ТИБМЗИ 2010 Загинайлов. Алтайский государственный технический
Скачать 1.4 Mb.
|
Глава 16 КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ 16.1 Понятие и общая структура комплексной системы защи- ты информации на предприятии Одним из базовых принципов и требований к обеспечению ин- формационной безопасности предприятия и построению систем защи- ты является принцип комплексности защиты. Основная идея этого принципа заключается в том, что, во-первых должны быть защищены все объекты предприятия (объекты информатизации) на которых ве- дётся обработка информации, во-вторых должен использоваться арсе- нал методов и средств всех видов защиты: правового, технического, организационного, криптографического, физического в их оптималь- ном сочетании обеспечивающем соотношение цена системы защи- ты/эффективность системы защиты. Основными показателями, задающими необходимый комплекс мероприятий и средств по защите информации, следует считать: - количество (объёмы) и ценность используемой и обрабатывае- мой на предприятии информации и информационных ресурсов; - количество и технологические особенности технических средств обработки, хранения, передачи информации (средств автоматизации, связи и т.п); - состав, объекты и степень конфиденциальности защищаемой информации; - количество и уровень подготовки персонала связанного с ис- пользованием, обработкой, хранением, передачей информации вообще и ценной (конфиденциальной) в частности; - структура и территориальное расположение предприятия; - режим функционирования предприятия; - конструктивные особенности (компактные, территориально- распределённые, размещённые совместно с другими предприятиями); - количественные и качественные показатели ресурсообеспечения (возможности по выделению средств на СЗИ); - угрозы безопасности всем видам защищаемой информации, ин- формационным ресурсам, системам и средствам их обработки, переда- чи, хранения расположенным в помещениях предприятия и представ- ляющих собой в совокупности объекты информатизации. Эти показатели зависят от следующих факторов, влияющих на организацию системы защиты предприятия: 227 1) форма собственности предприятия; 2) организационно- правовая форма предприятия; 3) характер основной деятельности; 4) степень автоматизации основных процедур обработки защи- щаемой информации; Другим базовым принципом и требованием к СЗИ следует счи- тать принцип адекватности. Методы и средства защиты информации должны быть адекватны угрозам с тем, чтобы обеспечить достаточный уровень защиты с уче- том всех существующих рисков для предприятия в информационной сфере и обеспечить их приемлемый уровень (для коммерческих пред- приятий), или соответствовать требованиям, предъявляемым в соот- ветствии с законодательством, органами исполнительной власти уполномоченными в этой области. С учётом указанных принципов, требований, показателей, факто- ров, угроз, понятие комплексной защиты может быть сформулирова- но следующим образом. Комплексная система защиты информации предприятия (КСЗИП) – СЗИ реализующая правовой, организационный, техниче- ский, физический, криптографический (при необходимости) виды за- щиты информации и адекватная, по своему компонентному составу и функциям, угрозам безопасности информации и объектам информати- зации предприятия. Анализ существующих стандартов, нормативных, методических документов в области защиты информации показывает, что состав КСЗИП и её структура может быть представлена в виде компонентов, каждый из которых представляет собой подсистему (рис.16.1). КСЗИП – это социотехническая система. Создание каждой подсистемы регламентировано и возможно на основе требований определённых в соответствующих технических регламентах, стандартах, нормативных и методических документах органов исполнительной власти. 228 Подсистема защиты от утечки по ТКУИ и ПДТР 16.2 Компоненты комплексной системы защиты информации на предприятии их назначение и стандартизация Подсистема управления КСЗИП. Подсистема управления КСЗИП- предназначена для управления процессами защиты информа- ции на основе законодательства и регламентации правил и порядка доступа к защищаемой информации и контроля всех процессов со сто- роны руководства организации и службы защиты информации. Подсистема управления информационной безопасностью является одновременно подсистемой управления предприятием, и включает следующие элементы (рис.16.2): Рис.16.1 Компоненты КСЗИП Подсистема защиты от утечки по техническим каналам Подсистема противодействия тех- ническим разведкам (ПДТР) Подсистема защиты от НСД в АС и ИТКС Подсистема защиты от физического НСД Подсистема защиты от вредоносных программ Подсистема управления КСЗИ СТРУКТУРА КСЗИП К О М П О Н Е Н Т Ы 229 1. Подсистема нормативно-правовых и методических документов. 