Методические рекомендации по выполнению практических работ профессионального модуля

60
К правовым мерам защиты относятся действующие в ст ране законы, указы и норма- тивные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использо- вания, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фак- тором для потенциальных нарушителей.
К морально-этическим мерам противодействия относятся нормы поведения, которые традиционно сложились или складываются п о мере распространения ЭВМ в стране или об- ществе. Эти нормы большей частью не являются обязательными, как законодательно утвер- жденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писа- ные, то есть оформленные в некоторый свод (устав) правил или предписаний.
Организационные (административные) меры защиты — это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, ис- пользование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользо- вателей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:
· мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обработки данных;
· мероприятия по разработке правил доступа пользователей к ресурсам системы (раз- работка политики безопасности);
· мероприятия, осуществляемые при подборе и подготовке персонала системы;
· организацию охраны и надежного пропускного режима;
· организацию учета, хранения, использования и уничтожения документов и носите- лей с информацией;
· распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);
· организацию явного и скрытого контроля за работой пользователей;
· мероприятия, осуществляемые при проектировании, разработке, ремонте и модифи- кациях оборудования и программного обеспечения и т.п.
Физические меры защиты основаны на применении разного рода механических, элек- тро- или электронно-механических устройств и сооружен ий, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потен- циальных нарушителей к компонентам системы и защищаемой информации, а также техни- ческих средств визуального наблюдения, связи и охранной сигн ализации.
Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и вы- полняющих (самостоятельно или в комплексе с другими средствами) функции защиты
(идентифика цию и аутентификацию пользователей, разграничение доступа к ресурсам, ре- гистрацию событий, криптографическое закрытие информации и т.д.).
1. Организационные меры обеспечивают исполнение существующих нормативных актов и строятся с учетом существующих прав ил поведения, принятых в стране и/или организации
2. Воплощение организационных мер требует создания нормативных документов
3. Для эффективного применения организационные меры должны быть поддержаны физическими и техническими средствами
4. Применение и использование технических средств защиты требует соответствую- щей организационной поддержки.
Законодательные и морально-этические меры Эти меры определяют правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение.
Законодательные и морально-этические меры противодействия, являются универ- сальными в том смысле, что принципиально применимы для всех каналов проникновения и

61
НСД к АС и информации. В некоторых случаях они являются единственно применимыми, как например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией.
Очевидно, что в организационных структур ах с низким уровнем правопорядка, дис- циплины и этики ставить вопрос о защите информации просто бессмысленно. Прежде всего надо решить правовые и организационные вопросы. Организационные меры играют значи- тельную роль в обеспечении безопасности компьютерных систем. Организационные меры — это единственное, что остается, когда другие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень безопасности. Этим мерам присущи серьезные недос- татки, такие как:
· низкая надежность без соответствующей поддержки физическими, техническими и программными средствами (люди склонны к нарушению любых установленных дополни- тельных ограничений и правил, если только их можно нарушить);
· дополнительные неудобства, связанные с большим объемом рутинной формальной деятельности.
Организационные меры необходимы для обеспечения эффективного применения дру- гих мер и средств защиты в части, касающейся регламентации действий людей. В то же вре- мя организационные меры необходимо поддерживать более надежными физическими и техническими средствами.
Физические и технические средства защиты призваны устранить недостатки органи- зационных мер, поставить прочные барьеры на пути злоумышленников и в максимальной степени исключить возможность неумышленных (по ошибке или халатности) нарушений персонала и пользователей системы. Рассмотрим известное утверждение о том, что создание абсолютной (то есть идеально надежной) системы защиты принципиально невозможно.
Даже при допущении возможности создания абсолютно надежных физических и техни- ческих средств защиты, перекрывающих все каналы, которые необходимо перекрыть, всегда ос- тается возможность воздействия на персонал системы, осуществляющий необходимые действия по обеспечению корректного функционирования этих средств (администратора АС, админист- ратора безопасности и т.п.). Вместе с самими средствами защиты эти люди образуют так назы- ваемое "ядро безопасности". В этом случае, стойкость системы безопасности будет определяться стойкостью персонала из ядра безопасности системы, и повышать ее можно только за счет орга- низационных (кадровых) мероприятий, законодательных и морально — этических мер. Но даже имея совершенные законы и проводя оптимальную кадровую политику, все равно проблему за- щиты до конца решить не удастся.
Во-первых, потому, что вряд ли удастся найти персона л, в котором можно было быть абсолютно уверенным, и в отношении которого невозможно было бы предпринять действий, вынуждающих его нарушить запреты.
Во-вторых, даже абсолютно надежный человек может допустить случайное, неумыш- ленное нарушение.
Защита информации в АС должна основываться на следующих основных принципах:
· системности;
· комплексности;
· непрерывности защиты;
· разумной достаточности;
· гибкости управления и применения;
· открытости алгоритмов и механизмов защиты;
· простоты применения защитных мер и средств.
Системный подход к защите компьютерных систем предполагает необходимость уче- та всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, усло- вий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности АС.
При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления

62 атак на систему со стороны нарушителей (особенно высококвалифицированных злоумыш- ленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализа- ции угроз безопасности.
В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использова- ние предполагает согласованное применение разнородных средств при построении целост- ной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых м ест на стыках отдельных ее компонентов. Защита должна строиться эшелонированно. Внешняя защита должна обеспечиваться физическими средствами, органи- зационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призва- ны быть средства защиты, реализованные на уровне операционных систем (ОС) в силу того, что ОС — это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов.
Прикладной уровень защиты, учитывающий особенности предметной области, пред- ставляет внутренний рубеж обороны.
Защита информации — это не разовое мероприятие и даже не определенная совокуп- ность проведенных мероприятий и установленных средств защиты, а непрерывный целена- правленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации. Разработка системы защиты должна вестись параллельно с разработкой са- мой защищаемой системы. Это позволит учесть требования безопасности при проектирова- нии архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы. Большинству физических и техниче- ских средств защиты для эффективного выполнения свои х функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение пра- вильного хранения и применения имен, паролей, ключей шифрования, переопределение пол- номочий и т.п.). Перерывы в работе средств защиты могут б ыть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресур- сов компьютерной системы и может создавать ощутимые дополнительные неудобства пользо- вателям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Часто приходится создавать систему защиты в условиях большой неопределенности.
Поэтому принятые меры и установленные средства защиты, особенно в начальный пер иод их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты.
Естественно, что для обеспечения возможности варьирования уровнем защищенности, сред- ства защиты должны обладать определенной гибкостью. Особенно важным это свойство яв- ляется в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гиб кости спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что за- щита не должна обеспечиваться только за счет секретности структурной организации и алго- ритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не

63 должно давать возможности ее преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна. Принцип про- стоты применения средств защиты Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнитель- ных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паро- лей и имен и т.д.).
Определим ряд понятий, необходимых в дальнейшем.
Объект — пассивный компонент системы, единица ресурса автоматизированной сис- темы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правила- ми разграничения доступа.
Субъект — активный компонент системы (пользователь, процесс, программа), дейст- вия которого регламентируются правилами разграничения доступа.
Доступ к информации — ознакомление с информацией (копирование, тиражирова- ние), ее модификация (корректировка) или уничтожение (удаление).
Доступ к ресурсу — получение субъектом возможности манипулировать (использо- вать, управлять, изменять характеристики и т.п.) данным ресурсом.
Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.
Разграничение доступа к ресурсам АС — это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам в строгом соответствии с установленными правилами.
Авторизованный субъект доступа — субъект, которому предоставлены соответст- вующие права доступа к объектам системы (полномочия).
Несанкционированный доступ (НСД) — доступ субъекта к объекту в нарушение уста- новленных в системе правил разграничения доступа.
Несанкционированное действие — действие субъекта в нарушение установленных в системе правил обработки информации.
Для реализации приведенных выше мер защиты компьютерных систем используются универсальные механизмы защиты информации. К числу таких механизмов относятся:
· идентификация (именование и опознавание), аутентификация (подтверждение под- линности) и авторизация (присвоение полномочий) субъектов;
· контроль (разграничение) доступа к ресурсам системы;
· регистрация и анализ событий, происходящих в системе;
· контроль целостности ресурсов системы.
Механизмы идентификации, аутентификации и авторизации необходимы для под- тверждения подлинности субъекта, обеспечения его работы в системе, и определения закон- ности прав субъекта на данный объект или на определенные действия с ним.
Идентификация — это процесс распознавания элемента системы, обычно с помощью заранее определенного идентификатора или другой уникальной информации; каждый субъ- ект или объект системы должен быть однозначно идентифицируем.
Аутентификация — это проверка подлинности идентификации пользователя, процес- са, устройства или другого компонента системы (обычно осуществляется перед разрешением доступа); а также проверка целостности и авторства данных при их хранении или передаче для предотвращения несанкционированной модификации.
Авторизация — это предоставление субъекту прав на доступ к объекту.
Под контролем доступа будем понимать ограничение возможностей использования ресурсов системы программами, процессами или другими системами (для сети) в соответст- вии с правилами разграничения доступа. В простейшем случае вы можете воспользоваться аппаратными средствами установления пароля на запуск операционной системы ПК с помо- щью установок в CMOS Setup.

