Грибунин В.Г. Комплексная система защиты информации на предприятии

Подождите немного. Документ загружается.

няется, разработчики написать «забыли». Требования к ИТ

предъявляются лишь исходя из категории безопасности ИТ.

В соответствии с духом ГОСТ 15408, все требования подразделя-

ются на функциональные и требования доверия к безопасности.

Функциональные требования, в свою очередь, подразделяются на

требования к организационным мерам и требования к техниче-

ским мерам и средствам обеспечения безопасности ИТ.

Из описания организационных мер обеспечения безопасности

видно, что авторы СТР-45 учли прогрессивные международные

стандарты и рекомендации «наилучшей практики», такие как ISO

17799,

BSI,

COBIT

и др., в том числе корпоративные стандарты.

Оргмеры включают не только традиционные мероприятия по за-

щите, но и реагирование на инциденты безопасности, действия в

непредвиденных ситуациях (т.е. обеспечение непрерывности ве-

дения бизнеса), оценку рисков, информирование и обучение

пользователей.

Функциональные требования помимо прочего включают срав-

нительно новые для наших пользователей детализированные тре-

бования к аудиту безопасности ИТ, требования к защите комму-

никаций. Введение последней категории требований показывает,

что разработчики учли распределенный характер современных ИТ.

Требования доверия к безопасности менее многочисленны, чем

функциональные, и включают в основном требования к сопро-

вождению ИТ, внесению изменений в ее конфигурацию, требова-

ния к персоналу и к документации.

По-видимому, болезненный для многих потребителей вопрос

связан с аттестацией ИТ. Согласно существующей нормативной

базе, аттестация ИТ внешней комиссией выполняется лишь в слу-

чае «обработки гостайны». В проекте СТР-45 предусмотрены две

формы оценки соответствия ИТ требованиям безопасности: атте-

стация ИТ и государственный контроль (надзор). При этом для

ИТ

—6-й

категорий аттестация осуществляется аккредитован-

ными органами по аттестации, для первой и второй категорий —

своими силами. Государственный контроль (надзор) выполняется

пока неназванными уполномоченными органами, правила его про-

ведения и периодичность пока также не указаны. Тем не менее,

по результатам контроля процесс эксплуатации ИТ в случае обна-

ружения нарушений СТР-45 может быть остановлен.

1.7.3.

Документы пользователя

Согласно СТР-45, на этапе ввода ИТ в эксплуатацию необхо-

димо разработать большое количество документов. Часть из них

будут новыми для отечественных потребителей. К таким доку-

ментам относятся следующие:

• планы: обеспечения безопасности ИТ; действий в непредви-

денных ситуациях;

• политики: безопасности информационных технологий; реа-

гирования на инциденты нарушения безопасности; оценки рис-

ков; защиты носителей информации; обеспечения целостности

ИТ и информации; физической защиты и защиты среды ИТ; обес-

печения безопасности эксплуатирующего персонала; обучения

(тренинга) безопасности (для ИТ 2 категории и выше); иденти-

фикации и аутентификации; управления доступом; аудита и обес-

печения подотчетности (политика регистрации и учета); защиты

ИТ и коммуникаций; сопровождения ИТ; управления конфигу-

рацией;

• руководства: по использованию беспроводных технологий

(для ИТ 3-й и последующих категорий); по использованию пор-

тативных и мобильных устройств (для ИТ 3-й и последующих

категорий); по использованию технологий мобильного кода (для

ИТ 2-й и следующих категорий); по использованию технологии

передачи речи по IP-сетям

(1Р-телефонии);

•

списки: персонала, уполномоченного на выполнение действий

по сопровождению ИТ; ключевых компонентов ИТ (для ИТ 2-й и

следующих категорий); доступа эксплуатирующего персонала на

объекты ИТ;

• журналы: доступа посетителей; регистрации действий по со-

провождению ИТ (для ИТ 3-й и следующих категорий);

• правила поведения эксплуатирующего персонала в отно-

шении обеспечения безопасности ИТ,

• соглашения о доступе;

• базовая конфигурация ИТ;

•

реестр компонентов ИТ.

В тексте СТР-45 очень кратко упоминается о том, что должен

содержать каждый из перечисленных документов. Учитывая от-

сутствие необходимой методической базы, можно полагать, что

разработка документации по ИТ будет непростым делом для по-

требителей.

