Главная страница
Навигация по странице:

  • 11.3 Средства и технологии ЭП: удостоверяющие центры и их функции, сертификаты ключа проверки ЭП; классы сертификатов и их отличия.

  • Cертификат ключа проверки электронной подписи

  • 12. Механизмы управления информационной безопасностью.

  • 12.2 Понятие «Политика информационной безопасности организации». Цель Политики. Документальное оформление Политики: структура, основное содержание разделов.

  • 12.3 Последовательность разработки Политики информационной безопасности организации. Пересмотр и оценка Политики.

  • 1. Первоначальный аудит безопасности

  • 2. Разработка

  • 3. Внедрение

  • Чтобы внедрение завершилось успешно, должна быть создана проектная группа по внедрению ПБ, действующая по согласованному плану в соответствии с установленными сроками выполнения работ.

  • 4. Аудит и контроль

  • 5. Пересмотр и корректировка

  • госы. ГОСы шпоры. Теория информационной безопасности и методология защиты информации Система обеспечения информационной безопасности в Российской Федерации. 1 Понятие система обеспечения информационной безопасности


    Скачать 2.75 Mb.
    НазваниеТеория информационной безопасности и методология защиты информации Система обеспечения информационной безопасности в Российской Федерации. 1 Понятие система обеспечения информационной безопасности
    Дата05.11.2022
    Размер2.75 Mb.
    Формат файлаdocx
    Имя файлаГОСы шпоры.docx
    ТипДокументы
    #771088
    страница8 из 17
    1   ...   4   5   6   7   8   9   10   11   ...   17

    11. Механизмы защиты информации в информационных системах документооборота.

    Механизмы защиты

    Известно, что фокус всех систем ИБ в ЭДО сформирован на применении средств аутентификации должностных лиц в виде электронной подписи (ЭП), на разграничении доступа к документам на основе определения ролей пользователей, на возможном шифровании содержимого хранилища документов и применении криптотуннелей: либо для доставки документов до пользователей, либо для обеспечения доступа пользователей к серверам ЭДО в случае коллективной обработки документов.

    Следует рассмотреть все эти механизмы защиты, общие для всех систем ЭДО, в их современном понимании. Например, электронная подпись. В соответствии с современными требованиями к ЭП, сформулированными в № 63-ФЗ "Об электронной подписи", сегодня вполне правомерно использование простой и неквалифицированной ЭП в системах ЭДО, что раньше было недопустимо. Это, с одной стороны, существенно упрощает жизнь разработчикам и заказчикам, но с другой – существенно усложняет сам процесс аутентификации. С использованием ЭП достоверность механизмов защиты, ранее внедряемых посредством ЭЦП (электронно-цифровая подпись), существенно снижается. Это послабление делает этот механизм защиты дополнительным, но никак не основным (как было ранее). Известны решения, построенные на принципах кросс-сертификации, что в целом поддерживает прежний status-quo, но необходимо использование иных механизмов защиты в качестве основных.

    Системы разграничения доступа в ЭДО обычно практически полностью основаны на аналогичных из состава СУБД, обслуживающей документооборот. Мало того, что часто такие системы не проходят необходимые процедуры сертификации в качестве средств контроля НСД (несанкционированного доступа), так они опираются на столь же несертифицированные, хотя и более развитые средства СУБД. В результате в целом системы ЭДО имеют низкие классы защищенности и уж тем более не имеют возможности обрабатывать сведения, составляющие гостайну РФ.

    Использование внешних по отношению к ЭДО криптосредств сегодня является, пожалуй, "последним рубежом обороны" в таких системах. Однако вопросы применения разнородных средств шифрования в единой СЭД и сертификации этих средств по соответствующим требованиям в необходимом объеме здесь остаются открытыми. Не говоря уже о проведении необходимых процедур оценки корректности встраивания криптомодулей в прикладные задачи и т.п.

    11.1 Системы электронного документооборота: понятие, архитектура, выполняемые функции, преимущества и недостатки, перечень механизмов защиты информации, примеры программных реализаций систем электронного документооборота.

    Система автоматизации документооборота, система электронного документооборота (СЭДО) — автоматизированная многопользовательская система, сопровождающая процесс управления работой иерархической организации с целью обеспечения выполнения этой организацией своих функций. При этом предполагается, что процесс управления опирается на человеко-читаемые документы, содержащие инструкции для сотрудников организации, необходимые к исполнению.

    СЭД — программно-аппаратный комплекс, предназначенный для передачи ин-

    формации по телекоммуникационным каналам связи между территориально уда-

    ленными информационными массивами.