64
При запуске ПК на экране монитора появляется сообщение (в зависимости от типа ус- тановленного у вас BIOS) вида: Press "DEL" if you want to run Setup или Press "Ctrl""Alt""Esc" if you want to run Setup (для некоторых видов BIOS). Нажмите клавишу "DEL" или
("Ctrl"+"Alt"+"Esc") и на экране появится меню CMOS Setup. Выберите опцию Password
Checking Option, введите пароль, сохраните новые установки Setup ("F10", "Y") и перезапус- тите ПК. Теперь перед каждым запуском компьютера на экране монитора будет появляться сообщение с требованием ввести пароль.
К сожалению, использование подобной парольной идентификации не является надеж- ным. Достаточно ввести универсальный пароль (AWARD_SW) или отключить аккумулятор- ную батарею, расположенную на материнской плате, и компьютер "забудет" все установки
CMOS Setup. Защита встроенного накопителя на жестком магнитном диске составляет одну из главных задач защиты ПК от постороннего вторжения.
Существует несколько типов программных средств, способных решить задачи защит ы: защита от любого доступа к жесткому диску; защита диска от записи/чтения; контроль за обращением к диску; средства удаления остатков секретной информации. Защита встроенно- го жесткого диска обычно осуществляется путем применения специальных пароле й для идентификации пользователя (так называемая парольная идентификация).
В данном случае доступ к жесткому диску можно получить при правильном введении пароля при загрузке операционной системы. В противном случае загрузка системы не п ро- зойдет, а при попытке загрузки с гибкого диска, жесткий диск становится "невидимым" для пользователя. Эффект защиты жесткого диска в системе достигается видоизменением загру- зочного сектора диска, из которого удаляется информация о структуре диска. Такая защита надежно защищает жесткий диск от рядового пользователя.
Возможность использования персональных компьютеров в локальных сетях (при со- пряжении их с другими ПК) или применение модемов для обмена информацией по телефон- ным проводам предъявляет более жесткие требования к программному обеспечению по защите информации ПК. Потребители ПК в различных организациях для обмена информацией все шире используют электронную почту, которая без дополнительных средств защиты может стать достоянием посторонних лиц. Самой надежной защитой от несанкционированного дос- тупа к передаваемой информации и программным продуктам ПК является применение раз- личных методов шифрования (криптографических методов защиты информации).
Избирательное управление доступом (англ. Discretionary access control, DAC) — управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа.
Также называется Дискреционное управление доступом, Контролируемое управление доступом и Разграничительное управление доступом. Субъект доступа «Пользователь No 1» имеет право доступа только к объекту доступа No 3, поэтому его запрос к объекту доступа
No 2 отклоняется. Субъект "Пользователь «No 2» имеет право доступа как к объекту доступа
No 1, так и к объекту доступа No 2, поэтому его запросы к данным объектам не отклоняются.
Для каждой пары (субъект — объект) должно быть задано явное и недвусмысленное пере- числение допустимых типов доступа (читать, писать и т. д.), то есть тех типов досту па, ко- торые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту). Возможны несколько подходов к построению дис- креционного управления доступом: Каждый объект системы имеет привязанного к нему субъекта, называемого владельцем.
Именно владелец устанавливает права доступа к объекту. Система имеет одного вы- деленного субъекта — суперпользователя, который имеет право устанавливать права владе- ния для всех остальных субъектов системы. Субъект с определенным правом доступа может передать это право любому другому субъекту. Возможны и смешанные варианты построе- ния, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и изменения его владельца.
Именно такой смешанный вариант реализован в большинстве операционных систем, например, в классических UNIX-системах или в системах Windows семейства NT. Избира-

65 тельное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений, согласно требованиям к системе защиты информации. Управление доступом на основе ролей (англ. Role Based Ac- cess Control, RBAC) — развитие политики избирательного управления доступом, при этом права доступа субъектов системы на объекты группируются с учетом специфики их приме- нения, образуя роли. Формирование ролей призвано определить четкие и понятные для поль- зователей компьютерной системы правила разграничения доступа. Ролевое разграничение доступа позволяет реализовать гибкие, изменяющиеся динамически в процессе функциони- рования компьютерной системы правила разграничения доступа.
Такое разграничение доступа является составляющей многих современных компью- терных систем. Как правило, данный подход применяется в системах защиты СУБД, а от- дельные элементы реализуются в сетевых операционных системах. Ролевой подход часто используется в системах, для пользователей которых четко определен круг их должностных полномочий и обязанностей.
Несмотря на то, что Роль является совокупностью прав доступа на объекты компью- терной системы, ролевое управление доступом отнюдь не является частным случаем избира- тельного управления доступом, так как его правила определяют порядок предоставления доступа субъектам компьютерной системы в зависимости от имеющихся (или отсутствую- щих) у него ролей в каждый момент времени, что является характерным для систем мандат- ного управления доступом. С другой стороны, правила ролевого разграничения доступа являются более гибкими, чем при мандатном подходе к разграничению. Так как привилегии не назначаются пользователям непосредственно, и приобретаются ими только через свою роль (или роли), управление индивидуальными правами пользователя по сути своди тся к назначению ему ролей. Это упрощает такие операции, как добавление пользователя или сме- на подразделения пользователем.
Для обнаружения, удаления и защиты от компьютерных вирусов разработано не- сколько видов специальных программ, которые позволяют обнаруживать и уничтожать вир усы. Такие программы называются антивирусными. Различают следующие виды антивирус- ных программ:

программы-детекторы;

программы-доктора или фаги;

программы-ревизоры;

программы-фильтры;

программы-вакцины или иммунизаторы.
Программы-детекторы осуществляют поиск характерной для конкретного вируса сиг- натуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее со- общение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора или фаги, а также программы — вакцины не только находят за- раженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы — виру- са, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничто- жения большого количества вирусов. Наиболее известные из них: AVP, Aidst est, Scan, Nor- ton AntiVirus, Doctor Web.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и про- граммы-доктора быстро устаревают, и требуется регулярное обновление версий. Програм- мы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, ко- гда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным.