2. Отдел (служба, сектор) защиты информации. 3. Руководство организации и руководители подразделений, в ко- торых защищается информация. 4. Советы по безопасности и экспертные комиссии в области за- щиты информации (коллегиальные органы). Нормативно-правовые и методические документы. Норматив- но-правовые и методические документы как элемент подсистемы управления включают в себя три группы: 1) Федеральные законы РФ (включая технические регламенты), нормативные правовые акты и методические документы Президента РФ, Правительства РФ, органов исполнительной власти, стандарты по вопросам обеспечения информационной безопасности и защиты информации. Их перечень и обязательность наличия на предприятии устанавливается органами исполнительной власти уполномоченными в области безопасности, технической защиты информации и противо- действия техническим разведкам; 2) Локальные нормативно-правовые и методические документы. Перечень этой группы определяется исходя из требований докумен- тов первой группы и условий деятельности предприятия. К ним, в ча- стности относятся: перечни сведений конфиденциального характера (подлежащих засекречиванию), политика (концепция) информацион- ной безопасности предприятия, положения об отделе (службе) защиты информации и др., инструкции специалистам по защите информации, персоналу, руководства; Подсистема управления КСЗИП Нормативно- правовые и мето- дические докумен- ты Отдел (служба, сектор) защиты информа- ции (или исполнители) Руководство организации и руководители под- разделений, в которых защищается информа- ция Экспертные комиссии и советы по безопасности Служба безопасности Рис.16.2 Подсистема управления КСЗИП 230 3) Лицензии на виды деятельности, включая деятельность по за- щите информации, лицензии на объекты интеллектуальной собствен- ности, аттестаты соответствия по требованиям безопасности на объек- ты информатизации, сертификаты на технические и криптографиче- ские средства защиты информации, средства физической защиты. При защите государственной тайны регламентация защиты и все элементы, приведенные на рисунке создаются и функционируют в строгом соответствии с законодательством о государственной тайне и требованиями нормативных документов, разработанными Правитель- ством РФ и органами защиты государственной тайны в Российской Федерации. При защите сведений конфиденциального характера, регламента- ция защиты и все элементы, приведенные на рисунке создаются и функционируют в пределах норм и правил, установленных для защиты сведений конфиденциального характера нормативными документами и стандартами. Для управления КСЗИ в организации может быть созда- на и внедрена система управления, основанная на стандартах в области управления информационной безопасностью и менеджмента качест- ва: ГОСТ Р ИСО/МЭК -17799 и ГОСТ Р ИСО/МЭК -27001. Отдел (служба, сектор) защиты информации (или исполните- ли ответственные за защиту информации). Как элемент подсисте- мы управления КСЗИП отделы (службы, сектор) защиты информации создаются на основе требований законодательства (законодательство о государственной тайне) или исходя из потребностей предприятия. Во втором случае правовой основой создания и функционирования такого подразделения могут служить нормы Закона РФ 1992 г. N 2487-I "О частной детективной и охранной деятельности в Российской Федера- ции"(ст.14), а также нормы Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 17 ноября 2007 г. N 781) – при защите только персональных данных (ст.13). Отделы могут входить в службы безопасности предприятия. Руководство организации и руководители подразделений, в которых защищается информация. Функции руководства предпри- ятия по защите информации зависят от ряда факторов, основными из которых являются [1]: - виды информации ограниченного доступа используемые на предприятии (государственная, служебная, коммерческая, персональ- ные данные и т.