    Базовой единицей СЭД является электронный документ (ЭД). В общем случае

    ЭД представляет собой совокупность файлов разного типа (составных частей доку-

    мента) и снабжен регистрационной карточкой.

    Регистрационно-контрольная карточка содержит набор реквизитов, таких как

    название организации, вид документа, отметки о согласованиях и утверждениях,

    даты, адреса сторон и т.д., и позволяет регистрировать, идентифицировать и нахо-

    дить документ, контролировать исполнительскую дисциплину, отслеживать исто-

    рию документа и архивировать его.

    Основная задача СЭД – управление полным жизненным циклом документа,

    начиная с его создания и заканчивая списанием в архив и уничтожением, т.е. управ-

    ление движением документов (документооборотом).

    Как правило, СЭД состоит из двух основных блоков: статического (электронный

    архив) и динамического (документооборот). Первый блок обеспечивает первичную

    обработку документов (регистрация входящей и исходящей информации, поиск,

    составление отчетов и пр.), а второй – организацию информационных потоков, по

    которым проходят документы, контроль исполнения, групповую работу над доку-ментом и т.п.

    Помимо базовых функций в современных СЭД реализовано множество других подсистем, обеспечивающих такие функции как: потоковый ввод бумажных доку-ментов; поддержка истории работы с документом (для учета обращений и подго-товки отчетов), поиск по атрибутам документа и по его содержанию, разграничение прав доступа, маршрутизация документов по рабочим местам пользователей, интеграция с почтовыми системами, формирование отчетов, защита документов с по-мощью шифрования и ЭП.

    Виды СЭД:

    АСКИД – автоматизированные системы контроля исполнения документов;

    - электронные архивы;

    - СОГР – системы организации групповой работы (GroupWare);

    - САДП – системы автоматизации деловых процессов (WMS – Workflow Management System);

    - СУД – системы управления документами (DMS – Document Management System).

    Среди плюсов внедрения электронного документооборота – экономия, которая получается при отказе от ежемесячных закупок бумаги, чернил и других расходных материалов, а также оплату почтовых услуг. К тому же, реализация общего доступа к документам, находящимся при таком раскладе в цифровом формате, повышает мобильность сотрудников, многие из которых получают возможность работать удаленно. Наконец, стоит вспомнить и о том, что в компьютере или облачном хранилище быстро найти нужный документ в разы проще, чем в куче бумаг.

    По мнению экспертов, главный минус введения электронного документооборота заключается в том, что пока что нельзя полностью утверждать о достойному уровне конфиденциальности информации. Локальные сервера, ограничения доступа и различные способы шифрования способны решить проблему лишь частично, поэтому особо важные документы необходимо иметь и в бумажном виде. Это спасет и в том случае, если вся база данных будет утеряна по причине какого-то технического сбоя; впрочем, хранение данных в облачных сервисах сводит на нет этот минус. Наконец, многих останавливает то, что переход с бумаг на электронные документы – дело довольно длительное и сложное.

    11.2 Использование механизма электронной подписи (ЭП) в соответствии с требованиями Федерального Закона РФ №63-ФЗ 2011 г. «Об электронной подписи»: сфера действия Закона, принципы использования ЭП, виды и характеристика; порядок обеспечения юридической значимости документов, подписанных ЭП.

    Сфера действия:

    Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами.


    Принципами использования электронной подписи являются:

    1) право участников электронного взаимодействия использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;

    2) возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования настоящего Федерального закона применительно к использованию конкретных видов электронных подписей;

    3) недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.

    Виды электронных подписей:

    Существует простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись и усиленная квалифицированная электронная подпись.

    Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

    Неквалифицированной электронной подписью является электронная подпись, которая:

    1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

    2) позволяет определить лицо, подписавшее электронный документ;

    3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

    4) создается с использованием средств электронной подписи.

    При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим Федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи

    Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:

    1) ключ проверки электронной подписи указан в квалифицированном сертификате;

    2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

    Порядок признания электронной подписи:

    Квалифицированная электронная подпись признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий:

    1) квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата;

    2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;

    3) имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи

    4) квалифицированная электронная подпись используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены).


    11.3 Средства и технологии ЭП: удостоверяющие центры и их функции, сертификаты ключа проверки ЭП; классы сертификатов и их отличия.

    Функции удостоверяющего центра:

    1) создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением (заявителям);

    2) устанавливает сроки действия сертификатов ключей проверки электронных подписей;

    3) аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей;

    4) выдает по обращению заявителя средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;

    5) ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее - реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования;

    6) устанавливает порядок ведения реестра сертификатов, не являющихся квалифицированными, и порядок доступа к нему, а также обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием информационно-телекоммуникационной сети "Интернет";

    7) создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;

    8) проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;

    9) осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;

    10) осуществляет иную связанную с использованием электронной подписи деятельность.