66
Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение со- стояний производят сразу после загрузки операционной системы. При сравнении проверяют- ся длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.
Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс- вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в
России программа Adinf.
Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе ком- пьютера, характерных для вирусов. Такими действиями могут являться:
1. попытки коррекции файлов с расширениями COM, EXE;
2. изменение атрибутов файла;
3. прямая запись на диск по абсолютному адресу;
4. запись в загрузочные сектора диска;
5. загрузка резидентной программы.
При попытке какой-либо программы произвести указанные действия «сторож» посы- лает пользователю сообщение и предлагает запретить или разрешить соответствующее дей- ствие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски.
Для уничтожения вирусов требуется применить другие программы, например фаги.
Вакцины или иммунизаторы — это резидентные программы, предотвращающие зара- жение файлов.
Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус.
Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы — вакцины имеют ог- раниченное применение. Своевременное обнаружение зараженных вирусами файлов и дис- ков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.
Главным оружием в борьбе с вирусами являются антивирусные программы. Они по- зволяют не только обнаружить вирусы, в том числе вирусы, использующие различные мето- ды маскировки, но и удалить их из компьютера. Последняя операция может быть достаточно сложной и занять некоторое время.
Существует несколько основополагающих методов поиска вирусов, которые приме- няются антивирусными программами. Наиболее традиционным методом поиска вирусов яв- ляется сканирование. Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Антивирусные программы-сканеры, способные удалить обнаружен- ные вирусы, обычно называются полифагами. Недостатком простых сканеров является их неспособность обнаружить полиморфные вирусы, полностью меняющие свой код. Для этого необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.
Кроме того, сканеры могут обнаружить только уже известные и предварительно изу- ченные вирусы, для которых была определена сигнатура. Поэтому программы — сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по не- сколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.
На сегодняшний день наиболее популярными являются антивирусные программы: ·
AVP или Антивирус Касперского, официальный сайт http://www.kaspersky.ru/; · Dr.Web, соз- данная специалистами компании "Диалог — Наука" http://www.dials.ru/; · Symantec Norton
Antivirus, http://www.symantec.com/. Каждый вирус (без исключения) имеет в своем "теле" характерный только для н его программный код, который, как правило, не похож ни на одну "полезную" программу или утилиту.

67
Именно эта часть кода содержится в специальном файле антивирусной программы, ко- торый обычно называется антивирусной базой. Помимо антивирусных программ, в лечении компьютерных вирусов могут помочь такие программы, как Process Viewer, позволяющие не только увидеть абсолютно все программы, запущенные на данном компьютере, но и удалить любую программу из оперативной памяти, принудительно прервав ее выполнение. Этим са- мым вы можете остановить выполнение компьютерного вируса, позволив антивирусной про- грамме вылечить или удалить все зараженные файлы (обычно один или несколько файлов не доступны для лечения из-за того, что они используются запущенными программами).
Конечной целью создания системы обеспечения без опасности информационных тех- нологий является предотвращение или минимизация ущерба (прямого или косвенного, мате- риального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носит ели и процессы обработ- ки. Основной задачей системы защиты является обеспечение необходимого уровня доступ- ности, целостности и конфиденциальности компонентов (ресурсов) АС соответствующими множеству значимых угроз методами и средствами.
Обеспечение информационной безопасности — это непрерывный процесс, основное содержание которого составляет управление, — управление людьми, рисками, ресурсами, средствами защиты и т.п.
Люди — обслуживающий персонал и конечные пользователи АС, — являются неотъ- емлемой частью автоматизированной (то есть «человеко-машинной») системы. От того, ка- ким образом они реализуют свои функции в системе, существенно зависит не только ее функциональность (эффективность решения задач), но и ее безопасность.
Субъекты, влияющие на состояние информационной безопасности
•сотрудников структурных подразделений (конечных пользователей АС), решающих свои функциональные задачи с применением средств автоматизации;
•программистов, осуществляющих разработку (приобретение и адаптацию) необходи- мых прикладных программ (задач) для автоматизации деятельности сотрудников организации;
•сотрудников подразделения внедрения и сопровождения ПО, обеспечивающих нор- мальное функционирование и установленный порядок инсталляции и модификации при- кладных программ (задач);
•сотрудников подразделения эксплуатации ТС, обеспечивающих нормальную работу и обслуживание технических средств обработки и передачи информации и системного про- граммно го обеспечения;
•системных администраторов штатных средств защиты (ОС, СУБД и т.п.);
•сотрудников подразделения защиты информации, оценивающих состояние информа- ционной безопасности, определяющих требования к системе защиты, разрабатывающих ор- ганизационно-распорядительные документы по вопросам ОИБ (аналитиков), внедряющих и администрирующих специализированные дополнительные средства защиты (администрато- ров безопасности);
• руководителей организации, определяющих цели и задачи функционирования АС, направления ее развития, принимающих стратегические решения по вопросам безопасности и утверждающих основные документы, регламентирующие порядок безопасной обработки и использования защищаемой информации сотрудниками организации.
Кроме того, на информационную безопасность организации могут оказывать влияние посторонние лица и сторонние организации, предпринимающие попытки вмешательства в процесс нормального функционирования АС или несанкционированного доступа к инфор- мации как локально, так и удаленно. Регламентация действий пользователей и обслуживаю- щего персонала АС Обслуживающий персонал и пользователи, как неотъемлемая часть АС, сами являются источником внутренних угроз информационной безопасности организации и одновременно могут являться частью системы за щиты АС. Поэтому одним из основных на- правлений ОИБ является регламентация действий всех пользователей и обслуживающего персонала АС, целями которой являются:

68
• сокращение возможностей лиц из числа пользователей и персонала по совершению нарушений (как не умышленных, так и преднамеренных);
• реализацию специальных мер противодействия другим внутренним и внешним для системы угрозам (связанным с отказами и сбоями оборудования, ошибками в программах, стихийными бедствиями и действиями посторонних лиц, не являющихся частью АС).
Кроме того, чтобы персонал и пользователи как часть системы безопасности АС реа- лизовали свои «защитные возможности», регламентации подлежат вопросы исполнения ими дополнительных специальных обязанностей (функций), связанных с усиление м режима ин- формационной безопасности.
Так, для зашиты от действий посторонних лиц и «подкрепления» вводимых ограниче- ний на действия своих сотрудников на компьютерах АС могут применяться средства защи- ты, работающие на физическом, аппаратном или программном уровне. Применение таких средств защиты требует регламентации вопросов их использования конечными пользовате- лями и процессов их администрирования сотрудниками подразделений автоматизации и обеспечения информационной безопасности.
С учетом всего сказанного выше, можно сделать вывод: к обеспечению безопасности информационных технологий организации (и в определенной степени к управлению ее ин- формационной безопасностью) должны привлекаться практически все сотрудники, участ- вующие в процессах автоматизированной обработки информации, и все категории обслуживающего АС персонала.
За формирование системы защиты и реализацию единой политики информационной безопасности организации и осуществление контроля и координации действий всех подразде- лений и сотрудников организации по вопросам ОИБ должно непосредственно отвечать специ- альное подразделение (служба) защиты информации (обеспечения информационной безопасности). В силу малочисленности данного подразделения решение им многих проце- дурных вопросов и эффективный контроль за соблюдением всеми сотрудниками требований по ОИБ возможны только при назначении во всех подразделениях, эксплуатирующих подсис- темы АС, нештатных помощников — ответственных за обеспечение информационной безо- пасности. Эффективное использование штатных (для ОС и СУБД) и дополнительных средств защиты обеспечивается системными администраторами и администраторами средств защиты.
Системные администраторы обычно входят в штат подразделений автоматизации
(информатизации). Администраторы дополнительных средств защиты, как правило, являют- ся сотрудниками подразделения защиты информации. Таким образом, организационную структуру системы обеспечения информационной безопасности АС организации можно представить в виде, совокупности следующих уровней: уровень 1 — Руководство организации уровень 2 — Подразделение ОИБ уровень 3 — Администраторы штатных и дополнительных средств защиты уровень 4 — Ответственные за ОИБ в подразделениях (на технологических участках) уровень 5 — Конечные пользователи и обслуживающий персонал
Под технологией обеспечения информационной безопасности в АС понимается опре- деленное распределение функций и регламентация порядка их исполнения, а также порядка взаимодействия подразделений и сотрудников (должностных лиц) организации по обеспече- нию комплексной защиты ресурсов АС в процессе ее эксплуатации. Требования к техноло- гии управления безопасностью:
• соответствие современному уровню развития информационных технологий;
• учет особенностей построения и функционирования различных подсистем АС;
• точная и своевременная реализация политики безопасности организации;
• минимизация затрат на реализацию самой технологии обеспечения безопасности.
Для реализации технологии обеспечения безопасности в АС необходимо:
• наличие полной и непротиворечивой правовой базы (системы взаимоувязанных нор- мативно-методических и организационно-распорядительных документов) по вопросам ОИБ;

