресурсам (по аутентификации сетевого имени, ввод имени и индивидуального пароля для входа в сеть)
Уровень 2	Доступ к операционной системе рабочей станции (использование встроенных средств операционной системе)
Уровень 1	Система доступа в помещения (к рабочим станциям и оборудованию)
Уровень 0	Система доступа на объект информатизации

Персональная ответственность

Предполагает возложение ответственности за обеспечение безопасности информации и системы её обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

Принцип минимизации полномочий

Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.

Принцип персонификации при определении порядка доступа к защищаемой информации

Означает, что все полномочия при определении порядка доступа пользователей и администраторов к защищаемой информации должны быть персональными, указаны явно и проверены непосредственно перед предоставлением доступа.

Гибкость системы защиты

Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты обладают определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установка средств защиты осуществляется на работающую систему, не нарушая процесса её нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости системы защиты избавляет владельцев от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

Открытость алгоритмов и механизмов защиты

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не обеспечивается только за счет секретности структурной организации и алгоритмов функционирования её подсистем. Знание алгоритмов работы системы защиты не должно давать возможности её преодоления (даже авторам). Это однако не означает, что информация о конкретной системе защиты должна быть общедоступна.

Простота применения средств защиты

Механизмы защиты являются интуитивно понятными и простыми в использовании. Применение средств защиты не связывается со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не требует от пользователя выполнения рутинных малопонятных ему операций.

Научная обоснованность и техническая реализуемость

Информационные технологии, технические и программные средства, средства и меры защиты информации реализованы на современном уровне развития науки и техники, обоснованы с точки зрения достижения заданного уровня безопасности информации и соответствуют установленным нормам и требованиям по безопасности информации.

Максимально возможная степень автоматизации процессов управления безопасностью

При проектировании, эксплуатации ПИБ должна быть обеспечена максимально возможная степень автоматизации управления безопасностью информацией, в том числе и при управлении конфигурацией ПИБ.

Специализация и профессионализм

Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляется профессионально подготовленными специалистами Организации (специалистами подразделений технической защиты информации).

Обязательность контроля

Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.

Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты осуществляется на основе применения средств оперативного контроля и регистрации и охватывает как несанкционированные, так и санкционированные действия пользователей.

Этапность

Построение подсистемы информационной безопасности осуществляется поэтапно.

Приоритеты обеспечения информационной безопасности

С точки зрения требований к обеспечению информационной безопасности, обрабатывается информация следующих видов — открытая информация, конфиденциальная (служебная) информация.

Каждому виду информации соответствуют свои приоритеты в обеспечении информационной безопасности.

Для обеспечения работы пользователей с открытой информацией, при выполнении ими своих служебных обязанностей, определены следующие приоритеты в обеспечении информационной безопасности:

Для обеспечения работы пользователей с конфиденциальной (служебной) информацией, содержащей сведения ограниченного распространения, определены следующие приоритеты в обеспечении информационной безопасности:

• целостность;
• конфиденциальность;
• доступность.

• под целостностью информации понимается свойство автоматизированной системы сохранять неизменность или обнаруживать факт изменения информации и в последующем восстанавливать её, в условиях случайных и преднамеренных угроз, негативных воздействий, помех, ошибок, сбоев;
• под конфиденциальностью информации понимается свойство автоматизированной системы, заключающееся в том, что в условиях случайных и преднамеренных угроз информация предоставляется только авторизованному пользователю;
• под доступностью информации понимается свойство автоматизированной системы, заключающееся в том, что в условиях случайных и преднамеренных угроз информация предоставляется в том виде и том месте, которые необходимы авторизованному (санкционированному) пользователю, и в то время, когда она ему необходима. Доступность определяется как наличием необходимой информации, так и готовностью системы к обслуживанию.

Целостность информационных, вычислительных и телекоммуникационных ресурсов должна обеспечиваться и контролироваться с помощью специальных методов и средств защиты информации от несанкционированного доступа (НСД).

Осуществление контроля правильности работы прикладного программного обеспечения на рабочих станциях, непосредственно взаимодействующих с сетевыми ресурсами должно осуществляться с применением средств активного аудита.

Целостность передаваемых сообщений должна обеспечиваться применением криптографических механизмов вычисления контрольных сумм (коды аутентификации, имитовставки, электронная цифровая подпись).

Кроме того, целостность информации должна обеспечиваться применением специальных средств защиты от разрушающих программных компонент и средств контроля целостности.

Обеспечение конфиденциальности информации должно осуществляться:

• на прикладном (абонентском) уровне с применением системы контроля доступа на объекты и в помещения
• применением средств шифрования на сетевом уровне (шифраторы пакетов различных сетевых протоколов, криптомаршрутизаторы) при непременном условии обеспечения достаточно высоких эксплуатационных характеристик оборудования ПИБ (быстродействие, надежность, удаленное управление).

Обеспечение доступности информации обеспечивается соответствующими архитектурными и техническими решениями построения, в том числе архитектурными и техническими решениями ПИБ, а также применением специальных регламентов и средств, таких как регламенты и средства резервного копирования, средства обеспечения бесперебойного электропитания оборудования.

Основные направления обеспечения информационной безопасности

Исходя из указанных выше приоритетов, основными направлениями обеспечения информационной безопасности при работе пользователей с конфиденциальной (служебной) информацией, являются:

• контроль и управление доступом на объекты, в помещения, в контуры обработки информации;
• защита информации от несанкционированного доступа (НСД);
• защита от разрушающих программных компонент (РПК) и контроль целостности;
• защита информации при передаче по внешним (открытым) каналам связи;
• защита информации от утечки по техническим каналам;
• выявление и противодействие возможным атакам по каналам связи и техническим каналам;
• регистрация и учет работы аппаратно-программных средств и пользователей;
• контроль и управление доступом к ресурсам;
• поддержание доступности информации.

Контроль доступа на объекты и в помещения

Контроль доступа на объекты регламентируется общими правилами Организации. В частности, доступ к объектам и помещениям, в которых установлено серверное оборудование, осуществляется обученным и сертифицированным персоналом и ограничивается стандартными офисными средствами безопасности.

Защита информации от несанкционированного доступа

Данная подсистема защиты информации должна быть реализована на базе комплексного использования штатных средств и функций защиты, предоставляемых оборудованием и программным обеспечением (встроенными средствами защиты сетевых операционных систем и систем управления базами данных (СУБД)).

При построении защиты от НСД необходимо, по возможности, избегать дублирования многих функций, с тем, чтобы ПИБ не страдала избыточностью, что в конечном итоге скажется как на удобстве работы пользователей и их желании выполнять все предписания системы защиты, так и на управляемости самой ПИБ.

Защита информации от НСД также должна обеспечиваться:

• средствами межсетевого экранирования;
• средствами криптографической защиты информации;
• средствами управления, анализа и аудита ПИБ в рамках сетевых конфигураций.

Средства межсетевого экранирования

Средства межсетевого экранирования должны использоваться для подключения к открытым сетям и для развязки разноуровневых сетей внутри, в том числе сетей, обрабатывающих информацию с различным грифом секретности.

Концепция систем типа Firewall (брандмауер, межсетевой экран) была разработана для снижения риска нелегального доступа к закрытой информации при подключении частных сетей (в том числе ЛВС> к сетям общего пользования.

Межсетевой экран представляет собой программно-аппаратный комплекс, размещенный на стыке двух сетей и реализующий следующие три функции:

• обеспечение обмена данными между сетями только через указанную систему;
• фильтрация трафика обмена;
• предотвращение возможности проникновения в сам экран.

В этом случае обеспечивается эффективная блокировка внешнего трафика частной сети и жесткий контроль за ним.

Кроме того, межсетевые экраны могут осуществлять разграничение доступа между различными сегментами одной корпоративной сети, а также контроль за информационными потоками, направленными во вне, обеспечивая тем самым необходимый режим конфиденциальности.

Применение межсетевых экранов также позволяет существенно уменьшить уязвимость внутренних сервисов безопасности, так как нарушителю необходимо вначале преодолеть защитные механизмы самого экрана, где они сконфигурированы особенно тщательно.

Существующие в настоящее время межсетевые экраны могут быть условно разделены на следующие четыре типа:

• экраны с фильтрацией пакетов (packet-filtering firewall);
• шлюзы сеансового уровня (circuit-level gateway);
• шлюзы прикладного уровня (application-level gateway);
• экраны экспертного уровня (stateful inspection firewall).

Однако лишь некоторые межсетевые экраны могут быть отнесены только к одной из указанных категорий.

В ПИБ, исходя из принципа «разумной достаточности», рекомендуется применять межсетевые экраны, реализующие функции первых трех типов, из указанных выше типов межсетевых экранов.

Средства криптографической защиты информации

Одним из приоритетных направлений обеспечения информационной безопасности является использование криптографических средств защиты информации (СКЗИ), в том числе криптомаршрутизаторов, средств криптографической аутентификации и электронной цифровой подписи (ЭЦП). ЭЦП должна генерироваться и проверяться с использованием средств ПИБ.

Средства управления, анализа и аудита

Средства аудита занимают свое особое положение в ряду средств обеспечения безопасности информации, заключающееся в том, что все действия нарушителя по преодолению средств защиты фиксируются, позволяя тем самым вовремя обнаружить попытку несанкционированного входа. Причем, учитывая принцип многоуровневой защиты, нарушителю придется преодолевать несколько защитных рубежей, что будет обязательно отмечено в регистрационном протоколе. В случае если указанная процедура выполняется в режиме реального времени, администратором безопасности могут быть своевременно предприняты соответствующие меры по предотвращению незаконного вторжения на одном из следующих уровнях защиты.