Организационно-распорядительная документация по примене-

нию мер и средств обеспечения безопасности ИТ должна отно-

ситься к информации ограниченного доступа.

1.7.4.

Требования

к средствам обеспечения

безопасности

Проект СТР-46 использует в основном ту же терминологию,

что и СТР-45. Под средствами обеспечения безопасности инфор-

мационных технологий (СОБИТ) авторы проекта понимают сред-

ства, реализующие совокупность функций, обеспечивающих БИТ.

Нам это определение представляется довольно расплывчатым. На-

пример, система пожаротушения тоже реализует указанные функ-

ции (и в СТР-45 приведены требования к ней), но она не являет-

ся предметом рассмотрения данного проекта регламента. Дума-

ется, что будет правильным ставить знак равенства между исполь-

зующимся сейчас термином «средства защиты информации» и

СОБИТ. Разработчики обещают в следующих версиях проекта СТР

привести исчерпывающий список средств, относящихся к СОБИТ.

Категория СОБИТ устанавливается исходя из того, в ИТ какой

максимальной категории его можно использовать. В зависимости

от категории к СОБИТ предъявляется определенный набор тре-

бований доверия к безопасности. Сравнение с ГОСТ

15408

пока-

зывает, что эти наборы требований для различных категорий не

совпадают с требованиями оценочных уровней доверия ОК. Та-

ким образом, СОБИТ наивысшей категории не сможет быть авто-

матически сертифицирован на соответствие

ОК

даже по самому

низкому уровню доверия. Верно и обратное: выполнение требо-

ваний ОК недостаточно для того, чтобы СОБИТ соответствовали

СТР-46.

Функциональные требования безопасности к СОБИТ не уста-

навливаются в связи с их многообразием. Состав этих требований

будет определять разработчик, исходя из парируемых средством

угроз, условий применения и его категории. В приложении к проек-

ту СТР-46 приведен перечень основных функциональных требо-

ваний с пояснениями, что можно рассматривать в качестве мето-

дического пособия по данной теме. Между тем, непонятно, для

чего эти материалы предлагается включить в текст закона.

Подтвердить соответствие СОБИТ требованиям безопасности

предполагается двумя формами: декларированием соответствия и

обязательной сертификацией (для СОБИТ трех старших катего-

рий).

Интересным, но до конца непродуманным предложением ав-

торов является открытое опубликование результатов сертифика-

ционных испытаний. Очевидно, что для СОБИТ высших катего-

рий такое опубликование не только нецелесообразно, но и может

привести к разглашению государственной тайны.

По аналогии с ИТ, в отношении СОБИТ предлагается прово-

дить государственный контроль и надзор. При этом контролю

подвергаются не только разработчики и продавцы СОБИТ, но и

пользователи, что, по нашему мнению, неверно. Дело в том, что

защищаемые активы появляются только в ИТ, и именно ИТ целе-

сообразно подвергать контролю (надзору), как это и предусмот-

рено СТР-45.

Разработка технических регламентов по информационной без-

опасности является, скорее всего, первым опытом открытой раз-

работки документов по защите информации. Нельзя сказать, что

«первый блин вышел комом», но существующие варианты проек-

тов пока еще очень далеки от совершенства, в связи с чем не-

однократно происходит перенос сроков представления регламен-

тов в правительственные органы.

Остается неясным вопрос, насколько оправданно создание тех-

нических регламентов по информационной безопасности? На наш

взгляд, вместо этого было бы правильным внести в ст.1 ФЗ

«О техническом регулировании» абзац, где бы говорилось об от-

дельном регулировании такой чувствительной области, по анало-

гии с тем, как это сделано в этом законе для единой сети связи.

Грибунин

Гл

в а

Принципы организации и этапы

разработки КСЗИ

2.1.