    Cертификат ключа проверки электронной подписи – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром (УЦ) либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

    Сертификат ключа проверки электронной подписи , это просто открытый ключ с некоторой дополнительной информацией о его владельце, подписанный еще одним ключом, принадлежащим удостоверяющему центру, которому все доверяют. Т.е. получая подписанное письмо и сертификат подписи, можно проверить известный ключ УЦ и быть уверенным, что подписал письмо именно тот, кто указан в сертификате. Если, конечно, ключом не завладел кто-то другой. В последнем случае владелец сертификата должен быстро сообщить об этом УЦ, и сертификат будет отозван.

    • Класс 1   Сертификаты данного класса выдаются частным лицам с допустимыми адресами электронной почты. Сертификаты класса 1 подходят для цифровых подписей, шифрования и управления электронным доступом к некоммерческим операциям, для которых не требуется подтверждение личности.

    • Класс 2   Сертификаты класса 2 выдаются частным лицам и устройствам. Сертификаты для частных лиц позволяют ставить цифровые подписи, выполнять шифрование и осуществлять электронный доступ к операциям, в которых принимается подтверждение личности, основанное на сведениях в проверяющей базе данных. Сертификаты класса 2 для устройств позволяют проверять подлинность устройств, целостность сообщений, ПО и содержимого и шифрование конфиденциальных сведений.

    • Класс 3   Сертификаты класса 3 выдаются частным лицам, организациям, серверам, устройствам и администраторам для CA и служб выдачи корневых сертификатов (RA). Индивидуальные сертификаты данного вида позволяют ставить цифровые подписи, выполнять шифрование и получать доступ к элементам управления операций, в которых необходимо подтверждение личности. Сертификаты для серверов позволят выполнять проверку подлинности серверов, целостности сообщений, ПО и содержимого, а также шифрование конфиденциальных сведений.



    12. Механизмы управления информационной безопасностью.

    12.1 Обеспечение конфиденциальности, доступности и целостности информационных активов организации на основе положений стандарта  ГОСТ Р ИСО/МЭК 17799-2005: классификация и управление активами; вопросы безопасности, связанные с персоналом организации; управление информационной безопасностью организации; контроль доступа к информационным активам; управление непрерывностью бизнеса.

    Информацию следует классифицировать в зависимости от её ценности и чувствительности для организации.

    С юзерами: обучение, проверка при приеме, ИБ в договоре, соглашение о конфиденциальности, информирование юзеров о проблемах.

    У юзеров должны быть минимально необходимые права на доступ к активам.


    12.2 Понятие «Политика информационной безопасности организации». Цель Политики. Документальное оформление Политики: структура, основное содержание разделов.

    Политика ИБ организации.

    Термин "Политика" в ЗИ может рассматриваться как:

    1.      Широкое значение - политика ИБ - совокупность технических, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, четко регламентирующих все вопросы обечпечения ИБ.

    2.      Узкое - политика ИБ - документ в системе упарвления ИБ опганизации, который может рассматриватся в качестве одного из ключевых  механизмов ИБ.

               В соответствии с ГОСТ 27001 в оргенизации вводятся регламентные документы по обеспечению ИБ 4х уровней:

    1.      Концептуальные документы, в которыхрассматриваются общие вопросы обеспечения ИБ организации вцелом. Рассматривается область действия документа, область действия и т.д.

    2.      Частные политики по обеспечению ИБ - рассматриваются отдельные направления обеспечения ИБ, документ является более подробным и более детальным. Пример - частная политики антивирусной защиты, ...предоставления доступа к ИР, ...использования сети интернет, ...обеспечения работы с персоналом при работе с ИС.

    3.      Регламенты по обеспечению ИБ - конкретный документ(инструкция, методика), в котором четко описываются действия пользователя или администратора системы при работе с определенным ТС или процессом.

    4.      "Свидительства о выполненной работе" по обеспечению ИБ - справки, отчеты, акты, аналитические справки.

    В 27001 приведено около 68 документов из всех групп.

               Политика ИБ - документ, в котором описываются правила обеспечения ИБ.

               Обычно, в политике ИБ описываются:

    1.      Термины и определения.

    2.      Общие положения - назначение документа, цели, задачи, правовая основа. Здесь же - ответственность.

    3.      Объекты защиты (структура,состав, размещение обхектов защиты), категории ИР, которые подлежат защите.

    4.      Угрозы ИБ. Основные угрозы, источники угроз, пути реализации угроз, модель нарушителя, каналы утечки и тд.