69
• распределение функций и определение порядка взаимодействия подразделений и должностных лиц организации по вопросам ОИБ на всех этапах жизненного цикла подсис- тем АС, обеспечивающее четкое разделение их полномочий и ответственности;
• наличие специального органа (подразделения защиты информации, обеспечения ин- формационной безопасности), наделенного необходимыми полномочиями и непосредствен- но отвечающего за формирование и реализацию единой политики информационной безопасности организации и осуществляющего контроль и координацию действий всех под- разделений и сотрудников организации по вопросам ОИБ. Реализация технологии ОИБ предполагает:
• назначение и подготовку должностных лиц (сотрудников), ответственных за органи- зацию, реализацию функций и осуществление конкретных практических мероприятий по обеспечению безопасности информации и процессов ее обработки;
• строгий учет всех подлежащих защите ресурсов системы (информации, ее носите- лей, процессов обработки) и определение требований к организационно-техническим мерам и средствам их защиты;
• разработку реально выполнимых и непротиворечивых организационно — распоря- дительных документов по вопросам обеспечения безопасности информации;
• реализацию (реорганизацию) технологических процессов обработки информации в
АС с учетом требований по информационной безопасности;
• принятие эффективных мер сохранности и обеспечения физической целостности технических средств и поддержку необходимого уровня защищенности компонентов АС;
• применение физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывную административную поддержку их использования;
• регламентацию всех процессов обработки подлежащей защите информации, с при- менением средств автоматизации и действий сотрудников структурных подразделений, ис- пользующих АС, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, на основе утвержденных организа- ционно-распорядительных документов по вопросам обеспечения безопасности информации;
• четкое знание и строгое соблюдение всеми сотрудниками, использующими и обслу- живающими аппаратные и программные средства АС, требований организационно — распо- рядительных документов по вопросам обеспечения безопасности информации;
• персональную ответственностью за свои действия каждого сотрудника, участвую- щего в рамках своих функциональных обязанностей, в процессах автоматизированной обра- ботки информации и имеющего доступ к ресурсам АС;
• эффективный контроль за соблюдением сотрудниками подразделений — пользова- телями и обслуживающим АС персоналом, — требований по обеспечению безопасности ин- формации;
• проведение постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработку и реализацию предложений по со- вершенствованию системы защиты информации в АС. Организационные (административ- ные) меры регламентируют процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия поль- зователей с системой таким образом, чтобы в наибольшей степени затруднить или исклю- чить возможность реализации угроз безопасности. Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты Организационные меры являются той основой, которая объе- диняет различные меры защиты в единую систему. Они включают:
• разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;
• мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);
• периодически проводимые (через определенное время) мероприятия;

70
• постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.
К разовым мероприятиям относят:
• мероприятия по созданию нормативно-методологической базы (разработка концеп- ции и других руководящих документов) защиты АС;
• мероприятия, осуществляемые при проектировании, строительстве и оборудовании вы- числи тельных центров и других объектов АС (исключение возможности тайного проникнове- ния в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);
• мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуата- цию технических средств и программного обеспечения (проверка и сертификация исполь- зуемых технических и программных средств, документирование и т.п.);
• проведение спецпроверок применяемых в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электро- магнитных излучений и наводок;
• внесение необходимых изменений и дополнений во все организационно- распорядительные документы (положения о подразделениях, функциональные обязанности долж- ностных лиц, технологические инструкции пользователей системы и т.п.) по вопросам обеспече- ния безопасности ресурсов АС и действиям в случае возникновения кризисных ситуаций;
• создание подразделения защиты информации (компьютерной безопасности) и на- значение нештатных ответственных за ОИБ в подразделениях и на технологических участ- ках, осуществляющих организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно — информацион- ных ресурсов автоматизированной системы обработки информации; разработка и утвержде- ние их функциональных обязанностей;
• мероприятия по разработке политики безопасности, определение порядка назначе- ния, изменения, утверждения и предоставления конкретным категориям сотрудников (долж- ностным лицам) необходимых полномочий по доступу к ресурсам системы;
• мероприятия по созданию системы защиты АС и необходимой инфраструктуры (ор- ганизация учета, хранения, использования и уничтожения документов и носителей с закры- той информацией, оборудование служебных помещений сейфами (шкафами) для хранения реквизитов доступа, средствами уничтожения бумажных и магнитных носителей конфиден- циальной информации и т.п.);
• мероприятия по разработке правил разграничения доступом к ресурсам системы (опре- деление перечня задач, реша емых структурными подразделениями организации с использова- нием АС, а также используемых при их решении режимов обработки и доступа к данным;
• определение перечней файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требований к уровням их защищенности от НСД при передаче, хранении и обработке в АС;
• выявление наиболее вероятных угроз для данной АС, выявление уязвимых мест процессов обработки информации и каналов доступа к ней, оценка возможного ущерба, вы- званного нарушением безопасности информации, разработку адекватных требований по ос- новным направлениям защиты);
• организация охраны и надежного пропускного режима;
• определение порядка проектирования, разработки, отладки, модификации, приобре- тения, специсследования, приема в эксплуатацию, хранения и контроля целостности про- граммных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет:
• контролирует и что при этом они должны делать), определение порядка учета, выда- чи, использования и хранения съемных магнитных носителей информации, содержащих эта- лонные и резервные копии программ и массивов информации, архивные данные и т.п.;
• определение перечня необходимых регулярно проводимых превентивных мер и опе- ративных действий персонала по обеспечению непрерывной работы и восстановлению вы-