Методологические основы

организации КСЗИ

При создании КСЗИ необходимо учитывать, что информа-

цию следует защищать во всех видах ее существования — доку-

ментальном (бумажные документы, микрофильмы и т.п.), элек-

тронном, содержащемся и обрабатываемом в автоматизирован-

ных системах (АС) и отдельных средствах вычислительной тех-

ники (СВТ); это относится к персоналу, который обрабатывает

информацию. Необходимо также принимать меры по защите

информации от утечки по техническим каналам. При этом тре-

буется защищать информацию не только от несанкционирован-

ного доступа (НСД) к ней, но и от неправомерного вмешатель-

ства в процесс ее обработки, хранения и передачи на всех фазах,

нарушения работоспособности АС и СВТ, воздействия на пер-

сонал и т.п. Должны быть обеспечены конфиденциальность,

целостность и доступность информации. Таким образом, защи-

щать необходимо все компоненты информационной структуры

предприятия — помещения, аппаратуру, информационные си-

стемы, документы на бумажных и электронных носителях, сети

связи, персонал и т.д.

Целью проводимых работ должно являться построение комп-

лексной системы защиты информации. Это предполагает необхо-

димость использования, создания и разработки совокупности ме-

тодологических, организационных и технических элементов КСЗИ,

взаимообусловленных и взаимоувязанных, и базируется на исполь-

зовании методологии построения комплексной системы защиты

информации.

Можно выделить три направления работ по созданию КСЗИ:

• методическое, в рамках которого создаются методологиче-

ские компоненты КСЗИ, разрабатывается замысел ее построения,

прорабатываются правовые вопросы;

• организационное, в ходе которого разрабатываются распоря-

дительные документы, проводится обучение и инструктаж персо-

нала и т.п.;

• техническое, заключающееся в выборе, закупке и инсталля-

ции программных, программно-аппаратных и аппаратных средств

защиты информации.

Для эффективного обеспечения безопасности информации тре-

буется создание развитого методологического аппарата, позволя-

ющего решить следующие комплексные задачи [6]:

• создать систему органов, ответственных за безопасность ин-

формации;

•

разработать теоретико-методологические основы обеспечения

безопасности информации;

• решить проблему управления защитой информации и ее ав-

томатизации;

• создать нормативно-правовую базу, регламентирующую ре-

шение всех задач обеспечения безопасности информации;

• наладить производство средств защиты информации;

•

организовать подготовку специалистов по защите информации;

• подготовить нормативно-методологическую базу для прове-

дения работ по обеспечению безопасности информации.

Особого внимания требует проработка правовых вопросов обес-

печения безопасности информации. Необходимо проанализиро-

вать всю совокупность законодательных актов, нормативно-пра-

вовых документов, требования которых обязательны в рамках сфе-

ры деятельности по защите информации. Предметом правового

регулирования является правовой режим информации (степень

конфиденциальности, собственность, средства и формы защиты

информации, которые можно использовать), правовой статус уча-

стников информационного взаимодействия, порядок отношения

субъектов с учетом их правового статуса.

Организационное обеспечение заключается в регламентации

взаимоотношений исполнителей на нормативно-правовой основе

таким образом, что разглашение, утечка и несанкционированный

доступ к информации становится невозможным или будет сущест-

венно затруднен за счет проведения организационных мероприя-

тий.

Организационное обеспечение состоит из таких компонентов,

как подбор сотрудников и службы безопасности; оборудование

служебных помещений; организация режимно-пропускной служ-

бы; организация хранения документов; организация системы де-

лопроизводства; эксплуатация технических средств; создание ох-

раняемых

зон.

Техническое направление работ по созданию КСЗИ состоит в

выборе, закупке и инсталляции средств защиты информации:

физических; аппаратных; программных; аппаратно-программных.

Планирование инженерно-технического обеспечения КСЗИ

рекомендуется проводить в соответствии со следующей методи-

кой [25]:

1. Анализ объекта и ресурсов, подлежащих защите.

2. Выявление способов несанкционированного доступа и ка-

налов утечки информации.

Составление моделей угроз и способов их реализации.

4. Выбор защитных мероприятий.

5. Анализ риска.

6. Формулирование политики безопасности.

7. Составление плана инженерно-технических мероприятий

комплексной защиты информации.

8. Оценка эффективности принятых решений.

В рамках методического направления создания КСЗИ должна

быть разработана политика безопасности. Иногда ее также назы-

вают концепцией безопасности.