Кроме средств аудита часть программных продуктов также позволяет осуществлять оценку системы безопасности сети, имитируя известные способы, применяемые нарушителями для проникновения в интрасети, и тем самым, обнаруживая в системе защиты слабые места. Данные программные продукты не только выявляют уязвимые места, но и определяют действия, которые необходимо предпринять для ликвидации пробелов в сетевой системе безопасности. Администратору остается лишь выбрать способы их устранения.

Удостоверяющий центр

Для ведения B2B и B2G проектов необходимо провести развертывание Удостоверяющего центра (УЦ). УЦ должен обеспечить выполнение следующих основных функций:

• осуществление общего технического функционирования защищенного электронного документооборота при использовании СКЗИ;
• заключение договоров на установку и подключение программно-технических средств Пользователей;
• изготовление сертификатов открытых ключей подписей;
• регистрацию владельцев сертификатов открытых ключей подписей (Пользователей);
• ведение реестров Пользователей;
• выдачу Пользователям инсталляционных носителей информации с эталонным программным обеспечением СКЗИ и необходимой эксплуатационной документацией;
• обеспечение свободного доступа к реестру Пользователей;
• эффективное, надежное функционирование и непрерывный режим эксплуатации в рабочее время;
• поддержку основных средств сетевого взаимодействия, средств контроля, настройки и администрирования;
• взаимодействие с сетью удалённых Центров регистрации и ведение баз данных, содержащих информацию о владельцах сертификатов;
• организацию консультаций Пользователей по использованию криптографических средств защиты информации.

Для взаимодействия с удостоверяющими центрами, входящими в систему удостоверяющих центров Российской Федерации ведомственный УЦ должен обеспечивать возможность кросс-сертификации.

Для всех пользователей УЦ должен быть разработан и предоставлен документ «Сборник руководящих документов по организации системы защищенного электронного документооборота с использованием средств криптографической защиты информации в системе».

Для разрешения возникающих конфликтных ситуаций (разногласий) между пользователями защищенной сети разногласия разрешаются на ведомственном уровне.

Используемые СКЗИ в УЦ должны соответствовать требованиям ГОСТ 28147-89, Р34.10-94, Р34.11-94, Р 34.11-2001 и иметь сертификат ФСБ (ФАПСИ) на аппаратно-программное средство криптографической защиты информации (СКЗИ) по классу защищенности КС1.

Средства защиты от разрушающих программных компонент и контроля целостности

Учитывая, что в настоящее время среди отнесенных к специальным программам, содержащим в себе некие деструктивные элементы — разрушающие программные компоненты, массовое распространение получили компьютерные вирусы, особую актуальность приобретает использование антивирусных средств (ABC) защиты информации, предназначенных для работы в гетерогенных сетях.

В связи с этим в данном разделе описывается подход по осуществлению антивирусной защиты.

Для обеспечения надежной антивирусной защиты в состав ПИБ рекомендуется включить средства антивирусной защиты от двух независимых производителей.

Кроме того, имеется необходимость применения антивирусного сканера, предназначенного для осуществления проверки наличия вирусов в файлах, загружаемых программами просмотра (WEB-броузерами), а также в получаемых почтовых сообщениях, действуя совершенно прозрачно для пользователей.

Система защиты от вирусов ПИБ должна строиться исходя из обязательного выполнения следующих процедур:

• входной контроль новых программных средств и входной контроль поступающей по сети информации и данных (выполняется применяемыми ABC);
• защиту операционной системы и системных программ от заражения;
• карантинный режим эксплуатации нового программного обеспечения;
• резервирование главной загрузочной записи (MBR), таблицы размещения файлов и CMOS-памяти.

Организационные мероприятия по антивирусной защите также играют важную роль.

При их проведении необходимо учитывать, что для надежного функционирования системы антивирусной защиты конечные пользователи должны знать, какое программное обеспечение работает на каждой рабочей станции, а администратор безопасности — в том числе и на сервере, и ежесуточно проверять его целостность.

В целях успешной борьбы с компьютерными вирусами в рамках ПИБ должен быть спланирован и скоординирован подход для ликвидации вирусного заражения или атаки.

В рамках ПИБ должен вестись непрерывный контроль целостности ПО и данных. Обеспечение целостности ПО и данных имеет важное значение, и ввиду того, что для баз данных и для системы в целом, вероятно наиболее распространенными «нарушителями» являются ошибки оборудования, программ, администраторов и пользователей системы.

Под контролем целостности в общем плане понимается:

• проверка наличия в штатном комплекте ПО полной совокупности критичных по безопасности программных компонентов;
• проверка совпадения размеров ХЕШ-функций компонентов ПО и данных используемых при эксплуатации в штатном режиме с эталонными значениями этих компонентов, хранящимися в Архиве ХЕШ-Эталонов.

В рамках ПИБ контроль целостности ПО и данных, рекомендуется обеспечивать средствами общего программного обеспечения (операционных систем и СУБД).

Средства поддержания доступности информации

Средства резервного копирования

Резервное копирование программ и данных необходимо проводить с целью минимизации потерь в случае отказов оборудования, либо сбоев в программном обеспечении. Данная задача наиболее сложна именно в интрасетях с их распределенными ресурсами и неоднородностью, в которых работают компьютеры под управлением различных операционных систем. Учитывая клиент/серверный характер интрасетей функцию резервного копирования целесообразно выделить в виде отдельного сервера (сервера Backup).

Распространение клиент/серверного подхода на процедуру резервного копирования информации и данных имеет ряд преимуществ по сравнению с традиционными методами. Они выражаются в следующем:

• Администраторы рабочих групп освобождаются от необходимости согласования действий и самой процедуры создания локальных резервных копий.
• Единообразие процедуры создания резервных копий.
• Возможность мониторинга процесса резервирования и диагностики возникших проблем.

Одним из способов обеспечения высокой доступности информации является создание резервных копий с возможностью её хранения в двух местах: один экземпляр хранится поблизости от оригинала, а другой в удаленном безопасном месте.

Средства обеспечения бесперебойного питания

Безопасность приема/передачи, обработки и хранения информации, в немалой степени зависит от стабильности характеристик питающего напряжения.

В качестве объекта защиты выступает такое оборудование, как серверы, мосты, маршрутизаторы, концентраторы, то есть те устройства, где необходимо корректно завершить работу по обработке информации без потери каких-либо данных прежде, чем прекратится подача электропитания.

Для обеспечения бесперебойного питания, как правило, применяется распределенная система бесперебойного питания, используемая там, где необходимо подавать питание на отдельные устройства вычислительной сети.

Структура управления подсистемой информационной безопасности

Реализуется следующая организационная структура управления подсистемой обеспечения информационной безопасности при доступе к системе:

Первый уровень управления: постоянно действующая техническая комиссия (ПДТК), на которой рассматриваются вопросы разработки подсистемы информационной безопасности. Контроль за разработкой ПИБ осуществляют департаменты Организации в пределах своей компетенции.

Второй уровень управления: специализированные подразделения, группы специалистов или отдельные специалисты по защите информации, в органах, учреждениях и предприятиях Организации.

Обеспечение информационной безопасности организует департамент Информационных технологий, обеспечивая выполнение следующих основных функций в интересах разработки ПИБ:

• разработка проектов нормативных документов по обеспечению информационной безопасности;
• разработка рекомендаций по защите информации от НСД;
• анализ и выявление возможных внешних и внутренних угроз безопасности, возможных каналов утечки информации;
• разработка рекомендаций, выбор и проверка на совместимость с общим и технологическим программным обеспечением современных сертифицированных систем и средств (программных, программно-аппаратных, технических, криптографических и т.п.) защиты информации на испытательном стенде;
• разработка и поставка на объекты информатизации программно-технических комплексов в защищенном исполнении, предназначенных для обработки секретной информации;
• проведение специальных объектовых исследований средств вычислительной техники от утечки информации по каналу побочных электромагнитных излучений и наводок;
• организация проведения защитных мероприятий для выделенных помещений;
• разработка предложений и рекомендаций по защите конфиденциальной информации, в том числе в части использования криптографических средств защиты информации и при передаче информации по телекоммуникационным сетям связи;
• подготовка предложений и участие в развертывании VPN —сети, системы удостоверяющих центров и по применению электронной цифровой подписи;
• организация проведения подготовки и аттестации и контроля объектов информатизации по требованиям информационной безопасности;
• координация и участие в разработке защищенных информационных технологий и ГИС-технологий, с последующей их подготовкой к сертификации по требованиям безопасности информации;
• взаимодействие с подразделениями по защите информации в министерствах, службах и агентствах, с предприятиями, организациями, сертификационными лабораториями и аттестационными центрами по вопросам информационной безопасности;
• разработка предложений по совершенствованию защиты секретной информации, в том числе от её утечки по техническим каналам;
• оказание консультативной и практической помощи по защите государственной тайны и конфиденциальной информации на объектах информатизации;
• участие в установке и отладке сертифицированных средств и систем защиты информации на объектах информатизации;
• организация специализированных курсов, проведение подготовки и обучение, специалистов по защите информации, для объектов информатизации.

Внедрение и реализацию требований по обеспечению информационной безопасности на объектах информатизации в органах, учреждениях предприятиях и организациях осуществляют специально подготовленные специалисты, группы или специальные, структурные подразделения по защите информации.

