Характеристика основных стадий создания КСЗИ

Общее содержание работ по организации КСЗИ

Технологическое и организационное построение КСЗИ

Гл а в а 12

Удаление субъекта — объекта

При удалении может не происходить полного уничтожения субъекта и объекта, записи о них переносятся в резервную об­ласть памяти, где хранятся в течение обусловленного времени. Конечно, чаще всего фактически выполняется удаление только субъекта или только объекта, но и эти случаи можно рассматри­вать как удаление пары субъект —объект.

Опишем сценарий удаления субъекта, который является по существу обратным последовательности его создания.

I. Вначале выполняется уничтожение объектов, ассоциирован­ных только с этим субъектом и не являющихся нужными другим. Например, таким объектом может стать личная папка (файлы) пользователя. Данная операция осуществляется под управлением администратора сети Modify(A_s) -» 0, где 0 означает пустой объект.

2. Удаление у субъекта атрибутов информационной безопасно­сти и прав доступа осуществляет АУД после получения управле­ния от администратора сети, подтверждающего факт обнуления

объе кта: DelAttribs [A _d) — &-

->5_;.

3. Удаление «нулевой» пары субъект—объект (модификация базы данных АУД) производится АУД:

ModifitA,) -» О_и.

С помощью введенных формальных операций можно описать поведение АС в соответствии с разработанной политикой без­опасности. При выполнении требований обеспечения информа­ционной безопасности, предъявляемых к объектам и субъектам, а также к процедурам взаимодействия с ними, АС будет находиться в безопасном состоянии, в рамках выполнения описанного набо­ра операций. В итоге использования модели удается сформулиро­вать набор априорно неочевидных требований к компонентам сети и системе защиты. Совокупности этих требований должны отве­чать компоненты сети и проектируемая система защиты.

Как говорилось ранее (см. гл. 5), при создании комплексной системы защиты информации ограниченного доступа защищать необходимо все компоненты информационной структуры пред­приятия — документы, сети связи, персонал и т.д.

Основные организационно-методические мероприятия по со зданию и поддержанию функционирования комплексной систе мы защиты:

• создание службы защиты информации, включая подбор, рас­становку и обучение ее персонала;

• создание основных нормативных и организационно-распо­рядительных документов, необходимых для организации комп­лексной системы защиты информации.

КСЗИ предприятия целесообразно строить с учетом реальных угроз, в результате осуществления которых предприятию (или в отношении государственной тайны — государству) может быть нанесен ущерб.

Наиболее значимыми угрозами информационной безопасно­сти предприятия являются (в порядке, соответствующем частоте проявления):

• непреднамеренные ошибочные действия сотрудников пред­приятия;

• злоумышленные действия сотрудников предприятия;

• неправомерные действия третьих лиц (в том числе государ­ственных органов, контрагентов, клиентов предприятия);

• проявления ошибок в программном обеспечении, отказы и сбои технических средств, аварии.

КСЗИ предприятия необходимо строить с учетом того, что:

• основной задачей обеспечения ЗИ должна быть защита инте­ресов предприятия, его персонала, контрагентов и клиентов от нанесения им ущерба (материального, морального, физического и др.) путем неправомерного использования информации или воздействия на нее;

• интересы предприятия в информационной сфере должны быть юридически защищены от противоправных действий со стороны персонала, контрагентов, клиентов и третьих лиц с учетом и на основании нормативно-правовых актов в информационной сфере;

• сотрудники и командированные лица на предприятии долж­ны быть допущены только к той информации и техническим сред­ствам ее обработки, которые необходимы им для выполнения слу­жебных обязанностей (принцип Need-to-Know);

• действия персонала предприятия с носителями и источника­ми информации ограниченного доступа должны регистрировать­ся в целях получения объективных данных и определения ответ­ственного за совершение того или иного противоправного дей­ствия;

• дифференциация защиты информации с учетом ее ценности, реальности реализации угроз (принцип разумной достаточности), затраты не должны превышать возможный ущерб;

• зашита информации должна осуществляться на всех этапах ее жизненного цикла, комплексно и всесторонне.

