Комплексна система захисту інформації: порядок введення в дію, документальний супровід

Сутність, зміст і засоби інформаційної боротьби: зміст основних напрямків інформаційних впливів.

Комплексна система захисту інформації: порядок введення в дію, документальний супровід.

Основні етапи створення комплексних систем захисту інформації (КСЗІ) в інформаційно-телекомунікаційних системах (ІТС):

1. Формування загальних вимог до КСЗІ:

– обґрунтування необхідності створення КСЗ;

– обстеження середовищ функціонування ІТС;

– формування завдання на створення КСЗІ.

2. Розробка політики безпеки інформації в ІТС

– вибір варіанту КСЗІ;

– оформлення політики безпеки.

3. Розробка технічного завдання на створення КСЗІ.

4. Розробка проекту КСЗІ:

– ескізний проект КСЗІ;

– технічний проект КСЗІ;

– розробка проектних рішень КСЗІ;

– розробка документації на КСЗІ;

– робочий проект КСЗІ.

5. Введення КСЗІ в дію та оцінка захищеності інформації в ІТС:

– підготовка КСЗІ до введення в дію;

– навчання користувачів;

– пусконалагоджувальні роботи;

– спеціальні дослідження та інструментальні вимірювання рівня ПЕМВН;

– попередні випробування;

– дослідна експлуатація;

– державна експертиза КСЗІ.

6. Супроводження КСЗІ.

Комплект документов, который предоставляется в ДСТСЗИ СБ Украины вместе с заявкой на проведение экспертизы, включает:

· - техническое задание на КСЗИ;

· - формуляр на автоматизированную систему;

· - акт категорирования комплекса технических средств АС;

· - акт принятия строительных работ;

· - акт по результатам обследования АС;

· - акт аттестации комплекса ТЗИ;

· - комплект организационно-технических документов по вопросам ТЗИ и обеспечения режима секретности: Положение о службе защиты информации в АС, План защиты информации в АС, инструкции администратору безопасности и пользователям АС и другие документы, определяющие порядок выполнения работ и ответственность персонала и пользователей АС;

· - программа и методики предварительных испытаний АС и КСЗИ, протоколы проведенных испытаний;

· - акт завершения опытной эксплуатации АС.

3. Проблемно-ориентированная политика безопасности.

Проблемно-ориентированная политика безопасности. О бъект приложения ПрорПБ – являет отдельная конкретная проблема или задачи в области ИБ предприятия и организации.

ПрорПБ разрабатывается, обычно для решения новых проблем, например:

o реализация новых требований при введении в действие новой законодательной базы;

o внедрение в организации новых ИТ.

o как ответная мера на выявление новых угроз и др.

Исходя из изменчивости возмущающих причин, вытекает свойство ПрорПБ: изменчивость (пересмотр).

Разработка ПрорПБ необходимо разрабатывать для:

· Internet- доступ;

· приватность и защита электронной почты;

· подходы к управлению рисками;

· привила использования неавторизованного ПО;

· удаленная работа со средствами ВТ (как мобильных, так и стационарных);

· правила использования и хранения БД, системы резаревного копирования, …

По своему функциональному назначению ПрорПб уточняет, конкретизирует, дополняет Программной ПБ и, обычно, оформляется либо в виде свода отдельных привил безопасности.

Основными компонентами ПрорПБ являются:

1) Формулировка и описание проблемы.

Определение проблемы, ее системное описание: важность, отличительные признаки и условия существования проблемы, т.е. цель (цели) и обоснование разработки.

Пример.

Проблема использования «неофициального ПО».

- что есть «неофициальное ПО» (не закуплено, не одобрено, не управляется, не является собственностью);

- введение правил использования (запрет);

2) Формулировкапозиции организации – «правила поведения» для всех сотрудников.

3) Обоснование применимости. Пояснения: что, где, когда, кем конкретно применяется.

4) Полномочия и ответственность

- назначаются лица, обладающие полномочиями выдавать решения или запрещать использование

- кто несет ответственность за неукоснительное выполнение.

5) Порядок взаимодействия.

Прописывается четкая административная вертикаль, т.е. иерархия должностных лиц, уполномоченных решать проблемы, возникающие при реализации ПрорПБ.

Чтобы избежать излишней персонификации, указываются должности сотрудников.

Сотрудники должны знать, к кому обращаться в тех или иных случаях, за дополнительной информацией.