Мероприятия по созданию КСЗИ, реализуемые вне единого

комплекса мер, прописанных в рамках концепции политики без-

опасности, бесперспективны с точки зрения ожидаемой отдачи

по решению проблем безопасности. Поэтому рассмотрим основ-

ные принципы, лежащие в основе политики безопасности.

2.2.

Разработка политики безопасности

и регламента безопасности предприятия

Всякой успешной деятельности должен предшествовать этап

планирования. Шахматисты знают, что, не создав четкого плана,

выиграть партию у сколько-нибудь серьезного соперника невоз-

можно. А соперник — «промышленный шпион» — у «защитника

информации» достаточно серьезный. Планирование обеспечения

безопасности заключается в разработке политики безопасности.

Вначале необходимо провести аудит информационных процес-

сов фирмы, выявить критически важную информацию, которую

необходимо защищать. Иногда к этому делу подходят однобоко,

полагая, что защита заключается в обеспечении конфиденциаль-

ности информации. При этом упускаются из виду необходимость

обеспечения защиты информации от подделки, модификации,

парирования угроз нарушения работоспособности системы. На-

пример, обиженный чем-то программист может вставить деструк-

тивную закладку в программное обеспечение, которая сотрет цен-

ную базу данных уже намного позднее времени его увольнения.

Аудит информационных процессов должен заканчиваться опре-

делением перечня конфиденциальной информации предприятия,

участков, где данная информация обращается, допущенных к ней

лиц, а также последствий утраты (искажения) информации. Пос-

ле этого становится ясно, что защищать, где защищать и от кого

защищать: ведь в подавляющем случае инцидентов в качестве на-

рушителей будут выступать — вольно или невольно — сами со-

трудники фирмы. На самом деле с этим ничего нельзя поделать:

это надо принять как данность.

Различным угрозам безопасности можно присвоить вероятно-

сти их реализации. Умножив вероятность реализации угрозы на

причиняемый этой реализацией ущерб, получим риск угрозы.

После этого можно приступать к разработке политики безопасно-

сти.

Политика безопасности — это документ верхнего уровня, в

котором указаны:

•

ответственные лица за безопасность функционирования фир-

мы;

•

полномочия и ответственность отделов и служб в отношении

безопасности;

• организация допуска новых сотрудников и их увольнения;

• правила разграничения доступа сотрудников к информаци-

онным ресурсам;

• организация пропускного режима, регистрации сотрудников

и посетителей;

• использование программно-технических средств защиты;

•

другие требования общего характера.

Таким образом, политика безопасности — это организацион-

но-правовой и технический документ одновременно. При ее со-

ставлении надо всегда опираться на принцип разумной достаточ-

ности и не терять здравого смысла.

Например, в политике может быть указано, что все прибываю-

щие на территорию фирмы сдают мобильные телефоны вахтеру

(такие требования встречаются в некоторых организациях). Будет

ли кто-нибудь следовать этому предписанию? Как это проконт-

ролировать? К чему это приведет с точки зрения имиджа фирмы?

Ясно, что это требование нежизнеспособное. Другое дело, что

можно запретить использование на территории мобильных теле-

фонов сотрудникам фирмы при условии достаточного количества

стационарных телефонов.

Принцип разумной достаточности означает, что затраты на

обеспечение безопасности информации должны быть никак не

больше, чем величина потенциального ущерба от ее утраты. Ана-

лиз рисков, проведенный на этапе аудита, позволяет ранжировать

эти риски по величине и защищать в первую очередь не только

наиболее уязвимые, но и обрабатывающие наиболее ценную ин-

формацию участки. Если в качестве ограничений выступает сум-

марный бюджет системы обеспечения безопасности, то задачу

распределения этого ресурса можно поставить и решить как услов-

ную задачу динамического программирования.

Особое внимание в политике безопасности надо уделить раз-

граничению зоны ответственности между службой безопасности

IT-службой

предприятия. Зачастую сотрудники службы без-

опасности в силу низкой технической грамотности не осознают

важности защиты компьютерной информации. С другой сторо-

ны,

IT-сотрудники,

являясь «творческими» личностями, как пра-

вило, стараются игнорировать требования службы безопасности.

Кардинально решить эту проблему можно было бы, введя дол-

жность директора по информационной безопасности, которому

бы подчинялись обе службы.