Организационные методы обеспечения информационной безопасности

Основным методом обеспечения информационной безопасности является принятие организационных мер и регламентов, а также культуры орагнизации. Сотрудники Организации несут личную ответственность за обеспечение информационной безопасности Организации, в том числе:

• свою информированность в вопросах информационной безопасности;
• свои действия, которые несут угрозы информационной безопасности;
• свои действия, которые наносят ущерб информационной безопасности;
• халатное отношение к мерам обеспечения информационной безопасности.

Формирование политики информационной безопасности на объектах информатизации

Разработка и осуществление политики безопасности на объектах информатизации, соответствующей положениям законодательных актов и требованиям НД по защите информации, является необходимым условием обеспечения достаточного уровня защиты государственных и ведомственных информационных ресурсов.

Политика информационной безопасности на объектах информатизации определяет процедуры и правила достижения целей и решения задач информационной безопасности, детализирует, регламентирует эти правила (например):

• роли и обязанности должностных лиц, отвечающих за проведение политики информационной безопасности;
• определение прав доступа к информации ограниченного доступа (кто и при каких условиях может читать и модифицировать информацию).

На всех объектах информатизации должно быть разработано «Положение о разрешительной системе допуска и доступа пользователей к информационным и техническим ресурсам объекта информатизации», в котором устанавливается кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях, определяются правила разграничения доступа, которые предполагают определение для всех пользователей информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.

Допуск пользователей к работе и информационным ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей должны производиться в соответствии с «Положением о разрешительной системе…» установленным порядком.

Все пользователи, допущенные к работе и обслуживающий персонал, должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник должен подписывать соглашение-обязательство о не разглашении сведений доверенных ему, соблюдении и ответственности за нарушение установленных требований по сохранению государственной тайны и конфиденциальной информации, а также правил работы с защищаемой информацией.

Обработка защищаемой информации на ОИ должна производиться в соответствии с утвержденными технологическими инструкциями по обеспечению информационной безопасности (включая вопросы восстановления информации при сбоях и отказах техники и ПО, текущего копирования, резервирования и архивирования).

Распределение идентификаторов, имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на администраторов конкретных баз данных и специалистов по защите информации. При этом могут использоваться как только штатные (сертифицированные), так и дополнительные средства защиты СУБД и операционных систем.

На этапе ввода в эксплуатацию объектов информатизации её пользователи, а также административный, руководящий и обслуживающий персонал должны быть ознакомлены с перечнем сведений, подлежащих засекречиванию, технологическими инструкциями (под роспись), в части их касающейся, и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации ограниченного доступа.

Для непосредственной организации, эффективного функционирования и контроля КСЗИ НСД на ОИ, в зависимости от объема выполняемых работ, должна быть создана специальная служба обеспечения информационной безопасности или назначены специалисты по защите, прошедшие необходимое обучение.

Система разработки нормативных документов по защите информации

Система разработки нормативных документов по обеспечению информационной безопасности создается для достижения следующих целей:

• оснащения органов, учреждений и предприятий Организации необходимой НД в области обеспечения информационной безопасности, применительно и с учетом специфики создания объектов информатизации АС ГЗК, в части их касающейся;
• координации принимаемых решений в области обеспечения информационной безопасности, сокращения сроков и затрат за счет стандартизации, унификации и типизации применяемых (в основном сертифицированных) СЗИ, контроля эффективности и общесистемных решений;
• обеспечения повышения эффективности и согласованности процесса управления обеспечением информационной безопасностью для объектов информатизации различного уровня.

Система НД по обеспечению информационной безопасности строится на основе следующих основных принципов:

• комплексность охвата проблемы;
• иерархичность построения с разграничением сферы действия и статуса обязательности отдельных видов НД;
• непротиворечивость и взаимосогласованность документов различного уровня;
• оптимальность состава (количества) документов;
• обоснованность включаемых требований.

Разработка и оснащение необходимыми НД, на основании которых осуществляется комплекс мероприятий и работ по обеспечению информационной безопасности, организуется департаментом инфомрационных технологий Организации.

Разрабатываются НД, областью распространения которых является организация защиты:

• конфиденциальной информации (включающей информацию ограниченного распространения с пометкой «Для служебного пользования», персональные данные и коммерческую тайну);
• открытой информации (для защиты её целостности, сохранности и достоверности).

Необходимые НД разрабатываются в соответствии и с учетом требований действующего законодательства Российской Федерации в области защиты информации, руководящих документов ФСТЭК (Гостехкомиссии) России, ФСБ России и других министерств, служб и агентств и документации на системы и средства защиты информации.

Органы, учреждения и предприятия Организации руководствуются этими НД, на их основе разрабатывают свои методические и инструктивные документы (если это необходимо) или дополняют действующие документы, в части их касающейся, с учетом специфики функционирования объектов информатизации.

Источники и нормативные документы

В данном разделе приведены ссылки на нормативные и обзорные документы.

Нормативные документы

В данном разделе приведены ссылки на ГОСТы и руководящие документы, определяющие политику информационной безопасности.

1. Закон Российской Федерации «О государственной тайне» от 21.07.93 №5485-1.
2. Закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. № 149-ФЗ;
3. Закон Российской Федерации «О персональных данных» от 27.07.2006г. № 152-ФЗ.
4. Закон Российской Федерации «О сертификации продукции и услуг» от 10.06.93 №5151-1.
5. Закон Российской Федерации «О международном информационном обмене» от 04.07.96 №85-ФЗ.
6. «Доктрина информационной безопасности Российской Федерации», утверждена Президентом Российской Федерации 9.09.2000 г. № Пр.-1895.
7. Указ Президента Российской Федерации от 17.12.97 г. № 1300 «Концепция национальной безопасности Российской Федерации» в редакции указа Президента Российской Федерации от 10.01.2000 г. №24.
8. Указ Президента Российской Федерации от 06.03.97 г. № 188 «Перечень сведений конфиденциального характера».
9. Постановление Правительства Российской Федерации от 03.11.94 г. №1233 «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органов исполнительной власти».
10. Указ Президента Российской Федерации «Об утверждении перечня сведений, отнесенных к государственной тайне» от 30.11.95 №1203.
11. «Положение о государственном лицензировании деятельности в области защиты информации». Утверждено решением Гостехкомиссии и ФАПСИ при Президенте Российской Федерации от 27.04.94 №10.
12. Дополнения и изменения в «Положение о государственном лицензировании деятельности в области защиты информации». Решение Гостехкомиссии России и ФАПСИ от 24.06.97 №60.
13. «Положение о сертификации средств защиты информации». Утверждено постановлением Правительства Российской Федерации от 26.06.95 №608.
14. «Положение о сертификации средств защиты информации по требованиям безопасности информации». Зарегистрировано Госстандартом России в Государственном реестре 20.03.95. Введено в действие приказом Председателя Гостехкомиссии России от 27.10.95 с дополнениями в соответствии с постановлением Правительства Российской Федерации от 26.06.95 №608.
15. «Положение по аттестации объектов информатизации по тpебованиям безопасности инфоpмации». Утверждено Председателем Гостехкомиссии России 25.11.94.
16. ГОСТ Р 50922–96 «Защита информации. Основные термины и определения».
17. ГОСТ 29339–92 «Информационная технология. Защита информации от утечки за счет ПЭМИН при её обработке средствами вычислительной техники. Общие технические требования».
18. ГОСТ Р 50752–95 «Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при её обработке средствами вычислительной техники. Методы испытаний».
19. ГОСТ Р 51275–99 «Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения».
20. ГОСТ 28195–89. «Оценка качества программных средств. Общие положения»;
21. ГОСТ Р 51583–2000 «Порядок создания автоматизированных систем в защищенном исполнении».
22. ГОСТ Р 51241–98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний».
23. ГОСТ Р ИСО 7498–1–99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель».
24. ГОСТ Р ИСО 7498–2–99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации».
25. ГОСТ 2.114–95 «Единая система конструкторской документации. Технические условия».
26. ГОСТ 2.601–95 «Единая система конструкторской документации. Эксплуатационные документы».
27. ГОСТ Р 50739–95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».
28. ГОСТ 28147–89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».
29. ГОСТ Р 34.10–94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».
30. ГОСТ Р 34.11–94 «Информационная технология. Криптографическая защита информации. Функции хэширования».
31. ГОСТ Р ИСО/МЭК 15408–1–2002. «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель».
32. ГОСТ Р ИСО/МЭК 15408–2–2002. «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности».
33. ГОСТ Р ИСО/МЭК 15408–3–2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности».
34. «Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (приказ Гостехкомиссии России от 19.06.2002г. № 187).
35. РД.50–492–84. «Методика оценки научно-технического уровня АСУ. Типовые положения».
36. РД.50-680—88. «Методические указания. Автоматизированные системы. Основные положения».
37. ГОСТ 34.602–89. «Информационная технология. Комплекс стандартов на АС. Техническое задание на создание автоматизированной системы».
38. РД.50-34.698–90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на АС. АС. Требования к содержанию документов».
39. ГОСТ 34.201–89. «Информационная технология. Комплекс стандартов на АС. Виды, комплектность и обозначение документов при создании АС».
40. ГОСТ 34.936–91. «Информационная технология. ЛВС. Определение услуг уровня управления доступом».
41. ГОСТ 24.104–85. «Автоматизированные системы управления. Общие требования».
42. ГОСТ 24.702–85. «Эффективность АСУ».
43. ГОСТ 24.703–85. «Типовые проекты решения АСУ».
44. ГОСТ 34.603–92. «Виды испытаний автоматизированных систем».
45. ГОСТ 26139–84. «Интерфейс для АСУ рассредоточенными объектами. Общие требования».
46. ГОСТ 16504–81. «Испытания и контроль качества продукции».
47. ГОСТ 29099–91. «Сети вычислительные локальные. Термины и определения.
48. «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)».
49. Руководящий документ «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники». Гостехкомиссия России. Москва. Военное издательство. 1992г.
50. Руководящий документ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации». Гостехкомиссия России. Москва. Военное издательство. 1992г.
51. Руководящий документ «Защита от несанкционированного доступа к информации. Термины и определения». Гостехкомиссия России. Москва. Военное издательство. 1992г.
52. Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ». Гостехкомиссия России. Москва. Военное издательство. 1992г.
53. Руководящий документ «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации». Гостехкомиссия России. Москва. Военное издательство. 1992г.
54. РД «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей». Гостехкомиссия России Москва, 1999г.
55. Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации». Утвержден решением Председателя Гостехкомиссии России от 25.07.97.
56. «РД. Концепция обеспечения информационной безопасности в системе Государственного комитета Российской Федерации по земельной политике». (Госкомзем России, 2000г.).
57. «РД. Типовое Руководство по защите информации, составляющей государственную тайну, от технических разведок и от её утечки по техническим каналам в системе Госкомзема России». (Госкомзем России, 2000г.).
58. «РД. Временное типовое Положение по защите информации, составляющей государственную тайну, при её обработке в автоматизированных системах в системе Государственного комитета Российской Федерации по земельной политике». (Госкомзем России, 2000г.).
59. «РД. Временная Инструкция о порядке обращения и обеспечения защиты конфиденциальной информации при её обработке в системе Государственного комитета Российской Федерации по земельной политике». (Госкомзем России, 2000г.).
60. «РД. Типовая программа и методика проведения аттестационных испытаний автоматизированных систем на соответствие требованиям по безопасности информации в системе Государственного комитета Российской Федерации по земельной политике». (Госкомзем России, 2000г.).
61. Семейство межднародных стандартов ISO 27000, регламентирующих информационную безопасность.

