Общее содержание работ по организации КСЗИ
Технологическое и организационное построение КСЗИ
Гл а в а 12
Удаление субъекта — объекта
При удалении может не происходить полного уничтожения субъекта и объекта, записи о них переносятся в резервную область памяти, где хранятся в течение обусловленного времени. Конечно, чаще всего фактически выполняется удаление только субъекта или только объекта, но и эти случаи можно рассматривать как удаление пары субъект —объект.
Опишем сценарий удаления субъекта, который является по существу обратным последовательности его создания.
I. Вначале выполняется уничтожение объектов, ассоциированных только с этим субъектом и не являющихся нужными другим. Например, таким объектом может стать личная папка (файлы) пользователя. Данная операция осуществляется под управлением администратора сети Modify(As) -» 0, где 0 означает пустой объект.
2. Удаление у субъекта атрибутов информационной безопасности и прав доступа осуществляет АУД после получения управления от администратора сети, подтверждающего факт обнуления
объе кта: DelAttribs [A d) — &-
->5;.
3. Удаление «нулевой» пары субъект—объект (модификация базы данных АУД) производится АУД:
ModifitA,) -» Ои.
С помощью введенных формальных операций можно описать поведение АС в соответствии с разработанной политикой безопасности. При выполнении требований обеспечения информационной безопасности, предъявляемых к объектам и субъектам, а также к процедурам взаимодействия с ними, АС будет находиться в безопасном состоянии, в рамках выполнения описанного набора операций. В итоге использования модели удается сформулировать набор априорно неочевидных требований к компонентам сети и системе защиты. Совокупности этих требований должны отвечать компоненты сети и проектируемая система защиты.
Как говорилось ранее (см. гл. 5), при создании комплексной системы защиты информации ограниченного доступа защищать необходимо все компоненты информационной структуры предприятия — документы, сети связи, персонал и т.д.
Основные организационно-методические мероприятия по со зданию и поддержанию функционирования комплексной систе мы защиты:
• создание службы защиты информации, включая подбор, расстановку и обучение ее персонала;
• создание основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации.
КСЗИ предприятия целесообразно строить с учетом реальных угроз, в результате осуществления которых предприятию (или в отношении государственной тайны — государству) может быть нанесен ущерб.
Наиболее значимыми угрозами информационной безопасности предприятия являются (в порядке, соответствующем частоте проявления):
• непреднамеренные ошибочные действия сотрудников предприятия;
• злоумышленные действия сотрудников предприятия;
• неправомерные действия третьих лиц (в том числе государственных органов, контрагентов, клиентов предприятия);
• проявления ошибок в программном обеспечении, отказы и сбои технических средств, аварии.
КСЗИ предприятия необходимо строить с учетом того, что:
• основной задачей обеспечения ЗИ должна быть защита интересов предприятия, его персонала, контрагентов и клиентов от нанесения им ущерба (материального, морального, физического и др.) путем неправомерного использования информации или воздействия на нее;
• интересы предприятия в информационной сфере должны быть юридически защищены от противоправных действий со стороны персонала, контрагентов, клиентов и третьих лиц с учетом и на основании нормативно-правовых актов в информационной сфере;
• сотрудники и командированные лица на предприятии должны быть допущены только к той информации и техническим средствам ее обработки, которые необходимы им для выполнения служебных обязанностей (принцип Need-to-Know);
• действия персонала предприятия с носителями и источниками информации ограниченного доступа должны регистрироваться в целях получения объективных данных и определения ответственного за совершение того или иного противоправного действия;
• дифференциация защиты информации с учетом ее ценности, реальности реализации угроз (принцип разумной достаточности), затраты не должны превышать возможный ущерб;
• зашита информации должна осуществляться на всех этапах ее жизненного цикла, комплексно и всесторонне.
КСЗИ должна обеспечивать:
• точную и своевременную реализацию политики информационной безопасности предприятия;
• гибкость применения положений политики информационной безопасности с учетом особенностей функционирования различных подсистем предприятия;
• минимизацию затрат на реализацию управляющих воздействий;
• соответствие принимаемых мер и применяемых современному уровню развития информационных технологий.
Для эффективного функционирования КСЗИ предприятия необходимо:
• наличие системы взаимосвязанных нормативно-методических и организационно-распорядительных документов;
• четкое распределение функций и определение порядка взаимодействия подразделений предприятия при решении вопросов ЗИ, зафиксированные в организационно-распорядительных документах;
• наличие подразделения зашиты информации,' наделенного необходимыми полномочиями и непосредственно отвечающего за формирование и реализацию единой политики информационной безопасности предприятия, осуществляющего контроль и координацию действий других структурных подразделений предприятия по вопросам ЗИ.
—В целях выработки и обеспечения единого понимания всеми должностными лицами предприятия проблем и задач по обеспечению защиты информации на предприятии разрабатывается Концепция защиты информации (или, как правило, соответствуюшие положения предусматриваются в Концепции безопасности предприятия — см. гл. 10).
Концепция должна определять цели и задачи КСЗИ, принципы и правовые основы ее организации и функционирования, виды угроз информации и ресурсы, подлежащие защите, а также основные направления разработки КСЗИ, включая правовую, организационную и инженерно-техническую защиту.
Примерное содержание разделов Концепции:
1. Характеристика предприятия как объекта защиты.