71 числительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий.
К периодически проводимым мероприятиям относят:
• распределение реквизитов разграничения доступа (паролей, ключей ши фрования и т.п.);
• анализ системных журналов (журналов регистрации), принятие мер по обнаруженным нарушениям правил работы;
• пересмотр правил разграничения доступа пользователей к ресурсам АС организации;
• осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты и разработка необходимых мер по совершенствованию (пересмотру состава и построе- ния) системы защиты. Мероприятия, проводимые по необходимости К мероприятиям, проводи- мым по необходимости, относят:
• мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;
• мероприятия, осуществляемые при ремонте и модификациях оборудования и про- граммного обеспечения (санкционирование, рассмотрение и утверждение изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);
• проверка поступающего оборудования, предназначенного для обработки закрытой информации, на наличие специально внедренных закладных устройств, инструментальный контроль технических средств на наличие побочных электромагнитные излучения и наводок;
• оборудование систем информатизации устройствами защиты от сбоев электропита- ния и помех в линиях связи;
• мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за на- рушение правил защиты, обучение, создание условий, при которых персоналу было бы не- выгодно нарушать свои обязанности и т.д.);
• оформление юридических документов (договоров, приказов и распоряжений руко- водства организации) по вопросам регламентации отношений с пользователями (клиентами) и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связан- ных с информационным обменом;
• обновление технических и программных средств защиты от НСД к информации в соответствие с меняющейся оперативной обстановкой. Постоянно проводимые мероприятия
Постоянно проводимые мероприятия включают:
• мероприятия по обеспечению) достаточного уровня физической защиты всех компо- нентов АС (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности СВТ, носителей информации и т.п.).
• мероприятия по непрерывной поддержке функционирования и управлению (админи- стрированию) используемыми средствами защиты;
• организацию явного и скрытого контроля за работой пользователей и персонала системы;
• контроль за реализацией выбранных мер защиты в процессе проектирования, разра- ботки, ввода в строй, функционирования, обслуживания и ремонта АС;
• постоянно (силами службы безопасности) и периодически (с привлечением сторон- них специалистов) осуществляемый анализ состояния и оценка эффективности мер и приме- няемых средств защиты.
Распределение функций по ОИБ Реализация подразделениями и отдельными сотруд- никами организации функций по ОИБ осуществляется в соответствии с разработанными и утвержденными руководством организационно — распорядительными документами (поло- жениями, инструкциями, обязанностями, перечнями, формулярами и т.п.), о которых говори- лось выше.
Приведенное далее структурное деление и наименование подразделений являются ус- ловными и введены с целью конкретизации положений Технологии. Технология управления информационной безопасностью предусматривает взаимодействие и реализацию определен- ных функций по ОИБ следующими подразделениями и должностными лицами организации:

72
Служба безопасности (отдел защиты информации) Выполнение различных мероприятий по созданию и поддержанию работоспособности системы защиты должно быть возложено на специальную службу — службу компьютерной безопасности. Служба обеспечения безопас- ности информации должна представлять собой систему штатных подразделений и нештат- ных сотрудников, организующих и обеспечивающих комплексную защиту информации. На основе утвержденной системы организационно-распорядительных документов подразделе- ния выполняют следующие основные действия:
• определяет критерии, по которым различные АРМ относятся к той или иной катего- рии по требуемой степени защищенности, и оформляет их в виде «Положения об определе- нии требований по защите (категорировании) ресурсов»;
• определяет типовые конфигурации и настройки программно-аппаратных средств защиты информации для АРМ различных категорий (требуемых степеней защищенности);
• по заявкам руководителей подразделений (используя формуляры АРМ и формуляры задач) проводит анализ возможности решения (а также совмещения) указанных задач на конкретных АРМ (с точки зрения обеспечения безопасности) и принимает решение об отне- сении АРМ к той или иной группе по степени защищенности;
• совместно с отделом технического обслуживания Управления автоматизации прово- дит работы по установке на АРМ программно-аппаратных средств защиты информации;
• согласовывает и утверждает предписания на эксплуатацию АРМ (формуляры АРМ), подготовленные в подразделениях организации;
• обеспечивает проведение необходимых дополнительных специальных мероприятий по обеспечению безопасности информации;
• определяет организацию, методики и средства контроля эффективности противодей- ствия попыткам несанкционированного доступа к информации (НСД) и незаконного вмеша- тельства в процесс функционирования АС. Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций;
• по заявкам руководителей подразделений (используя формуляры АРМ и формуляры задач) проводит анализ возможности решения указанных задач на конкретных АРМ и уточ- нение содержания необходимых для этого изменений в конфигурации аппаратных и про- граммных средств АРМ;
• на основе утвержденных заявок начальников подразделений установленным поряд- ком производит:
• установку (развертывание, обновление версий) программных средств, необходимых для решения на АРМ конкретных задач (используя полученные в ФАП дистрибутивы и фор- муляры задач);
• удаление (затирание) программных пакетов, необходимость в использовании кото- рых отпала;
• установку (развертывание) новых АРМ (ПЭВМ) или подключение дополнительных устройств (узлов, блоков), необходимых для решения на АРМ конкретных задач;
• изъятие или замену ПЭВМ (отдельных устройств, узлов, блоков), необходимость в использовании которых отпала, предварительно осуществляя установленным порядком за- тирание остаточной информации на изымаемых машинных носителях;
• принимает участие в заполнении (корректировке сведений) формуляров АРМ и вы- даче предписаний к эксплуатации АРМ;
• в своей деятельности сотрудники отдела эксплуатации руководствуются «Инструк- цией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АРМ АС организации».
• ведет общий перечень задач, решаемых в АС организации;
• по запросу начальников подразделений организации предоставляет общий перечень и копии формуляров конкретных задач, решаемых в АС;
• совместно с отделами разработки и сопровождения Управления автоматизации и от- делом защиты информации оформляет формуляры установленного образца на новые функ- циональные задачи АС, сдаваемые в ФАП;