Источники

В разделе приведены ссылки на справочники, описания стандартов и принципов построения политики информационной безопасности.

Перечень сведений, отнесенных к коммерческой тайне

Следующий список содержит документы и сведения, составляющие коммерческую тайну Организации.

1. Бухгатерские документы.
2. Планы (бизнес, логистика) текущих проектов.
3. Переписка с заказчиками.
4. Учётные записи и пароли доступа к информации.

Информационные ресурсы подлежащие защите

Политика Информационной Безопасности.

1. Общие положения

Настоящая Политика информационной безопасности (далее – Политика) определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач, а также организационных, технологических и процедурных аспектов обеспечения безопасности информации объектов информационной инфраструктуры, включающих совокупность информационных центров, банков данных и систем связи организации. Настоящая Политика разработана с учетом требований действующего законодательства РФ и ближайших перспектив развития объектов информационной инфраструктуры, а также характеристик и возможностей современных организационно-технических методов и аппаратно-программных средств защиты информации.

Основные положения и требования Политики распространяются на все структурные подразделения организации.

Политика является методологической основой для формирования и проведения единой политики в области обеспечения безопасности информации объектов информационной инфраструктуры, принятия согласованных управленческих решений и разработки практических мер, направленных на обеспечение информационной безопасности, координации деятельности структурных подразделений организации при проведении работ по созданию, развитию и эксплуатации объектов информационной инфраструктуры с соблюдением требований по обеспечению безопасности информации.

Политика не регламентирует вопросы организации охраны помещений и обеспечения сохранности и физической целостности компонентов информационной инфраструктуры, защиты от стихийных бедствий, и сбоев в системе энергоснабжения, однако предполагает построение системы информационной безопасности на тех же концептуальных основах, что и система безопасности организации в целом.

Реализация политики обеспечивается соответствующими руководствами, положениями, порядками, инструкциями, методическими указаниями и системой оценки информационной безопасности в организации.

В Политике используются следующие термины и определения:

Автоматизированная система (АС) — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Информационная инфраструктура — система организационных структур, обеспечивающих функционирование и развитие информационного пространства и средств информационного взаимодействия. Информационная инфраструктура включает совокупность информационных центров, банков данных и знаний, систем связи, обеспечивает доступ потребителей к информационным ресурсам.

Информационные ресурсы (ИР) – это отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, базах данных и других информационных системах).

Информационная система (ИС) — система обработки информации и соответствующие организационные ресурсы (человеческие, технические, финансовые и т. д.), которые обеспечивают и распространяют информацию.

Безопасность — состояние защищенности интересов (целей) организации в условиях угроз.

Информационная безопасность (ИБ) — безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств ИБ — доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей) организации.

Доступность информационных активов — свойство ИБ организации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы.

Целостность информационных активов — свойство ИБ организации сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах.

Конфиденциальность информационных активов — свойство ИБ организации, состоящее в том, что обработка, хранение и передача информационных активов осуществляется таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.

Система информационной безопасности (СИБ) — совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.

Несанкционированный доступ – доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации или получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.

2. Общие требования по обеспечению информационной безопасности

Требования информационной безопасности (далее — ИБ) определяют содержание и цели деятельности организации в рамках процессов управления ИБ.

Эти требования формулируются для следующих областей:

• назначение и распределение ролей и доверия к персоналу;
• стадий жизненного цикла объектов информационной инфраструктуры;
• защиты от несанкционированного доступа (далее — НСД), управления доступом и регистрацией в автоматизированных системах, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.;
• антивирусной защиты;
• использования ресурсов Интернет;
• использования средств криптографической защиты информации;
• защиты персональных данных.

3. Объекты, подлежащие защите

Основными объектами, подлежащими защите, являются:

• информационные ресурсы, представленные в виде документов и массивов информации, вне зависимости от формы и вида их представления, включающие в том числе конфиденциальную и открытую информацию;
• система формирования, распространения и использования информационных ресурсов, библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, технический и обслуживающий персонал;
• информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены компоненты информационной инфраструктуры.

3.1. Особенности Автоматизированной системы

В АС циркулирует информация разных категорий. Защищаемая информация может быть совместно использована различными пользователями из различных подсетей единой корпоративной сети.

В ряде подсистем АС предусмотрено взаимодействие с внешними (государственными и коммерческими, российскими и зарубежными) организациями по коммутируемым и выделенным каналам связи с использованием специальных средств передачи информации.

Комплекс технических средств АС включает средства обработки данных (рабочие станции, серверы БД, почтовые серверы и т.п.), средства обмена данными в локальных вычислительных сетях с возможностью выхода в глобальные сети (кабельная система, мосты, шлюзы, модемы и т.д.), а также средства хранения (в т.ч. архивирования) данных.

К основным особенностям функционирования АС относятся:

• необходимость объединения в единую систему большого количества разнообразных технических средств обработки и передачи информации;
• большое разнообразие решаемых задач и типов, обрабатываемых данных;
• объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности;
• наличие каналов подключения к внешним сетям;
• непрерывность функционирования;
• наличие подсистем с различными требованиями по уровням защищенности, физически объединенных в единую сеть;
• разнообразие категорий пользователей и обслуживающего персонала.

В общем виде, единая АС представляет собой совокупность локальных вычислительных сетей подразделений, объединенных между собой средствами телекоммуникаций. Каждая локальная вычислительная сеть объединяет ряд взаимосвязанных и взаимодействующих автоматизированных подсистем (технологических участков), обеспечивающих решение задач отдельными структурными подразделениями организации.

Объекты информатизации включают:

• технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование);
• информационные ресурсы;
• программные средства (операционные системы, системы управления базами данных, общесистемное и прикладное программное обеспечение);
• автоматизированные системы связи и передачи данных (средства телекоммуникации);
• каналы связи;
• служебные помещения.

3.2. Типы информационных активов организации, подлежащих защите

В подсистемах АС организации циркулирует информация различных уровней конфиденциальности, содержащая сведения ограниченного распространения (служебная, коммерческая, персональные данные) и открытые сведения.

В документообороте АС присутствуют:

• платежные поручения и финансовые документы;
• отчеты (финансовые, аналитические и др.);
• сведения о лицевых счетах;
• персональные данные;
• другая информация ограниченного распространения.

Защите подлежит вся информация, циркулирующая в АС и содержащаяся в следующих типах информационных активов:

• сведения, составляющие коммерческую и служебную тайну, доступ к которым ограничен организацией, как собственником информации, в соответствии с предоставленными Федеральным законом «Об информации, информатизации и защите информации» правами и Федеральным законом «О коммерческой тайне»;
• персональные данные, доступ к которым ограничен в соответствии с Федеральным законом «О персональных данных»;
• открытые сведения, в части обеспечения целостности и доступности информации.

3.3. Категории пользователей Автоматизированной системы

В организации имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным ресурсам АС:

• простые пользователи (конечные пользователи, работники подразделений организации);
• администраторы серверов (файловых серверов, серверов приложений, серверов баз данных), локальных вычислительных сетей и прикладных систем;
• системные программисты (ответственные за сопровождение общего программного обеспечения) на серверах и рабочих станциях пользователей;
• разработчики прикладного программного обеспечения;
• специалисты по обслуживанию технических средств вычислительной техники;
• администраторы информационной безопасности и др.