п.); - форма собственности и организационно-правовая форма пред- приятия; 231 - подчинённость (подведомственность)предприятия (для предпри- ятий государственной формы собственности); - сфера деятельности. Обязанности и права руководителей предприятия по вопросам за- щиты информации должны быть отражены в должностных инструкци- ях. Экспертные комиссии и советы по безопасности в области защиты информацииявляются коллегиальными органами призван- ными решать те вопросы информационной безопасности и защиты информации, которые не могут быть решены узкими специалистами и отдельно руководителем организации и его заместителями. К таким комиссиям относятся: - постоянно действующие технические комиссии (ПДТК) пред- приятий по защите государственной тайны ( создаваемые в соответст- вии с Положением, утверждённым совместным приказом Гостехко- миссии России и ФСБ России в 2001г.); - экспертные комиссии по экспертизе материалов для открытого опубликования материалов и публичного представления, присвоения грифа конфиденциальности для отдельных видов документов (канди- датские и докторские диссертации и т.п.) - внутренние проверочные комиссии, назначаемые руководителем для проверки носителей информации ограниченного доступа и прове- дения внутреннего аудита информационной безопасности; - комиссии по экспортному контролю при осуществлении между- народных связей (создаются в соответствии с требованиями законода- тельства об экспортном контроле) -советы по безопасности (выполняют роль консультативных орга- нов), которые вырабатывают рекомендации руководству по вопросам защиты информации, требующим комплексного (многостороннего) подхода и безопасности ИТ и ИТТ. Подсистема защиты информации от НСД в АС и ИТКС (под- система обеспечения безопасности информационных технологий). Подсистема защиты информации от НСД в АС и ИТКС является самостоятельной системой и предназначена для защиты конфиденци- альной (секретной) информации от несанкционированного доступа в автоматизированных системах и ИТКС организации, а также для обес- печения целостности информации и доступности для уполномоченных пользователей. СЗИ от НСД в АС и ИТКС включает следующие под- системы (рис.16.3): 1. Подсистема управления доступом; 2. Подсистема регистрации и учета; 232 3. Криптографическая подсистема; 4. Подсистема обеспечения целостности. 5. Подсистема безопасности межсетевого взаимодействия и уда- лённого доступа. Требования по созданию, по обеспечению безопасности информа- ции в АС и ИТКС, определены в действующих стандартах по защите информации в АС от НСД и безопасности информационных техноло- гий, Руководящих документах ФСТЭК России. В перспективе требо- вания по защите информации и обеспечению безопасности информа- ционных технологий на предприятии будут определены в специаль- ных технических регламентах. Технические регламенты будут иметь силу закона, и являться обязательными для исполнения. Стандарты получат статус добровольного выполнения. В настоящее время при организации защиты информации в АС и ИТКС, обрабатывающих, информацию ограниченного доступа, отне- сённую к государственной и служебной тайне, а также персональные данные (в зависимости от категории) необходимо руководствоваться стандартами: Подсистема управления доступом Криптографи- ческая под- система Подсистема обеспечения целостности Подсистема регистрации и учета Подсистема безопасности межсетевого взаимо- действия и удалённого доступа (при взаимодействии АС через ИТКС ) Р е а л и з у е т с я в едином программно - аппаратном комплексе Р е а л и з у е т с я в И ТКС Система защиты информа- ции от НСД в АС и ТКС Рис.16.3 - Подсистема защиты информации от НСД в АС и ИТКС 233 ГОСТ Р 51583 Защита информации. Порядок создания автомати- зированных систем в защищенном исполнении. Общие требования. ГОСТ Р 51624 Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования. ГОСТ Р ИСО/МЭК 15408-2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безо- пасности информационных технологий. Основными руководящими документами, содержащими требо- вания к АС: РД ГТК РФ. Автоматизированные системы. Защита от несанкцио- нированного доступа к информации. Классификация автоматизиро- ванных систем и требования по защите информации. - М., 1992. РД ГТК РФ. Средства вычислительной техники. Защита от не- санкционированного доступа к информации. Показатели защищенно- сти от НСД к информации. М., 1992. Основными руководящими документами, содержащими требо- вания к межсетевому