КСЗИ должна обеспечивать:

• точную и своевременную реализацию политики информаци­онной безопасности предприятия;

• гибкость применения положений политики информацион­ной безопасности с учетом особенностей функционирования раз­личных подсистем предприятия;

• минимизацию затрат на реализацию управляющих воздей­ствий;

• соответствие принимаемых мер и применяемых современно­му уровню развития информационных технологий.

Для эффективного функционирования КСЗИ предприятия необходимо:

• наличие системы взаимосвязанных нормативно-методических и организационно-распорядительных документов;

• четкое распределение функций и определение порядка взаи­модействия подразделений предприятия при решении вопросов ЗИ, зафиксированные в организационно-распорядительных до­кументах;

• наличие подразделения зашиты информации,' наделенного необходимыми полномочиями и непосредственно отвечающего за формирование и реализацию единой политики информационной безопасности предприятия, осуществляющего контроль и коор­динацию действий других структурных подразделений предприя­тия по вопросам ЗИ.

^—В целях выработки и обеспечения единого понимания всеми должностными лицами предприятия проблем и задач по обеспе­чению защиты информации на предприятии разрабатывается Концепция защиты информации (или, как правило, соответствуюшие положения предусматриваются в Концепции безопасности предприятия — см. гл. 10).

Концепция должна определять цели и задачи КСЗИ, принци­пы и правовые основы ее организации и функционирования, виды угроз информации и ресурсы, подлежащие защите, а также ос­новные направления разработки КСЗИ, включая правовую, орга­низационную и инженерно-техническую защиту.

Примерное содержание разделов Концепции:

1. Характеристика предприятия как объекта защиты.

2. Цели КСЗИ. Они формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельно­сти предприятия.

3. Типовые задачи КСЗИ:

• прогнозирование, своевременное выявление и устранение уг­роз информационным ресурсам, причин и условий, способствую­щих нанесению ущерба, нарушению нормального функциониро­вания и развитию;

• отнесение информации к категории ограниченного доступа (государственной, служебной, коммерческой тайнам, иной инфор­мации, подлежащей защите от неправомерного использования;

• создание механизма и условий оперативного реагирования на угрозы и проявления негативных тенденций в функционирова­нии;

• эффективное пресечение угроз на основе правовых, органи­зационных и инженерно-технических мер и средств защиты ин­формации;

• создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения на достижение стратегических целей пред­приятия.

4. Принципы создания и функционирования КСЗИ (типовые):

• Комплексность, т.е.:

— обеспечение зашиты информации от возможных угроз всеми доступными законными средствами, методами и мероприятиями;

— обеспечение безопасности информационных ресурсов в те­чение всего их жизненного цикла, на всех технологических эта­пах их обработки (преобразования) и использования, во всех ре­жимах функционирования;

— способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования.

• Своевременность — упреждающий характер мер ЗИ. Свое­временность предполагает постановку задач по КЗИ на ранних стадиях разработки системы на основе анализа и прогнозирова­ния обстановки, угроз, а также разработку эффективных мер преду­преждения.

• Непрерывность — считается, что злоумышленники только и ищут возможность, как бы обойти защитные меры, прибегая для этого к легальным и нелегальным методам.

• Активность — проведение мероприятий ЗИ с достаточной степенью настойчивости, с широким использованием маневра силами и средствами зашиты.

• Законность — разработка КСЗИ на основе законодательства в области информатизации и зашиты информации и других нор­мативных актов в данной области, с применением всех дозволен­ных методов обнаружения и пресечения правонарушений.

• Обоснованность — реализация используемых возможностей и средств зашиты на современном уровне развития науки и тех­ники, обоснованными с точки зрения заданного уровня защиты и соответствующими установленным требованиям и нормам.

• Экономическая целесообразность и сопоставимость возможно­го ущерба и затрат (критерий «эффективность — стоимость») — во всех случаях стоимость системы должна быть меньше размера возможного ущерба.

• Специализация — привлечение к разработке и внедрению мер и средств защиты специализированных организаций, имею­щих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер ЗИ должны осуществляться профессио­нально подготовленными специалистами.

