Требования к организационной и технической составляющим КСЗИ
Как было показано в гл. I, в составе КСЗИ можно выделить три составляющие: организационную (определяющую структуру КСЗИ, совокупность нормативных документов и т.д.), техническую (физические средства защиты, средства защиты от утечки по техническим каналам) и программную (программно-аппаратную) — средства защиты информации от НСД в АС. Соответственно и требования к этим подсистемам рассматривать целесообразно раздельно.
Для эффективного функционирования КСЗИ важно правильно продумать организационно-штатную структуру органа безопасности, подобрать людей. Как правило, на предприятии создается служба безопасности («первый отдел»), а зачастую еще и служба информационной безопасности, занимающаяся вопросами защиты информации в АС. Кроме того, зашитой информации в АС снимаются и специалисты ИТ-подразделения. Оттого, насколько согласованно будут работать эти службы, во многом зависит эффективность КСЗИ. Надо сказать, что на Западе отдельной служим информационной безопасности, как правило, не создается. Этими вопросами ведает менеджер по информационной безопасности (CISO — Chief Information Security Officer), который, будучи в ранге замдиректора, осуществляет общее планирование и руководство. А непосредственно вопросы защиты информации решают сотрудники ИТ-подразделения и конечные пользователи.
|
|
К организационно-распорядительной и нормативной докумен-ншии по безопасности можно предъявить два основных требований: охват всех сторон деятельности предприятия и разумный объем. Длинные, стостраничные инструкции никто не будет читать, а тем более, исполнять, поэтому здесь надо руководствоваться тем принципом, что лучше создать много небольших документов, чем один большой.
К физическим средствам зашиты относятся средства пожарной и охранной сигнализации, видеонаблюдения, пожаротушения, па и раничения доступа в помещения. При создании КСЗИ важно не забывать не только о предотвращении угроз информационной Ое юнасности, но и о защите от стихийных бедствий. На наш взгляд, хотя точная статистика здесь отсутствует, убытки от пожаров превосходят убытки от нарушения И Б, поэтому требование оборудования каждого помещения средствами пожарной сигнализации и пожаротушения является обязательным.
Охранную сигнализацию необходимо установить в помещения, где хранятся материальные ценности и/или важная информация в нерабочее время. Лучи сигнализации должны быть выведены на круглосуточный пост охраны, а в случае отсутствия такового — в отделение милиции.
Современные средства видеонаблюдения позволяют не только регистрировать информацию от видеокамер в цифровом виде, но предоставляют ряд дополнительных сервисов. Например, привлечение внимания оператора при возникновении движения в кадре, при оставлении человеком какой-либо вещи (это может быть и взрывчатка), автоматическое распознавание номеров машин и многое другое.
|
|
Средства защиты от утечки по техническим каналам можно разделить на две большие группы: средства защиты средств вычислительной техники и средства зашиты помещений. Первая группа защищает от утечек компьютерной информации по каналам ПЭМИН, вторая группа — от утечки речевой информации по виброакустическим каналам. Средства защиты от утечки по техническим каналам подробно рассматриваются в гл. 7.
Требования, предъявляемые к изделиям ИТ, рассмотрим на примере современного нормативного документа «Безопасность информационных технологий. Положение по обеспечению безопасности в жизненном цикле изделий информационных технологий» (далее — Положение). Насколько известно авторам данный документ анализируется впервые в литературе.
Положение не отменяет действия других нормативных документов, а применяется вместе с ними. Оно предназначено для заказчиков, разработчиков, эксплуатирующих организаций.
В Положении приведены ссылки на следующие РД ФСТЭК: «Концепция обеспечения безопасности изделий информационных технологий»; «Критерии оценки безопасности информационных технологий».
В Положении рассмотрены следующие вопросы:
• порядок задания требований;
• порядок разработки изделий ИТ;
• подтверждение соответствия изделий ИТ требованиям безопасности информации;
• поставка и ввод в действие;
• эксплуатация;
• снятие с эксплуатации;
• характеристика требований раздела ТЗ;
• структура документа «Программа обеспечения безопасности. При разработке и сопровождении», а также «Программы... при имилуатации изделий ИТ»;
• состав документов, предъявляемых разработчиком для сертификации;
• базовая модель обеспечения безопасности в жизненном цикле изделий ИТ (отдельная книга).
Рассмотрим особенности Положения.
Порядок задания требований
Здесь рассмотрены три сценария. Если закупается готовый продукт, то требования задаются в спецификациях на покупку изделий. Если разработка инициативная, то требования формируются разработчиком с учетом предполагаемого применения изделия. имеется заказчик изделия, то требования задаются им в ТЗ, причем отмечена целесообразность в максимальной степени использовать стандартизованные требования, встречающиеся в технических регламентах, стандартах, РД ФСТЭК. Указано, что регламентация задания необходимых требований к изделиям, предназначенным для обработки информации ограниченного доступа, осуществляется в нормативных документах ФСТЭК — профилях защиты (ПЗ). Таким образом, ПЗ отнесены к нормативным документам ФСТЭК.
Выделяются три группы требований: функциональные, доверии, к среде объекта оценки. Требования задаются в начале разработки изделия ИТ, на основе проведенного глубокого информационного обследования среды применения изделия ИТ. Очевидно, что это неприменимо к продуктам ИТ общего назначения, но пому для них далее идут всяческие послабления типа «...для продуктов ИТ общего назначения могут быть сделаны общие утверждения в отношении политики безопасности организации».
В любом случае на наш взгляд представляется невозможным Ни этапе подготовки ТЗ выполнять такие работы, как оценка ак-гинов, подлежащих защите, оценка правил политики безопасности организации, где будет функционировать изделие ИТ, анализ рисков нарушения информационной безопасности. Кроме того, данные процедуры требуют разъяснения, пояснения, составления методик их проведения. Вряд ли кто-то из заказчиков способен их выполнить.
|
|
Еще одна проблема состоит в следующем. В Положении указано, что в составе предположений о среде на данном этапе «...должны быть учтены проектные ограничения, определяемые общими проектными решениями по изделию ИТ». Но ведь на данном этапе еще нет проектных решений. Впрочем, как указано далее, в ТЗ необходимо указать лишь ссылку на ПЗ, а откуда она появилась — это «на совести» заказчика.
Возможны два случая. Если основным назначением изделия ИТ является обеспечение безопасности информации, то требования к безопасности изделия ИТ составляют основное содержание разделов ТЗ. Если обеспечение безопасности информации — частная задача изделия, то требования должны содержаться в отдельном разделе ТЗ или в Приложении к нему, либо в частном (специальном) ТЗ.
В ТЗ могут включаться требования соответствия одному или нескольким ПЗ, а если изделие предназначено для обработки информации ограниченного доступа и имеются зарегистрированные ПЗ, то это является обязательным. Если таких ПЗ нет, то в этом случае ТЗ должно пройти экспертизу в порядке, устанавливаемым ФСТЭК. Если в ТЗ отсутствует ссылка на ПЗ или ПЗ уточняется, то должны приводиться не только требования, но и цели безопасности.
Таким образом, при наличии соответствующего зарегистрированного ПЗ, все требования по безопасности к изделию ИТ могут состоять в ссылке на этот ПЗ плюс необходимые обоснования, уточнения и дополнения. В Приложении А к Положению приведена более подробная характеристика разделов ТЗ. В Положении отмечена целесообразность экспертизы ТЗ в организациях, специализирующихся на разработке или оценке ПЗ, как было отмечено ранее, нормативных документов ФСТЭК.