В политике безопасности не надо детализировать должност-

ные обязанности каких бы то ни было сотрудников (хотя прихо-

дилось видеть и такое). Эти обязанности должны разрабатываться

на основе политики, но не внутри нее.

Значительное внимание в политике безопасности уделяется

вопросам обеспечения безопасности информации при ее обра-

ботке в автоматизированных системах: автономно работающих

компьютерах и локальных сетях. Необходимо установить, как дол-

жны быть защищены серверы, маршрутизаторы и другие устрой-

ства сети, порядок использования сменных носителей информа-

ции, их маркировки, хранения, порядок внесения изменений в

программное обеспечение.

Можно привести по этому поводу следующие общие рекомен-

дации:

• в системе должен быть администратор безопасности;

• за эксплуатацию каждого устройства должен быть назначен

ответственный;

• системный блок компьютера опечатывают ответственный и

работник

IT-службы

(или службы безопасности);

• предпочтительнее использовать съемные жесткие диски, а по

окончании рабочего дня убирать их в сейф;

• если нет необходимости в эксплуатации CD-ROM, дисково-

дов, их следует снять с компьютеров;

• осуществление контроля за использованием USB-портов,

вплоть до полного запрета;

• установка любого программного обеспечения производится

только работником

1Т-службы;

•

для разграничения доступа сотрудников лучше всего исполь-

зовать сочетание паролей и смарт-карт (токенов); пароли должны

генерироваться администратором безопасности, выдаваться пользо-

вателю под роспись и храниться им так же, как и другая конфи-

денциальная информация;

• запрещается использование неучтенных носителей информа-

ции; на учтенных носителях выполняется маркировка, например,

указываются гриф, номер, должность и фамилия сотрудника.

Еще раз напомним о разумной достаточности и здравом смыс-

ле. Внедрение любой защиты приводит к определенным неудоб-

ствам пользователя. Однако эти неудобства не должны быть су-

щественными, иначе человек будет игнорировать существующие

правила. Например, можно потребовать завести журнал пользо-

вателя персонального компьютера, в котором следует отмечать

время начала и конца работы, характер выполняемых действий,

наименование созданных файлов и т.д. Можно предусмотреть

процедуру удаления файлов под две росписи в журнале (и пр.), но

вряд ли кто-нибудь и когда-нибудь будет выполнять столь вздор-

ные требования. Другое дело, если подготовка каких-то важных

документов предусмотрена на специальном компьютере в службе

безопасности. Здесь журнал учета работы пользователей будет не

только уместным, но и необходимым.

Крайне внимательно надо отнестись к подключению своих

информационных ресурсов к Интернету. В политике безопасно-

сти этот вопрос должен быть выделен в отдельный раздел. Под-

ключение к Интернету обычно преследует следующие цели:

• получение информации из Интернета;

• размещение в Интернете своей информации о предоставляе-

мых услугах, продаваемых товарах и т.д.;

• организация электронного магазина и т.п.;

• организация совместной работы удаленных офисов или ра-

ботников на дому.

В первых трех случаях идеальным с точки зрения безопасности

было бы выделение для Интернета автономного компьютера, на

котором ни в коем случае нельзя хранить конфиденциальную

информацию. На компьютере должны быть обязательно установ-

лены антивирусные средства защиты с актуальной базой, а также

правильно настроенный межсетевой экран. Особый контроль надо

установить за компьютером со сменными носителями информа-

ции, а также за перлюстрацией исходящей почты. В некоторых

организациях вся исходящая почта попадает вначале в руки адми-

нистратора безопасности, который контролирует ее и пересылает

дальше.

При необходимости организации распределенной работы со-

трудников фирмы наиболее приемлемым решением являются вир-

туальные частные сети (VPN). В настоящее время имеется много

отечественных фирм-разработчиков, предоставляющих также услу-

ги по установке и настройке соответствующего программного обес-

печения.

Нарушения информационной безопасности могут произойти,

несмотря на все принятые меры, поэтому в политике безопасно-

сти должны быть обязательно предусмотрены меры по ликвида-

ции таких последствий, восстановлению нормальной работоспо-

собности фирмы и минимизации причиненного ущерба. Большое

значение здесь имеет применение средств резервирования элект-

ропитания, вычислительных средств, данных, а также правильная

организация документооборота.