    5.      Основные принципы построения системы обеспечения ИБ.

    6.      Меры, методы и средства обеспечения ИБ - описываются технические мероприятия и средства их обеспечения.

    7.      Контроль защищенности инфы.

    8.      Изменения (как вносятся).


    12.3 Последовательность разработки Политики информационной безопасности организации. Пересмотр и оценка Политики.

    Разработка ПБ – длительный и трудоемкий процесс, требующего высокого профессионализма, отличного знания нормативной базы в области ИБ и, помимо всего прочего, писательского таланта. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно. Координатором этого процесса является специалист, на которого руководство организации возлагает ответственность за обеспечение ИБ. Эта ответственность обычно концентрируется на руководителе Отдела информационной безопасности, Главном офицере по информационной безопасности (CISO), Главном офицере безопасности (CSO), ИТ-директоре (CIO), либо на руководителе Отдела внутреннего аудита. Этот специалист координирует деятельность рабочей группы по разработке и внедрению ПБ на протяжении всего жизненного цикла, который состоит из пяти последовательных этапов, описанных ниже.

    1. Первоначальный аудит безопасности

    Аудит безопасности – это процесс, с которого начинаются любые планомерные действия по обеспечению ИБ в организации. Он включает в себя проведение обследования, идентификацию угроз безопасности, ресурсов, нуждающихся в защите и оценку рисков. В ходе аудита производится анализ текущего состояния ИБ, выявляются существующие уязвимости, наиболее критичные области функционирования и наиболее чувствительные к угрозам ИБ бизнес процессы.

    2. Разработка

    Аудит безопасности позволяет собрать и обобщить сведения, необходимые для разработки ПБ. На основании результатов аудита определяются основные условия, требования и базовая система мер по обеспечению ИБ в организации, позволяющих уменьшить риски до приемлемой величины, которые оформляются в виде согласованных в рамках рабочей группы решений и утверждаются руководством организации.

    Разработка ПБ с нуля не всегда является хорошей идеей. Во многих случаях можно воспользоваться существующими наработками (3), ограничившись адаптацией типового комплекта ПБ к специфическим условиям своей организации. Этот путь позволяет сэкономить многие месяцы работы и повысить качество разрабатываемых документов. Кроме того, он является единственно приемлемым в случае отсутствия в организации собственных ресурсов для квалифицированной разработки ПБ.

    3. Внедрение

    С наибольшими трудностями приходится сталкиваться на этапе внедрения ПБ, которое, как правило, связано с необходимостью решения технических, организационных и дисциплинарных проблем. Часть пользователей могут сознательно, либо бессознательно сопротивляться введению новых правил поведения, которым теперь необходимо следовать, а также программно-технических механизмов защиты информации, в той или иной степени неизбежно ограничивающих их свободный доступ к информации. Администраторов ИС может раздражать необходимость выполнения требований ПБ, усложняющих задачи администрирования. Помимо этого могут возникать и чисто технические проблемы, связанные, например, с отсутствием в используемом ПО функциональности, необходимой для реализации отдельных положений ПБ.

    На этапе внедрения необходимо не просто довести содержание ПБ до сведения всех сотрудников организации, но также провести обучение и дать необходимые разъяснения сомневающимся, которые пытаются обойти новые правила и продолжать работать по старому.

    Чтобы внедрение завершилось успешно, должна быть создана проектная группа по внедрению ПБ, действующая по согласованному плану в соответствии с установленными сроками выполнения работ.

    4. Аудит и контроль

    Соблюдение положений ПБ должно являться обязательным для всех сотрудников организации и должно непрерывно контролироваться. Рассмотрение различных форм и методов контроля, позволяющих оперативно выявлять нарушения безопасности и своевременно реагировать на них, выходят за рамки данной статьи.

    Проведение планового аудита безопасности является одним из основных методов контроля  работоспособности ПБ, позволяющего оценить эффективность внедрения. Результаты аудита могут служить основанием для пересмотра некоторых положений ПБ и внесение в них необходимых корректировок.

    5. Пересмотр и корректировка

    Первая версия ПБ обычно не в полной мере отвечает потребностям организации, однако понимание этого приходит с опытом. Скорее всего, после наблюдения за процессом внедрения ПБ и оценки эффективности ее применения потребуется осуществить ряд доработок. В дополнение к этому, используемые технологии и организация бизнес процессов непрерывно изменяются, что приводит к необходимости корректировать существующие подходы к обеспечению ИБ. В большинстве случаев ежегодный пересмотр ПБ является нормой, которая устанавливается самой политикой.

    1   ...   4   5   6   7   8   9   10   11   ...   17


    написать администратору сайта