• Взаимодействие и координация — осуществление мер обес­печения безопасности на основе четкой взаимосвязи соответству­ющих подразделений и служб, сторонних специализированных организаций в этой области, координации их усилий для дости­жения поставленных целей, а также сотрудничества с заинтересо­ванными организациями и взаимодействия с органами государ­ственного управления и правоохранительными органами.

• Совершенствование — совершенствование мер и средств за­шиты на основе собственного опыта, появления новых техниче­ских средств, с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требова­ний, достигнутого отечественного и зарубежного опыта.

• Централизация управления — функционирование системы ЗИ по единым правовым, организационным, функциональным и ме­тодологическим принципам.

5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:

• общие внешние и внутренние воздействующие факторы;

• опасные факторы и угрозы на объектах (подсистемах);

• способы и средства реализации угроз;

• модель возможного нарушителя;

• подход к оценке риска.

6. Организация защиты информации на предприятии:

• объекты защиты;

• основные меры и методы (способы, средства) защиты от уг­роз;

• структура системы зашиты информации предприятия;. особенности зашиты сети связи (телекоммуникации);

• содержание мероприятий по защите информации;

• реализация технической политики по защите информации.

Организационное направление работ по созданию КСЗИ. На

основе концепции защиты информации на предприятии, законо­дательства и иных нормативных документов в информационной области, с учётом уставных положений и специфики деятельно­сти предприятия определяется и разрабатывается комплект внут­ренних нормативных и методических документов, как правило, иключающий:

• перечни сведений, подлежащих защите на предприятии;

• документы, регламентирующие порядок обращения сотруд­ников предприятия с информацией, подлежащей защите;

• положения о структурных подразделениях предприятия;

• документы, регламентирующие порядок взаимодействия пред­приятия со сторонними организациями по вопросам обмена ин­формацией;

• документы, регламентирующие порядок эксплуатации авто­матизированных систем предприятия;

• планы защиты автоматизированных систем предприятия; документы, регламентирующие порядок разработки, испыта­ния и сдачи в эксплуатацию программных средств;

• документы, регламентирующие порядок закупки программ­ных и аппаратных средств (в т.ч. средств защиты информации);

• документы, регламентирующие порядок эксплуатации технических средств связи и телекоммуникации.

Технология КСЗИ предусматривает взаимодействие и реализа­цию функций по ЗИ структурными подразделениями и должностными лицами предприятия:

• руководством предприятия, принимающим стратегические решения по вопросам ЗИ и устанавливающим (утверждающим)

основные документы, регламентирующие порядок функциониро-мания и развития КСЗИ, обеспечивающий безопасную обработку и использование защищаемой информации; подразделением защиты информации;

• подразделением, ведущим учет и хранение носителей защи­щаемой информации;

• подразделением, отвечающим за разработку или. приобрете­ние технических средств обработки защищаемой информации;

• подразделениями, отвечающими за обеспечение нормальной работы вычислительных средств, программных средств, средств телекоммуникации;

• подразделением, отвечающим за проведение проверок под­разделений предприятия по вопросам соблюдения технологии;

• основными подразделениями предприятия, решающими за­дачи с использованием защищаемой информации.

Техническое направление работ по созданию КСЗИ. Техническая составляющая КСЗИ — комплекс технических средств и техноло­гий защиты информации при ее обработке, хранении и передаче.

Для реализации технического направления проводится сбор исходных данных для разработки технических предложений по оснащенности автоматизированной системы обработки, хранения и передачи информации средствами ЗИ, позволяющими реализо­вать требуемый уровень защищенности.

АС является составляющей информационной системы пред­приятия, поэтому подготовка технических предложений хроноло­гически следует за разработкой общей концепции КСЗИ.

Подготовка технических решений проблемы соответствия па­раметров АС установленным требованиям защищенности (опре­деляются в Концепции безопасности) возможна в двух направле­ниях:

• первоначальная разработка АС с учетом требований защи­щенности;

• встраивание механизмов зашиты в уже существующую АС.