Концепция Обеспечения ИБ. КОНЦЕПЦИЯ ОБЕСПЕЧЕНИЯ ИБ. Обеспечения безопасности информации в автоматизированной системе организации
 Скачать 161.32 Kb.
|
|
2.4.Категории пользователей АС ОРГАНИЗАЦИИ, режимы использования и уровни доступа к информации В ОРГАНИЗАЦИИ имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным, программным и другим ресурсам АС ОРГАНИЗАЦИИ: пользователи баз данных (конечные пользователи, сотрудники подразделений ОРГАНИЗАЦИИ); ответственные за ведение баз данных (ввод, корректировка, удаление данных в БД); администраторы серверов (файловых серверов, серверов приложений, серверов баз данных) и ЛВС; системные программисты (ответственные за сопровождение общего программного обеспечения) на серверах и рабочих станциях пользователей; разработчики прикладного программного обеспечения; специалисты по обслуживанию технических средств вычислительной техники; администраторы информационной безопасности (специальных средств защиты) и др. 2.5. Уязвимость основных компонентов АС организации Наиболее доступными и уязвимыми компонентами АС ОРГАНИЗАЦИИ являются сетевые рабочие станции (АРМ сотрудников подразделений ОРГАНИЗАЦИИ). Именно с них могут быть предприняты наиболее многочисленные попытки несанкционированного доступа к информации (НСД) в сети и попытки совершения несанкционированных действий (непреднамеренных и умышленных). С рабочих станций осуществляется управление процессами обработки информации (в том числе на серверах), запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На мониторы и печатающие устройства рабочих станций выводится информация при работе пользователей (операторов), выполняющих различные функции и имеющих разные полномочия по доступу к данным и другим ресурсам системы. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем. В особой защите нуждаются такие привлекательные для злоумышленников элементы сетей как выделенные файловые серверы, серверы баз данных и серверы приложений. Здесь злоумышленники, прежде всего, могут искать возможности получения доступа к защищаемой информации и оказания влияния на работу различных подсистем серверов, используя недостатки протоколов обмена и средств разграничения удаленного доступа к ресурсам серверов. При этом могут предприниматься попытки как удаленного (со станций сети) так и непосредственного (с консоли сервера) воздействия на работу серверов и их средств защиты. Мосты, шлюзы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными. 3. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 3.1.Интересы затрагиваемых при эксплуатации АС ОРГАНИЗАЦИИ субъектов информационных отношений Субъектами правоотношений при использовании АС ОРГАНИЗАЦИИ и обеспечении безопасности информации являются: ОРГАНИЗАЦИЯ как собственник информационных ресурсов; подразделения управлений и отделений ОРГАНИЗАЦИИ, обеспечивающие эксплуатацию системы автоматизированной обработки информации; должностные лица и сотрудники структурных подразделений ОРГАНИЗАЦИИ, как пользователи и поставщики информации в АС ОРГАНИЗАЦИИ в соответствии с возложенными на них функциями; юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в АС ОРГАНИЗАЦИИ; другие юридические и физические лица, задействованные в процессе создания и функционирования АС ОРГАНИЗАЦИИ (разработчики компонент АС, обслуживающий персонал, организации, привлекаемые для оказания услуг в области безопасности информационных технологий и др.). Перечисленные субъекты информационных отношений заинтересованы в обеспечении: конфиденциальности (сохранения в тайне) определенной части информации; достоверности (полноты, точности, адекватности, целостности) информации; защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации); своевременного доступа (за приемлемое для них время) к необходимой им информации; разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией; возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации; защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.). 3.2.Цели защиты Основной целью, на достижение которой направлены все положения настоящей Концепции, является защита субъектов информационных отношений (интересы которых затрагиваются при создании и функционировании АС ОРГАНИЗАЦИИ) от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования АС ОРГАНИЗАЦИИ или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования. Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки: доступности обрабатываемой информации для зарегистрированных пользователей (устойчивого функционирования АС ОРГАНИЗАЦИИ, при котором пользователи имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время); сохранения в тайне (обеспечения конфиденциальности) определенной части информации, хранимой, обрабатываемой СВТ и передаваемой по каналам связи; целостности и аутентичности (подтверждение авторства) информации, хранимой и обрабатываемой в АС ОРГАНИЗАЦИИ и передаваемой по каналам связи. 3.3.