3.4. Уязвимость основных компонентов Автоматизированной системы

Наиболее уязвимыми компонентами АС являются сетевые рабочие станции – автоматизированные рабочие места (далее – АРМ) работников. С АРМ работников могут быть предприняты попытки несанкционированного доступа к информации или попытки несанкционированных действий (непреднамеренных и умышленных) в компьютерной сети. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем.

В особой защите нуждаются такие элементы сетей как выделенные файловые серверы, серверы баз данных и серверы приложений. Недостатки протоколов обмена и средств разграничения доступа к ресурсам серверов могут дать возможность несанкционированного доступа к защищаемой информации и оказания влияния на работу различных подсистем. При этом могут предприниматься попытки как удаленного (со станций сети), так и непосредственного (с консоли сервера) воздействия на работу серверов и их средств защиты.

Мосты, шлюзы, концентраторы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными.

4. Основные принципы обеспечения информационной безопасности

4.1. Общие принципы безопасного функционирования

• Своевременность обнаружения проблем. Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на его бизнес-цели.
• Прогнозируемость развития проблем. Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.
• Оценка влияния проблем на бизнес-цели. Организация должна адекватно оценивать степень влияния выявленных проблем.
• Адекватность защитных мер. Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.
• Эффективность защитных мер. Организация должна эффективно реализовывать принятые защитные меры.
• Использование опыта при принятии и реализации решений. Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.
• Непрерывность принципов безопасного функционирования. Организация должна обеспечивать непрерывность реализации принципов безопасного функционирования.
• Контролируемость защитных мер. Организация должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации.

4.2. Специальные принципы обеспечения информационной безопасности

• Реализация специальных принципов обеспечения ИБ направлена на повышение уровня зрелости процессов управления ИБ в организации.
• Определенность целей. Функциональные цели и цели ИБ организации должны быть явно определены во внутреннем документе. Неопределенность приводит к “расплывчатости” организационной структуры, ролей персонала, политик ИБ и невозможности оценки адекватности принятых защитных мер.
• Знание своих клиентов и работников. Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (работников), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами.
• Персонификация и адекватное разделение ролей и ответственности. Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться и осуществляться преимущественно в форме поручительства. Она должна быть адекватной степени влияния на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться.
• Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки.
• Доступность услуг и сервисов. Организация должна обеспечить для своих клиентов и контрагентов доступность услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и/или иными документами.
• Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно, наблюдаем (прозрачен) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.

5. Цели и задачи обеспечения информации безопасности

5.1. Субъекты информационных отношений в Автоматизированной системе

Субъектами правоотношений при использовании АС и обеспечении безопасности информации являются:

• Организация как собственник информационных ресурсов;
• подразделения организации, обеспечивающие эксплуатацию АС;
• работники структурных подразделений организации, как пользователи и поставщики информации в АС в соответствии с возложенными на них функциями;
• юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в АС;
• другие юридические и физические лица, задействованные в процессе создания и функционирования АС (разработчики компонент системы, организации, привлекаемые для оказания различных услуг в области информационных технологий и др.).

Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

• конфиденциальности определенной части информации;
• достоверности (полноты, точности, адекватности, целостности) информации;
• защиты от навязывания ложной (недостоверной, искаженной) информации;
• своевременного доступа к необходимой информации;
• разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;
• возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;
• защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.).

5.2. Цель обеспечения безопасности информации

Основной целью обеспечения безопасности информации является защита субъектов информационных отношений от возможного нанесения им материального, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования АС или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки:

• доступности обрабатываемой информации для зарегистрированных пользователей;
• конфиденциальности определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи;
• целостности и аутентичности информации, хранимой, обрабатываемой и передаваемой по каналам связи.

5.3. Задачи обеспечения безопасности информации

Для достижения основной цели обеспечения безопасности информации система информационной безопасности АС должна обеспечивать эффективное решение следующих задач:

• защиту от вмешательства в процесс функционирования АС посторонних лиц;
• разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС, то есть защиту от несанкционированного доступа;
• регистрацию действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений безопасности;
• защиту от несанкционированной модификации и контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;
• защиту от несанкционированной модификации и контроль целостности используемых в АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
• защиту информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
• защиту информации, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;
• обеспечение аутентификации пользователей, участвующих в информационном обмене;
• обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;
• своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
• создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации.

5.4. Пути решения задач обеспечения безопасности информации

Решение задач обеспечения безопасности информации достигается:

• строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, АРМ);
• регламентацией процессов обработки информации и действий работников структурных подразделений организации, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, на основе организационно-распорядительных документов по вопросам обеспечения безопасности информации;
• полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
• назначением и подготовкой работников, ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации;
• наделением каждого работника минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам АС;
• четким знанием и строгим соблюдением всеми работниками, использующими и обслуживающими аппаратные и программные средства АС, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
• персональной ответственностью за свои действия каждого работника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;
• реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;
• принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов АС;
• применением технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
• разграничением потоков информации и запрещением передачи информации ограниченного распространения по незащищенным каналам связи;
• эффективным контролем за соблюдением работниками требований по обеспечению безопасности информации;
• постоянным мониторингом сетевых ресурсов, выявлением уязвимостей, своевременным обнаружением и нейтрализацией внешних и внутренних угроз безопасности компьютерной сети;
• юридической защитой интересов организации от противоправных действий в области информационной безопасности.
• проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в АС.

6.Угрозы безопасности информации

6.1. Угрозы безопасности информации и их источники

Наиболее опасными угрозами безопасности информации, обрабатываемой в АС, являются:

• нарушение конфиденциальности (разглашение, утечка) сведений, составляющих служебную или коммерческую тайну, в том числе персональных данных;
• нарушение работоспособности (дезорганизация работы) АС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
• нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов АС.

Основными источниками угроз безопасности информации АС являются:

• неблагоприятные события природного и техногенного характера;
• террористы, криминальные элементы;
• компьютерные злоумышленники, осуществляющие целенаправленные деструктивные воздействия, в том числе использование компьютерных вирусов и других типов вредоносных кодов и атак;
• поставщики программно-технических средств, расходных материалов, услуг и т.п.;
• подрядчики, осуществляющие монтаж, пусконаладочные работы оборудования и его ремонт;
• несоответствие требованиям надзорных и регулирующих органов, действующему законодательству;
• сбои, отказы, разрушения/повреждения программных и технических средств;
• работники, являющиеся легальными участниками процессов в АС и действующие вне рамок предоставленных полномочий;
• работники, являющиеся легальными участниками процессов в АС и действующие в рамках предоставленных полномочий.

6.2. Непреднамеренные действия, приводящие к нарушению информационной безопасности, и меры по их предотвращению

Работники организации, имеющие непосредственный доступ к процессам обработки информации в АС, являются потенциальным источником непреднамеренных случайных действий, которые могут привести к нарушению информационной безопасности.

Основные непреднамеренные действия, приводящие к нарушению информационной безопасности (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по предотвращению подобных действий и минимизации наносимого ими ущерба приведены в Таблице 1.

Таблица 1

Основные действия, приводящие к нарушению информационной безопасности

Меры по предотвращению угроз и минимизации ущерба

Действия работников, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств; отключению оборудования или изменение режимов работы устройств и программ; разрушению информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение программ или файлов с важной информацией, в том числе системных, повреждение каналов связи, неумышленная порча носителей информации и т.п.)

Организационные меры (регламентация действий, введение запретов).

Применение физических средств, препятствующих неумышленному совершению нарушения.

Применение технических (аппаратно-программных) средств разграничения доступа к ресурсам.

Резервирование критичных ресурсов.Несанкционированный запуск программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.)Организационные меры (удаление всех потенциально опасных программ с АРМ).

Применение технических (аппаратно-программных) средств разграничения доступа к программам на АРМ.Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения работниками своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п.)Организационные меры (введение запретов).

Применение технических (аппаратно-программных) средств, препятствующих несанкционированному внедрению и использованию неучтенных программ.Непреднамеренное заражение компьютера вирусамиОрганизационные меры (регламентация действий, введение запретов).

Технологические меры (применение специальных программ обнаружения и уничтожения вирусов).

Применение аппаратно-программных средств, препятствующих заражению компьютерными вирусами.Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования или ЭП, идентификационных карточек, пропусков и т.п.)Организационные меры (регламентация действий, введение запретов, усиление ответственности).

Применение физических средств обеспечения сохранности указанных реквизитов.Игнорирование организационных ограничений (установленных правил) при работе в системеОрганизационные меры (усиление ответственности и контроля).

Использование дополнительных физических и технических средств защиты.Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом подразделения безопасностиОрганизационные меры (обучение персонала, усиление ответственности и контроля).Ввод ошибочных данныхОрганизационные меры (усиление ответственности и контроля).

Технологические меры контроля за ошибками операторов ввода данных.

6.3. Умышленные действия по нарушению информационной безопасности и меры по их предотвращению

Основные умышленные действия (с корыстными целями, по принуждению, из желания отомстить и т.п.), приводящие к нарушению информационной безопасности АС, и меры по их предотвращению и снижению возможного наносимого ущерба приведены в Таблице 2.

Таблица 2

Основные умышленные действия, приводящие к нарушению информационной безопасности	Меры по предотвращению угроз и минимизации ущерба
Физическое разрушение или вывод из строя всех или отдельных наиболее важных компонентов автоматизированной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.), отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, линий связи и т.п.)	Организационные меры (регламентация действий, введение запретов).

Применение физических средств, препятствующих умышленному совершению нарушения.