ПроПБ сопровождается (дополняется) руководствами, наставлениями, инструкциями. Что и как делать? Проверка, регистрация, учет, передача, …

4. Системно-орієнтована політика безпеки.

Определяет направления, методы и процедуры обеспечения инф. безопасности. СоПБ ограничен рамками отдельной ИТС, областью взаимодействия, средой эксплуатации.

Разрабатывается для руководителей старшего звена принимающих финансовые и тех. Решения, доводится до всех работников имеющих отношения к ИТС и обрабатываемой информ.

Имеет 2-х уровневую модель:

· Выработка цели и задач защиты (требует постоянного мониторинга и доработки)

· Практические правила безопасности (имеют свойство четкости и конкретности)

Основные компоненты СПБ:

· Концепция информацион-ной безопасности.

· Описание процессов управления рисками

· Требование реформ безопасности и решения по обеспечению режима информационной безопасности.

· Обязанность в области информ. реформ. безоп

· План обеспечения бесперебойной работы систем.

1) Концепция ИБ ИТС.

Система взглядов, основных принципов и основные направления обеспечения режима в системе.

На основе: анализа уровня и динамики развития информационных технологий ожидаемых угроз ИБ, источников угроз, факторов, способствующих их реализации дается систематизированное изложение целей, задач и принципов достижения требуемого уровня безопасности.

Т.е. формируется генеральная линия в решении проблем ИБ + пути достижения целей.

2) Описание процессов управления рисками

· Результаты анализа: угроз, рисков, уязвимостей; оценка рисков: модель угроз (источников угроз), оценка возможных исследований при реализации угроз, формирование модели защиты.

· Решение на устранение выявленных рисков.

Основные элементы управления рисками:

Ø определение компонентов и ресурсов ИТС (активов);

Ø идентификация угроз;

Ø связь рисков с объектами защиты;

Ø оценка рисков и величины возможного ущерба;

Ø выбор варианта построения системы ЗИ;

Ø оценка затрат на реализацию (создание) системы ЗИ.

3) Требования ИБ и решения по обеспечению режима ИБ.

Правила: физической безопасности, аутентификации, идентификации, управления доступом, применения криптографии, антивирусная защита и т.д.

4) Обязанности в области ИБ

Четкое расписание ролей и обязанностей отдельных должностных лиц по отношению к безопасности ИТС.

5) План обеспечения бесперебойной ИТС

Содержит:

v описание процедур реагирования на нештатные и чрезвычайные ситуации,

v процедуры перехода на аварийный режим функционирования,

v процедуры восстановления функционирования после сбоев (или) внештатных ситуаций.

Структура и содержание СоПБ определяется в каждом конкретном случае.

5. Программная политика безопасности

Основные компоненты программной ПБ:

1) Цели и назначения (закрепляется на административном уровне стратегическое направление деятельности организации в области информ. Безопасности, а также целостность, доступность, конфиденциальность инф. Ресурсов.)

2) Область применения положений ПБ (определяет ресурсы (материальные, ПО, персональные), которые охватывает ПБ).

3) Определение прав и обязанностей (организационная техническ. основа формир. соответсв. служб по управлению и контролю над процессами обеспечения решения ПБ.) Права и обязанности руководителей различного уровня).

4) Определение преимуществ контроля за соблюдением режима реформ. безоп. (здесь должны быть решены 2 задачи контроля: 1. Осуществл. общего контроля за соблюдением требований безоп.; постоянный мониторинг состояния реформ. безопасности в???пшоганец??? проверку качества осуществления процессов управления безоп. и реализации положений программы на обеспечения реформ. безоп. 2) Определение дисциплинарных наказаний (для этого создается контролирующая структура, отвечающая за разработку конкретного перечня нарушений и определенных взысканий с учеторм действующего законодательства).

Основные приципы:

· Соблюдение приципа конкретности

· Соответствие действующему законодательству

6. Технічні канали витоку інформації. Загальні положення. Класифікація технічних каналів витоку інформації.

Технические каналы утечки информации можно условно разделить на:

1. Электромагнитные, которые формируются в результате побочного электромагнитного излучения (электронные излучения в радиодиапазоне)

2. Электрические – возникающие в следствии наводки 1-электромагнитного излучения; 2- гальваническая связь между соединительными линиями; 3- в цепях электропитания; 4- заземления; 5- закладки.

3. Параметрические – формируются при специальном высокочастотном излучении.