Основные задачи системы обеспечения безопасности информации АС организации Для достижения основной цели защиты и обеспечения указанных свойств информации и системы ее обработки система безопасности АС ОРГАНИЗАЦИИ должна обеспечивать эффективное решение следующих задач: защиту от вмешательства в процесс функционирования АС ОРГАНИЗАЦИИ посторонних лиц (возможность использования автоматизированной системы и доступ к ее ресурсам должны иметь только зарегистрированные установленным порядком пользователи - сотрудники структурных подразделений ОРГАНИЗАЦИИ); разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС ОРГАНИЗАЦИИ (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям АС ОРГАНИЗАЦИИ для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа: к информации, циркулирующей в АС ОРГАНИЗАЦИИ; средствам вычислительной техники АС ОРГАНИЗАЦИИ; аппаратным, программным и криптографическим средствам защиты, используемым в АС ОРГАНИЗАЦИИ; регистрацию действий пользователей при использовании защищаемых ресурсов АС ОРГАНИЗАЦИИ в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений безопасности; контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения; защиту от несанкционированной модификации и контроль целостности используемых в АС ОРГАНИЗАЦИИ программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы; защиту информации ограниченного распространения от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи; защиту информации ограниченного распространения, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения; обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации); обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы; своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции; создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации. 3.4.Основные пути достижения целей защиты (решения задач системы защиты) Поставленные основные цели защиты и решение перечисленных выше задач достигаются: строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, автоматизированных рабочих мест - АРМ); регламентацией процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений ОРГАНИЗАЦИИ, использующих АС ОРГАНИЗАЦИИ, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС ОРГАНИЗАЦИИ, на основе утвержденных руководителем ОРГАНИЗАЦИИ организационно-распорядительных документов по вопросам обеспечения безопасности информации; полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов ОРГАНИЗАЦИИ по вопросам обеспечения безопасности информации; назначением и подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации и процессов ее обработки; наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам АС ОРГАНИЗАЦИИ; четким знанием и строгим соблюдением всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства АС ОРГАНИЗАЦИИ, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации; персональной ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС ОРГАНИЗАЦИИ; реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных; принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов АС ОРГАНИЗАЦИИ; применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования; разграничением потоков информации, предусматривающим предупреждение попадания информации более высокого уровня конфиденциальности на носители и в файлы с более низким уровнем конфиденциальности, а также запрещением передачи информации ограниченного распространения по незащищенным каналам связи; эффективным контролем за соблюдением сотрудниками подразделений ОРГАНИЗАЦИИ - пользователями АС ОРГАНИЗАЦИИ требований по обеспечению безопасности информации; юридической защитой интересов ОРГАНИЗАЦИИ при взаимодействии его подразделений с внешними организациями (связанном с обменом информацией) от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц; проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в АС ОРГАНИЗАЦИИ. 4. ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ 4.1.Угрозы безопасности информации и их источники Наиболее опасными (значимыми) угрозами безопасности информации АС ОРГАНИЗАЦИИ (способами нанесения ущерба субъектам информационных отношений) являются: нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую или коммерческую тайну, а также персональных данных; нарушение работоспособности (дезорганизация работы) АС ОРГАНИЗАЦИИ, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач; нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов АС ОРГАНИЗАЦИИ, а также фальсификация (подделка) документов. Основными источниками угроз безопасности информации АС ОРГАНИЗАЦИИ являются: непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия сотрудников (в том числе администраторов средств защиты) структурных подразделений ОРГАНИЗАЦИИ при эксплуатации АС ОРГАНИЗАЦИИ, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций (АРМ), подсистем или АС ОРГАНИЗАЦИИ в целом; преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников подразделений ОРГАНИЗАЦИИ, допущенных к работе с АС ОРГАНИЗАЦИИ, а также сотрудников подразделений ОРГАНИЗАЦИИ, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения безопасности информации; воздействия из других логических и физических сегментов АС ОРГАНИЗАЦИИ со стороны сотрудников других подразделений ОРГАНИЗАЦИИ, в том числе программистов - разработчиков прикладных задач, а также удаленное несанкционированное вмешательство посторонних лиц из телекоммуникационной сети ОРГАНИЗАЦИИ и внешних сетей общего назначения (прежде всего Internet) через легальные и несанкционированные каналы подключения сети ОРГАНИЗАЦИИ к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам АС ОРГАНИЗАЦИИ; деятельность международных и отечественных преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонент; деятельность иностранных разведывательных и специальных служб, направленная против интересов ОРГАНИЗАЦИИ; ошибки, допущенные при проектировании АС ОРГАНИЗАЦИИ и ее системы защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты) АС ОРГАНИЗАЦИИ; аварии, стихийные бедствия и т.п. 4.2.Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации в АС организации Пользователи, операторы, системные администраторы и сотрудники ОРГАНИЗАЦИИ, обслуживающие систему, являются внутренними источниками случайных воздействий, т.к. имеют непосредственный доступ к процессам обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и процедур. Основные пути реализации непреднамеренных искусственных (субъективных) угроз АС ОРГАНИЗАЦИИ (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в Таблице 4.1. Таблица 4.1.
|