взаимодействию АС и обеспечению безопас- ности в ИТКС, являются: РД ГТК. РФ. Средства вычислительной техники. Межсетевые эк- раны. Защита от несанкционированного доступа к информации. Пока- затели защищенности от несанкционированного доступа к информа- ции. - М., 1997; Указ Президента РФ от 17 марта 2008 г. N 351"О мерах по обеспе- чению информационной безопасности Российской Федерации при ис- пользовании информационно-телекоммуникационных сетей междуна- родного информационного обмена». При организации защиты коммерческой тайны в АС и ТКС могут использоваться как указанные выше стандарты и руководящие доку- менты, так и международные стандарты, принятые в России в 2007 го- ду в качестве национальных: ГОСТ Р ИСО/МЭК 13335 -2006 Инфор- мационная технология. Методы и средства обеспечения безопасности. Часть 4 Выбор защитных мер, Часть 5 Руководство по менеджменту безопасности сети. Реализуется СЗИ от НСД методами и средствами программно-аппаратной, программной, аппаратной защиты. Подсистема защиты от несанкционированного физического доступа (подсистема физической защиты). Подсистема защиты от несанкционированного физического доступапредназначена для кон- троля пребывания на территории и объектах информатизации (в кон- тролируемых зонах) персонала предприятия и предотвращения некон- тролируемого пребывания посторонних лиц, а также для сигнализации 234 и извещения о случаях несанкционированного проникновения на тер- риторию и охраняемые объекты информатизации. Она является одновременно подсистемой системы безопасности организации и может включать следующие подсистемы и элементы (рис.16.4): 1. Подсистема контроля и управления доступом на территорию и в помещения. 2. Подсистема охранной (и пожарной) сигнализации. 3. Подсистема видеонаблюдения за территорией и помещениями. 4. Средства физической укреплённости (дверей, окон). 5. Подразделения охраны (охранники). 6. Технические средства (СКУД) контроля и управления доступом на территорию (в контролируемые зоны) и в защищаемые помещения. Каждая из перечисленных подсистем включает соответствующие технические средства, создаётся и внедряется в организации в рамках требований стандартов, для каждой указанной подсистемы: - стандарты в области СКУД (системы контроля и управления дос- тупом); - стандарты в области охранно-пожарной сигнализации; Подсистема охранной (и пожарной ) сигнализации Подсистема защиты от физического НСД Подсистема видеонаблюдения за территорией и помещениями Подсистема контро- ля и управления дос- тупом на террито- рию и в помещения Технические средства контроля и управления доступом на территорию и в помещения Подразделения ох- раны (охранники) Средства физической укреплённости Рис.16.4 - Подсистема защиты от физического НСД 235 - стандарты в области систем и средств видеонаблюдения ; - стандарты укреплённости входов (двери), окон. Технические требования к средствам (системам) контроля и управления доступом определены в ГОСТ Р 51241 —98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования и методы испытаний» Требования к системам охранной и пожарной сигнализации определены в документах: РД 78.147 — 93 /МВД России «Единые требования по укреплению и оборудованию сигнализации охраняемых объектов»; РД 78.143 — 92 /МВД России «Системы и комплексы охранной сигнализации. Нормы проектирования»; РД 78.145 — 93 /МВД России «Системы и комплексы охранной, пожарной и охранно-пожарной сигнализации. Правила производства и приемки работ»; Стандарт Европейского комитета по стандартизации в области электроники CENELEC 1996 г. EN 50133-1 «Устройства охранной сиг- нализации. Контрольно-пропускные устройства. Часть 1: требования к системе». Стандарты, в которых определены требования физической ук- реплённости: ГОСТ Р 51242 — 98 «Конструкции защитные механические и электромеханические для дверных и оконных проемов. Технические требования и методы испытаний на устойчивость к разрушающим воз- действиям»; ГОСТ Р 51136 —98 «Стекла защитные многослойные. Общие тех- нические условия»; РД 78.148 —94/МВД России «Защитное остекление. Класси- фикация. Методы испытаний. Применение»; ГОСТ Р 51072 — 97 «Двери защитные. Общие технические тре- бования и методы испытаний на устойчивость к взлому и пулестой- кость»; ГОСТ 26892 — 86 «Двери деревянные. Метод испытания на со- противление ударной нагрузке, действующей в направлении открыва- ния двери». |