2. Цели КСЗИ. Они формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
3. Типовые задачи КСЗИ:
• прогнозирование, своевременное выявление и устранение угроз информационным ресурсам, причин и условий, способствующих нанесению ущерба, нарушению нормального функционирования и развитию;
• отнесение информации к категории ограниченного доступа (государственной, служебной, коммерческой тайнам, иной информации, подлежащей защите от неправомерного использования;
• создание механизма и условий оперативного реагирования на угрозы и проявления негативных тенденций в функционировании;
• эффективное пресечение угроз на основе правовых, организационных и инженерно-технических мер и средств защиты информации;
• создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения на достижение стратегических целей предприятия.
4. Принципы создания и функционирования КСЗИ (типовые):
• Комплексность, т.е.:
— обеспечение зашиты информации от возможных угроз всеми доступными законными средствами, методами и мероприятиями;
— обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;
— способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования.
• Своевременность — упреждающий характер мер ЗИ. Своевременность предполагает постановку задач по КЗИ на ранних стадиях разработки системы на основе анализа и прогнозирования обстановки, угроз, а также разработку эффективных мер предупреждения.
• Непрерывность — считается, что злоумышленники только и ищут возможность, как бы обойти защитные меры, прибегая для этого к легальным и нелегальным методам.
• Активность — проведение мероприятий ЗИ с достаточной степенью настойчивости, с широким использованием маневра силами и средствами зашиты.
• Законность — разработка КСЗИ на основе законодательства в области информатизации и зашиты информации и других нормативных актов в данной области, с применением всех дозволенных методов обнаружения и пресечения правонарушений.
• Обоснованность — реализация используемых возможностей и средств зашиты на современном уровне развития науки и техники, обоснованными с точки зрения заданного уровня защиты и соответствующими установленным требованиям и нормам.
• Экономическая целесообразность и сопоставимость возможного ущерба и затрат (критерий «эффективность — стоимость») — во всех случаях стоимость системы должна быть меньше размера возможного ущерба.
• Специализация — привлечение к разработке и внедрению мер и средств защиты специализированных организаций, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер ЗИ должны осуществляться профессионально подготовленными специалистами.
• Взаимодействие и координация — осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответствующих подразделений и служб, сторонних специализированных организаций в этой области, координации их усилий для достижения поставленных целей, а также сотрудничества с заинтересованными организациями и взаимодействия с органами государственного управления и правоохранительными органами.
• Совершенствование — совершенствование мер и средств зашиты на основе собственного опыта, появления новых технических средств, с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требований, достигнутого отечественного и зарубежного опыта.
• Централизация управления — функционирование системы ЗИ по единым правовым, организационным, функциональным и методологическим принципам.
5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
• общие внешние и внутренние воздействующие факторы;
• опасные факторы и угрозы на объектах (подсистемах);
• способы и средства реализации угроз;
• модель возможного нарушителя;
• подход к оценке риска.
6. Организация защиты информации на предприятии:
• объекты защиты;
• основные меры и методы (способы, средства) защиты от угроз;
• структура системы зашиты информации предприятия;. особенности зашиты сети связи (телекоммуникации);
• содержание мероприятий по защите информации;
• реализация технической политики по защите информации.
Организационное направление работ по созданию КСЗИ. На
основе концепции защиты информации на предприятии, законодательства и иных нормативных документов в информационной области, с учётом уставных положений и специфики деятельности предприятия определяется и разрабатывается комплект внутренних нормативных и методических документов, как правило, иключающий:
• перечни сведений, подлежащих защите на предприятии;
• документы, регламентирующие порядок обращения сотрудников предприятия с информацией, подлежащей защите;
• положения о структурных подразделениях предприятия;
• документы, регламентирующие порядок взаимодействия предприятия со сторонними организациями по вопросам обмена информацией;
• документы, регламентирующие порядок эксплуатации автоматизированных систем предприятия;
• планы защиты автоматизированных систем предприятия; документы, регламентирующие порядок разработки, испытания и сдачи в эксплуатацию программных средств;
• документы, регламентирующие порядок закупки программных и аппаратных средств (в т.ч. средств защиты информации);
• документы, регламентирующие порядок эксплуатации технических средств связи и телекоммуникации.
Технология КСЗИ предусматривает взаимодействие и реализацию функций по ЗИ структурными подразделениями и должностными лицами предприятия:
• руководством предприятия, принимающим стратегические решения по вопросам ЗИ и устанавливающим (утверждающим)
основные документы, регламентирующие порядок функциониро-мания и развития КСЗИ, обеспечивающий безопасную обработку и использование защищаемой информации; подразделением защиты информации;
• подразделением, ведущим учет и хранение носителей защищаемой информации;
• подразделением, отвечающим за разработку или. приобретение технических средств обработки защищаемой информации;
• подразделениями, отвечающими за обеспечение нормальной работы вычислительных средств, программных средств, средств телекоммуникации;
• подразделением, отвечающим за проведение проверок подразделений предприятия по вопросам соблюдения технологии;
• основными подразделениями предприятия, решающими задачи с использованием защищаемой информации.
Техническое направление работ по созданию КСЗИ. Техническая составляющая КСЗИ — комплекс технических средств и технологий защиты информации при ее обработке, хранении и передаче.
Для реализации технического направления проводится сбор исходных данных для разработки технических предложений по оснащенности автоматизированной системы обработки, хранения и передачи информации средствами ЗИ, позволяющими реализовать требуемый уровень защищенности.
АС является составляющей информационной системы предприятия, поэтому подготовка технических предложений хронологически следует за разработкой общей концепции КСЗИ.
Подготовка технических решений проблемы соответствия параметров АС установленным требованиям защищенности (определяются в Концепции безопасности) возможна в двух направлениях:
• первоначальная разработка АС с учетом требований защищенности;
• встраивание механизмов зашиты в уже существующую АС.