73
• хранит установленным порядком и осуществляет резервное копирование и контроль целостности лицензионных дистрибутивов или эталонных носителей, принятых в ФАП про- граммных пакетов;
• осуществляет выдачу установленным порядком (во временное пользование) специа- листам отдела технического обслуживания Управления автоматизации лицензионных дист- рибутивов или эталонных носителей программных пакетов (их целостных копий) для их развертывания или обновления на АРМ АС организации по заявкам начальников отделов.
Все Управления и отделы (структурные подразделения) организации
• определяют функциональные задачи, которые должны решаться в подразделении с использованием АРМ АС организации;
• все необходимые изменения в конфигурации АРМ и полномочиях пользователей подразделения осуществляют на основе заявок в соответствии с "Инструкцией по внесению изменений в списки пользователей АС организации и наделению их полномочиями доступа к ресурсам системы" и "Инструкцией по установке, модификации и техническому обслужи- ванию программного обеспечения и аппаратных средств АРМ автоматизированной системы организации";
• заполняют формуляры АРМ и представляют их на утверждение в отдел технической защиты Управления безопасности;
• обеспечивают надлежащую эксплуатацию установленных на АРМ средств защиты информации.
Система организационно-распорядительных документов по организации комплексной системы защиты информации.
В Уставе организации (основном документе, в соответствии с которым организация осуществляет свою деятельность), во всех положениях о структурных подразделениях орга- низации (департаментов, управлений, отделов, служб, групп, секторов и т.п.) и в функцио- нальных обязанностях всех сотрудников, участвующих в процессах автоматизированной обработки информации, должны быть отражены требования по обеспечению информацион- ной безопасности при работе в АС. Задачи организации и функции по ОИБ ее подразделений и сотрудников в перечисленных выше документах должны формулироваться с учетом поло- жений действующего в России законодательства по информатизации и защите информации
(Федеральных Законов, Указов Президента РФ, Постановлений Правительства РФ и других нормативных документов).
Конкретизация задач и функций структурных подразделений, а также детальная рег- ламентация действий сотрудников организации, их ответственность и полномочия по вопро- сам ОИБ при эксплуатации АС должны осуществляться как путем дополнения существующих документов соответствующими пунктами, так и путем разработки и введения в действие дополнительных внутренних организационно-распорядительных документов по
ОИБ. В целях обеспечения единого понимания всеми подразделениями и должностными ли- цами (сотрудниками) организации проблем и задач по обеспечению безопасности информа- ции в организации целесообразно разработать «Концепцию обеспечения информационной безопасности» организации. В Концепции на основе анализа современного состояния ин- формационной инфраструктуры организации и интересов организации в области обеспече- ния безопасности должны определяться основные задачи по защите информации и процессов ее обработки, намечаться подходы и основные пути решения данных задач. Необходимым элементом организации работ по обеспечению безопасности информации, ее носителей и процессов обработки в АС организации является категорирование, то есть определение тре- буемых степеней защищенности (категорий) ресурсов АС (информации, задач, каналов взаимодействия задач, компьютеров). Для обеспечения управления и контроля за соблюде- нием установленных требований к защите информации и с целью обеспечения дифференци- рованного подхода к защите конкретных АР М различных подсистем АС организации необходимо разработать и принять «Положение об определении требований по защите (кате- горировании) ресурсов» в АС организации. В этом документе необходимо отразить вопросы

74 взаимодействия подразделений организации при определении требуемой степени защищен- ности ресурсов АС организации в зависимости от степени ценности обрабатываемой инфор- мации, характера обработки и обязательств по ОИБ перед сторонними организациями и физическими лицами. Целесообразно введение классификации защищаемой информации, включаемой в «Перечень информационных ресурсов, подлежащих защите», не только по уровню конфиденциальности (конфиденциально, строго конфиденциально и т.д.), но и по уровню ценности информации (определяемой величиной возможных прямых и косвенных экономических потерь в случае нарушения ее целостности и несвоевременности представле- ния — своевременности решения задач).
В данном Перечне необходимо также указывать подразделения организации, являю- щиеся владельцами конкретной защищаемой информации и отвечающие за установление требований к режиму ее защиты. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно специальной "Ин- струкции по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы ". Меры безопасности при вводе в эксплуатацию новых рабочих станций и серверов, а также при изменениях конфигурации технических и программных средств существующих компьютеров в АС должны определяться "Инструкцией по установ- ке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств компьютеров АС". Разработка ПО задач (комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должна осуществляться в соответствии с утвержденным «Порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию». «Инструкция по организации антивирусной за- щиты» должна регламентировать организацию защиты АС от разрушающего воздействия компьютерных вирусов и устанавливать ответственность руководителей и сотрудников под- разделений, эксплуатирующих и сопровождающих АС, за их ненадлежащее выполнение.
«Инструкция по организации парольной защиты» призвана регламентировать процессы ге- нерации, смены и прекращения действия паролей пользователей в автоматизированной сис- теме организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями. При использовании в некоторых под системах
АС средств криптографической защиты информации и средств электронной цифровой под- писи необходим еще один документ, регламентирующий действия конечных пользователей,
— «Порядок работы с носителями ключевой информации».