Резервирование критичных ресурсов.

Внедрение агентов в число персонала системы (в том числе, в административную группу, отвечающую за безопасность), вербовка (путем подкупа, шантажа, угроз и т.п.) пользователей, имеющих определенные полномочия по доступу к защищаемым ресурсамОрганизационные меры (подбор, расстановка и работа с кадрами, усиление контроля и ответственности). Автоматическая регистрация действий персонала.Хищение носителей информации (распечаток, магнитных дисков, лент, запоминающих устройств и целых ПЭВМ), хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.)Организационные меры (организация хранения и использования носителей с защищаемой информацией).Несанкционированное копирование носителей информации, чтение остаточной информации из оперативной памяти и с внешних запоминающих устройствОрганизационные меры (организация хранения и использования носителей с защищаемой информацией).

Применение технических средств разграничения доступа к защищаемым ресурсам и автоматической регистрации получения твердых копий документов.Незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы программными закладками и т.д.) с последующей маскировкой под зарегистрированного пользователя.Организационные меры (регламентация действий, введение запретов, работа с кадрами).

Применение технических средств, препятствующих внедрению программ перехвата паролей, ключей и других реквизитов.Несанкционированное использование АРМ пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.Организационные меры (строгая регламентация доступа в помещения и допуска к работам на данных АРМ).

Применение физических и технических средств разграничения доступа.Несанкционированная модификация программного обеспечения – внедрение программных «закладок» и «вирусов» («троянских коней» и «жучков»), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи защищаемой информации или дезорганизации функционирования системыОрганизационные меры (строгая регламентация допуска к работам).

Применение физических и технических средств разграничения доступа и препятствующих несанкционированной модификации аппаратно-программной конфигурации АРМ.

Применение средств контроля целостности программ.Перехват данных, передаваемых по каналам связи, их анализ с целью получения конфиденциальной информации и выяснения протоколов обмена, правил вхождения в сеть и авторизации пользователей, с последующими попытками их имитации для проникновения в системуФизическая защита каналов связи.

Применение средств криптографической защиты передаваемой информации.Вмешательство в процесс функционирования системы из сетей общего пользования с целью несанкционированной модификации данных, доступа к конфиденциальной информации, дезорганизации работы подсистем и т.п.Организационные меры (регламентация подключения и работы в сетях общего пользования).

Применение специальных технических средств защиты (межсетевых экранов, средств контроля защищенности и обнаружения атак на ресурсы системы и т.п.).

6.4. Утечка информации по техническим каналам

При эксплуатации технических средств АС возможны следующие каналы утечки или нарушения целостности информации, нарушения работоспособности технических средств:

• побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;
• наводки информативного сигнала, обрабатываемого на средствах электронно-вычислительной техники, на провода и линии, выходящие за пределы контролируемой зоны офисов, в т.ч. на цепи заземления и электропитания;
• различные электронные устройства перехвата информации (в т.ч. «закладки»), подключенные к каналам связи или техническим средствам обработки информации;
• просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
• воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств защиты информации и своевременности информационного обмена, в том числе электромагнитное, через специально внедренные электронные и программные средства («закладки»).

С учетом специфики обработки и обеспечения безопасности информации угрозы утечки конфиденциальной информации (в том числе персональных данных) по техническим каналам являются для организации неактуальными.

6.5. Неформальная модель вероятного нарушителя

Нарушитель — это лицо, которое предприняло попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

Система защиты АС должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др.):

• «Неопытный (невнимательный) пользователь» – работник, который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам АС с превышением своих полномочий, ввода некорректных данных и т.п. действия по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только штатные (доступные ему) аппаратные и программные средства.
• «Любитель» — работник, пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса». Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей и т.п. других пользователей), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции) программы (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств). Помимо этого, он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты), самостоятельно разработанные программы или стандартные дополнительные технические средства.
• «Мошенник» – работник, который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему) аппаратные и программные средства от своего имени или от имени другого работника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п.).
• «Внешний нарушитель (злоумышленник)» — постороннее лицо или бывший работник, действующий целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор способов нарушения безопасности информации, методов и средств взлома систем защиты, характерных для сетей общего пользования (в особенности сетей на основе IP-протокола), включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети АС организации.
• «Внутренний злоумышленник» — работник, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести, возможно в сговоре с лицами, не являющимися работниками организации. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий как изнутри, так и из сетей общего пользования.

Внутренним нарушителем может быть лицо из следующих категорий персонала:

• зарегистрированные конечные пользователи АС (работники подразделений и филиалов);
• работники, не допущенные к работе с АС;
• персонал, обслуживающий технические средства АС (инженеры, техники);
• работники подразделений разработки и сопровождения программного обеспечения (прикладные и системные программисты);
• технический персонал, обслуживающий здания и помещения организации (уборщицы, электрики, сантехники и другие работники, имеющие доступ в здания и помещения, где расположены компоненты АС);
• руководители различных уровней.

Категории лиц, которые могут быть внешними нарушителями:

• уволенные работники;
• представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго- , водо- , теплоснабжения и т.п.);
• представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.;
• члены преступных организаций и конкурирующих коммерческих структур или лица, действующие по их заданию;
• лица, случайно или умышленно проникшие в сети из внешних сетей («хакеры»).

Пользователи и обслуживающий персонал из числа работников имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации. Действия этой группы нарушителей напрямую связаны с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами.

Уволенные работники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа.

Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность работников организации всеми доступными им силами и средствами.

Хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в АС. Наибольшую угрозу они представляют при взаимодействии с работающими или уволенными работниками и криминальными структурами.

Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Криминальные структуры могут использовать эти организации для временного устройства на работу своих членов с целью доступа к защищаемой информации.

7. Техническая политика в области обеспечения безопасности информации

7.1. Основные положения технической политики

Реализация технической политики в области обеспечения безопасности информации должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение), а отдельные разрабатываемые элементы АС должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных) средств и организационных мероприятий.

Основными направлениями реализации технической политики обеспечения безопасности информации АС является обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения или подделки за счет несанкционированного доступа и специальных воздействий.

В рамках указанных направлений технической политики обеспечения безопасности информации осуществляются:

• реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации конфиденциального характера;
• ограничение доступа исполнителей и посторонних лиц в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация конфиденциального характера, непосредственно к самим средствам информатизации и коммуникациям;
• разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки и защиты информации в подсистемах различного уровня и назначения, входящих в АС;
• учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
• предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок;
• криптографическая защита информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
• надежное хранение машинных носителей информации, криптографических ключей (ключевой информации) и их обращение, исключающее хищение, подмену и уничтожение;
• необходимое резервирование технических средств и дублирование массивов и носителей информации;
• снижение уровня и информативности побочных излучений и наводок, создаваемых различными элементами автоматизированных подсистем;
• электрическая развязка цепей питания, заземления и других цепей объектов информатизации, выходящих за пределы контролируемой зоны;
• противодействие оптическим и лазерным средствам наблюдения.

7.2. Формирование режима безопасности информации

С учетом выявленных угроз безопасности АС режим безопасности информации должен формироваться как совокупность способов и мер защиты циркулирующей в АС информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации.

Комплекс мер по формированию режима безопасности информации включает:

• установление в АС организационно-правового режима безопасности информации (нормативные документы, работа с персоналом, делопроизводство);
• выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам;
• организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа) к информационным ресурсам АС;
• комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного распространения после случайных или преднамеренных воздействий.

8. Меры, методы и средства обеспечения безопасности информации

8.1. Организационные меры

Организационные меры — это меры организационного характера, регламентирующие процессы функционирования АС, использование их ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности и снизить размер ущерба в случае их реализации.

8.1.1. Формирование политики безопасности

Главная цель организационных мер — сформировать политику в области обеспечения безопасности информации, отражающую подходы к защите информации, и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

С практической точки зрения политику в области обеспечения безопасности АС целесообразно разбить на два уровня. К верхнему уровню относятся решения, затрагивающие деятельность организации в целом. Примером таких решений могут быть:

• формирование или пересмотр комплексной программы обеспечения безопасности информации, определение ответственных за ее реализацию;
• формулирование целей, постановка задач, определение направлений деятельности в области безопасности информации;
• принятие решений по вопросам реализации программы безопасности, которые рассматриваются на уровне организации в целом;
• обеспечение нормативной (правовой) базы вопросов безопасности и т.п.

Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач безопасности информации и детализирует (регламентирует) эти правила:

• какова область применения политики безопасности информации;
• каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности информации;
• кто имеет права доступа к информации ограниченного распространения;
• кто и при каких условиях может читать и модифицировать информацию и т.д.

Политика нижнего уровня должна:

• предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных информационных ресурсов;
• определять коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к информации ограниченного распространения;
• выбирать программные и аппаратные средства криптографической защиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

8.1.2. Регламентация доступа к техническим средствам

Эксплуатация защищенных АРМ и серверов Банка должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящимися под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (АРМ, документов, реквизитов доступа и т.п.). Размещение и установка технических средств таких АРМ должна исключать возможность визуального просмотра вводимой (выводимой) информации лицами, не имеющими к ней отношения. Уборка помещений с установленным в них оборудованием должна производиться в присутствии ответственного, за которым закреплены данные технические средства, или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.

В помещениях во время обработки информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией.

По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану.

Для хранения служебных документов и машинных носителей с защищаемой информацией работники обеспечиваются металлическими шкафами, а также средствами уничтожения документов.

Технические средства, которые используются для обработки или хранения конфиденциальной информации должны опечатываться.

8.1.3. Регламентация допуска работников к использованию информационных ресурсов

В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях; система разграничения доступа, которая предполагает определение для всех пользователей АС информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.

Допуск работников к работе с АС и доступ к их ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком.

Основными пользователями информации в АС являются работники структурных подразделений организации. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:

• открытая и конфиденциальная информация размещаются по возможности на различных серверах;
• каждый работник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями;
• начальник имеет права на просмотр информации своих подчиненных;
• наиболее ответственные технологические операции должны производиться по правилу «в две руки» — правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.

Все работники, допущенные к работе в АС и обслуживающий персонал АС, должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи, находящихся в их распоряжении защищаемых ресурсов системы. Каждый работник при приеме на работу должен подписывать Обязательство о соблюдении требований по сохранению конфиденциальной информации и ответственности за их нарушение, а также о выполнении правил работы с защищаемой информацией в АС.

Обработка защищаемой информации в подсистемах АС должна производиться в соответствии с утвержденными технологическими инструкциями (порядками) для данных подсистем.

Для пользователей, защищенных АРМ должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению безопасности информации.

8.1.4. Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов

Все операции по ведению баз данных в АС и допуск работников к работе с этими базами данных должны быть строго регламентированы. Любые изменения состава и полномочий пользователей баз данных АС должны производиться установленным порядком.

Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на работников Департамента информационных технологий. При этом могут использоваться как штатные, так и дополнительные средства защиты СУБД и операционных систем.

8.1.5. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов

Подлежащие защите ресурсы системы (задачи, программы, АРМ) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных).

Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация или с которых возможен доступ к защищаемым ресурсам, должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей. Все неиспользуемые в работе (лишние) устройства ввода-вывода информации (COM, USB, LPT порты, дисководы НГМД, CD и другие носители информации) на таких АРМ должны быть отключены (удалены), ненужные для работы программные средства и данные с дисков АРМ также должны быть удалены.

Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами).

Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств, существующих АРМ в АС организации должны осуществляться только установленным порядком.

Все программное обеспечение (разработанное специалистами организации, полученное или приобретенной у фирм-производителей) должно установленным порядком проходить испытания и передаваться в депозитарий программ организации. В подсистемах АС должны устанавливаться и использоваться только полученные установленным порядком из депозитария программные средства. Использование в АС программного обеспечения, не учтенного в депозитарии программ, должно быть запрещено.

Разработка программного обеспечения, проведение испытаний разработанного и приобретенного программного обеспечения, передача программного обеспечения в эксплуатацию должна осуществляться в соответствии с установленным порядком.

8.1.6. Подготовка и обучение пользователей

До предоставления доступа к АС ее пользователи, а также руководящий и обслуживающий персонал должны быть ознакомлены с перечнем конфиденциальной информации и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки такой информации.

Защита информации по всем перечисленным направлениям возможна только после выработки у пользователей определенной дисциплины, т.е. норм, обязательных для исполнения всеми, кто работает в АС. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу АС, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей.

Все работники, использующие при работе конкретные подсистемы АС, должны быть ознакомлены с организационно-распорядительными документами по защите АС в части, их касающейся, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться руководителями подразделений под подпись.

8.1.7. Ответственность за нарушение требований информационной безопасности

По каждому серьезному нарушению требований информационной безопасности работниками организации должно проводиться служебное расследование. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами.

Для реализации принципа персональной ответственности пользователей за свои действия необходимы:

• индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора, на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа;
• проверка подлинности пользователей (аутентификация) на основе паролей, ключей на различной физической основе и т.п.;
• регистрация (протоколирование) работы механизмов контроля доступа к ресурсам информационных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата;
• реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д.).

8.2. Технические средства защиты

Технические (аппаратно-программные) средства защиты — различные электронные устройства и специальные программы, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическую защиту информации и т.д.).

С учетом всех требований и принципов обеспечения безопасности информации в АС по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

• средства аутентификации пользователей и элементов АС (терминалов, задач, элементов баз данных и т.п.), соответствующих степени конфиденциальности информации и обрабатываемых данных;
• средства разграничения доступа к данным;
• средства криптографической защиты информации в линиях передачи данных и в базах данных;
• средства регистрации обращения и контроля за использованием защищаемой информации;
• средства реагирования на обнаруженный НСД или попытки НСД;
• средства снижения уровня и информативности побочных излучений и наводок;
• средства защиты от оптических средств наблюдения;
• средства защиты от вирусов и вредоносных программ;
• средства электрической развязки как элементов АС, так и конструктивных элементов помещений, в которых размещается оборудование.

На технические средства защиты от НСД возлагается решение следующих основных задач:

• идентификация и аутентификации пользователей при помощи имен и/или специальных аппаратных средств (Touch Memory, Smart Card и т.п.);
• регламентация доступа пользователей к физическим устройствам рабочих станций (дискам, портам ввода-вывода);
• избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам;
• полномочное (мандатное) разграничение доступа к защищаемым данным на рабочей станции и на файловом сервере;
• создание замкнутой программной среды разрешенных для запуска программ, расположенных как на локальных, так и на сетевых дисках;
• защита от проникновения компьютерных вирусов и вредоносных программ;
• контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора;
• регистрация действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
• защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети;
• централизованное управление настройками средств разграничения доступа на рабочих станциях сети;
• регистрация всех событий НСД, происходящих на рабочих станциях;
• оперативный контроль за работой пользователей сети, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости) любой станции сети.

Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными мерами и используемыми физическими средствами защиты:

• физическая целостность всех компонент АС обеспечена;
• каждый работник (пользователь системы) имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;
• использование на рабочих станциях инструментальных и технологических программ (тестовых утилит, отладчиков и т.п.), позволяющих предпринять попытки взлома или обхода средств защиты, ограничено и строго регламентировано;
• в защищенной системе нет программирующих пользователей, а разработка и отладка программ осуществляется за пределами защищенной системы;
• все изменения конфигурации технических и программных средств производятся строго установленным порядком;
• сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних (специальные помещениях, шкафах, и т.п.);
• службой информационной безопасности осуществляется непрерывное управление и административная поддержка функционирования средств защиты информации.

8.2.1. Средства идентификации и аутентификации пользователей

В целях предотвращения доступа в АС посторонних лиц необходимо обеспечить возможность распознавания системой каждого законного пользователя (или ограниченных групп пользователей). Для этого в системе (в защищенном месте) должен храниться ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости — и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе. Кроме того, для идентификации могут применяться различного рода устройства: магнитные карточки, ключевые вставки, дискеты и т.п.

Аутентификация (подтверждение подлинности) пользователей должна осуществляться на основе использования паролей (секретных слов) или специальных средств аутентификации проверки уникальных характеристик (параметров) пользователей.

8.2.2. Средства разграничения доступа к ресурсам Автоматизированной системы

После распознавания пользователя система должна осуществлять авторизацию пользователя, то есть определять, какие права предоставлены пользователю, т.е. какие данные и как он может использовать, какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. Авторизация пользователя должна осуществляется с использованием следующих механизмов реализации разграничения доступа:

• механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;
• механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;
• механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для запуска программ), поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему.

Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.

Технические средства разграничения доступа должны быть составной частью единой системы контроля доступа:

• на контролируемую территорию;
• в отдельные помещения;
• к элементам АС и элементам системы защиты информации (физический доступ);
• к ресурсам АС (программно-математический доступ);
• к информационным хранилищам (носителям информации, томам, файлам, наборам данных, архивам, справкам, записям и т.д.);
• к активным ресурсам (прикладным программам, задачам, формам запросов и т.п.);
• к операционной системе, системным программам и программам защиты и т.п.

8.2.3. Средства обеспечения и контроля целостности программных и информационных ресурсов

Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:

• средствами подсчета контрольных сумм;
• средствами электронной подписи;
• средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);
• средствами разграничения доступа (запрет доступа с правами модификации или удаления).

В целях защиты информации и программ от несанкционированного уничтожения или искажения необходимо обеспечить:

• дублирование системных таблиц и данных;
• дуплексирование и зеркальное отображение данных на дисках;
• отслеживание транзакций;
• периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей;
• антивирусная защита и контроль;
• резервное копирование данных по заранее установленной схеме.

8.2.4. Средства контроля событий безопасности

Средства контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства контроля должны предоставлять возможности:

• постоянного контроля ключевых узлов сети и сетеобразующего коммуникационного оборудования, а также сетевой активности в ключевых сегментах сети;
• контроля использования пользователями корпоративных и публичных сетевых сервисов;
• ведения и анализа журналов регистрации событий безопасности;
• своевременным обнаружением внешних и внутренних угроз информационной безопасности.

При регистрации событий безопасности в системном журнале должна фиксироваться следующая информация:

• дата и время события;
• идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;
• действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).

Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:

• вход пользователя в систему;
• вход пользователя в сеть;
• неудачная попытка входа в систему или сеть (неправильный ввод пароля);
• подключение к файловому серверу;
• запуск программы;
• завершение программы;
• попытка запуска программы, недоступной для запуска;
• попытка получения доступа к недоступному каталогу;
• попытка чтения/записи информации с диска, недоступного пользователю;
• попытка запуска программы с диска, недоступного пользователю;
• нарушение целостности программ и данных системы защиты и др.

Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности):

• извещение владельца информации о НСД к его данным;
• снятие программы (задания) с дальнейшего выполнения;
• извещение администратора баз данных и администратора безопасности;
• отключение терминала (рабочей станции), с которого были осуществлены попытки НСД к информации или неправомерные действия в сети;
• исключение нарушителя из списка зарегистрированных пользователей;
• подача сигнала тревоги и др.

8.2.5. Криптографические средства защиты информации

Одним из важнейших элементов системы обеспечения безопасности информации АС должно быть использование криптографических методов и средств защиты информации от несанкционированного доступа при ее передаче по каналам связи и хранении на машинных носителях информации.

Все средства криптографической защиты информации в АС должны строиться на основе базисного криптографического ядра. На право использования криптографических средств информации организация должна иметь установленные законодательством лицензии.

Ключевая система применяемых в АС средств криптографической защиты должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

Конфиденциальность и имитозащита информации при ее передаче по каналам связи должна обеспечиваться за счет применения в системе средств абонентского и канального шифрования. Сочетание абонентского и канального шифрования информации должно обеспечивать ее сквозную защиту по всему тракту прохождения, защищать информацию в случае ее ошибочной переадресации за счет сбоев и неисправностей аппаратно-программных средств центров коммутации.

В АС, являющейся системой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений. При этом должны использоваться стандартизованные алгоритмы электронной подписи.

8.3. Управление системой обеспечения безопасности информации

Управление системой обеспечения безопасности информации в АС представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические) с целью достижения требуемых показателей и норм защищенности циркулирующей в АС информации в условиях реализации основных угроз безопасности.

Главной целью организации управления системой обеспечения безопасности информации является повышение надежности защиты информации в процессе ее обработки, хранения и передачи.

Управление системой обеспечения безопасности информации реализуется специализированной подсистемой управления, представляющей собой совокупность органов управления, технических, программных и криптографических средств, а также организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней.

Функциями подсистемы управления являются: информационная, управляющая и вспомогательная.

Информационная функция заключается в непрерывном контроле состояния системы защиты, проверке соответствия показателей защищенности допустимым значениям и немедленном информировании операторов безопасности о возникающих в АС ситуациях, способных привести к нарушению безопасности информации. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты, которая обобщается и передается на вышестоящие пункты управления.

Управляющая функция заключается в формировании планов реализации технологических операций АС с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков АС, на которых возникают угрозы безопасности информации. К управляющим функциям относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, приемка включаемых в программную среду АС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического процесса обработки конфиденциальной информации возлагается на работников департамента информационных технологий и департамента экономической безопасности.

К вспомогательным функциям подсистемы управления относятся учет всех операций, выполняемых в АС с защищаемой информацией, формирование отчетных документов и сбор статистических данных с целью анализа и выявления потенциальных каналов утечки информации.

8.4. Контроль эффективности системы защиты

Контроль эффективности системы защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.

Оценка эффективности мер защиты информации проводится с использованием организационных, технических и программных средств контроля на предмет соответствия установленным требованиям.

Контроль может осуществляться как с помощью штатных средств системы защиты информации, так и с помощью специальных средств контроля и технологического мониторинга.

8.5. Особенности обеспечения информационной безопасности персональных данных

Классификация персональных данных проводится в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных.

Рекомендуется выделять следующие категории персональных данных:

• персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных” к специальным категориям персональных данных;
• персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных” к биометрическим персональным данным;
• персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным;
• персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных” к общедоступным или обезличенным персональным данным.

Передача персональных данных третьему лицу должна осуществляться на основании Федерального закона или согласия субъекта персональных данных. В том случае, если организация поручает обработку персональных данных третьему лицу на основании договора, существенным условием такого договора является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Организация должна прекратить обработку персональных данных и уничтожить собранные персональные данные, если иное не установлено законодательством РФ, в сроки, установленные законодательством РФ в следующих случаях:

• по достижении целей обработки или при утрате необходимости в их достижении;
• по требованию субъекта персональных данных или Уполномоченного органа по защите прав субъектов персональных данных — если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством РФ;
• при невозможности устранения оператором допущенных нарушений при обработке персональных данных.

В организации должны быть определены и документально зафиксированы:

• порядок уничтожения персональных данных (в том числе и материальных носителей персональных данных);
• порядок обработки обращений субъектов персональных данных (или их законных представителей) по вопросам обработки их персональных данных;
• порядок действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных;
• подход к отнесению АС к информационным системам персональных данных (далее — ИСПДн);
• перечень ИСПДн. В перечень ИСПДн должны быть включены АС, целью создания и использования которых является обработка персональных данных.

Для каждой ИСПДн должны быть определены и документально зафиксированы:

• цель обработки персональных данных;
• объем и содержание обрабатываемых персональных данных;
• перечень действий с персональными данными и способы их обработки.

Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать целям обработки. В том случае, если для выполнения информационного технологического процесса, реализацию которого поддерживает ИСПДн, нет необходимости в обработке определенных персональных данных, эти персональные данные должны быть удалены.

Требования по обеспечению безопасности персональных данных в ИСПДн в об­щем случае реализуются комплексом организационных, технологических, технических и программных мер, средств и механизмов защиты информации.

Организация выполнения и (или) реализация требований по обеспечению безопасности персональных данных должна осуществляться структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение безопасности персо­нальных данных, либо на договорной основе организацией — контрагентом организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Создание ИСПДн организации должно включать разработку и согласование (утверждение) предусмотренной техническим заданием организационно­ распорядительной, проектной и эксплуатационной документации на создаваемую систему. В документации долж­ны быть отражены вопросы обеспечения безопасности обрабатываемых персональных данных.

Разработка концепций, технических заданий, проектирование, создание и тестирование, приемка и ввод в действие ИСПДн должны осуществляться по согласованию и под контролем структурного подразделения или должностного лица (работника), ответст­венного за обеспечение безопасности персональных данных.

Все информационные активы, принадлежащие ИСПДн организации, долж­ны быть защищены от воздействий вредоносного кода. В организации должны быть оп­ределены и документально зафиксированы требования по обеспечению безопасности персо­нальных данных средствами антивирусной защиты и порядок проведения контроля реализации этих требований.

В организации должна быть определена система контроля доступа, позволяющая осуществлять контроль доступа к коммуникационным портам, устройствам ввода­ вывода информации, съемным машинным носителям и внешним накопителям информации ИСПДн.

Руководители эксплуатирующих и обслуживающих ИСПДн подразделений организации обеспечивают безопасность персональных данных при их обработке в ИСПДн.

Работники, осуществляющие обработку персональных данных в ИСПДн, должны действовать в соответствии с инструкцией (руководством, регламентом и т.п.), входящей в состав эксплуатационной документации на ИСПДн, и соблюдать требования документов по обеспечению ИБ.

Обязанности по администрированию средств защиты и механизмов защиты, реа­лизующих требования по обеспечению ИБ ИСПДн организации, возлагаются приказами (распоряжениями) на специалистов департамента информационных технологий.

Порядок действий специалистов Департамента информационных технологий и пер­сонала, занятых в процессе обработки персональных данных, должен быть определен инструк­циями (руководствами), которые готовятся разработчиком ИСПДн в составе эксплуатационной документации на ИСПДн.

Указанные инструкции (руководства):

• устанавливают требования к квалификации персонала в области защиты информации, а также актуальный перечень защищаемых объектов и правила его обновления;
• содержат в полном объеме актуальные (по времени) данные о полномочиях пользова­телей;
• содержат данные о технологии обработки информации в объеме, необходимом для специалиста по информационной безопасности;
• устанавливают порядок и периодичность анализа журналов регистрации событий (архи­вов журналов);
• регламентируют другие действия.

Параметры конфигурации средств защиты и механизмов защиты информации от НСД, используемых в зоне ответственности специалистов Департамента информационных технологий, опре­деляются в эксплуатационной документации на ИСПДн. Порядок и периодичность проверок установленных параметров конфигурации устанавливаются в эксплуатационной документации или регламентируются внутренним документом, при этом проверки долж­ны проводиться не реже чем раз в год.

В организации должен быть определен и документально зафиксирован по­рядок доступа в помещения, в которых размещаются технические средства ИСПДн и хранятся носители персональных данных, предусматривающий контроль доступа в помещения посторон­них лиц и наличие препятствий для несанкционированного проникновения в помещения. Указанный порядок должен быть разработан структурным подразделением или должно­стным лицом (работником), ответственным за обеспечение режима физи­ческой безопасности и согласован структурным подразделением или долж­ностным лицом (работником), ответственным за обеспечение безопасно­сти персональных данных, и департаментом экономической безопасности.

Пользователи и обслуживающий персонал ИСПДн не должны осуществлять несанк­ционированное и (или) не регистрируемое (бесконтрольное) копирование персональных дан­ных. С этой целью организационно-­техническими мерами должно быть запрещено несанкцио­нированное и (или) не регистрируемое (бесконтрольное) копирование персональных данных, в том числе с использованием отчуждаемых (сменных) носителей информации, мобильных уст­ройств копирования и переноса информации, коммуникационных портов и устройств ввода­ вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих уст­ройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов), а также устройств фото­ и видеосъемки.

Контроль обеспечения безопасности персональных осуществляется специалистом по информационной безопасности, как с помощью штатных средств системы защиты информации, так и с помощью специальных средств контроля и технологического мониторинга.

Скачать ZIP файл (65475)

Пригодились документы — поставь «лайк» или поддержи сайт материально:

💡 Видео