Список принятых сокращений

Контрольные вопросы

Техническая эксплуатация КСЗИ

Техническая эксплуатация сложной системы включает в себя комплекс мероприятий, обеспечивающий эффективное использование системы по назначению. Комплексная СЗИ является подсистемой КС и ее техническая эксплуатация организуется в соответствии с общим подходом обеспечения эффективности применения КС.

Подробное изложение задач технической эксплуатации КС выходит за рамки учебного пособия. Приведем лишь общую характеристику задач, решаемых в процессе технической эксплуатации КСЗИ. К этим задачам относятся:

- организационные задачи;

- поддержание работоспособности КСЗИ;

- обеспечение технической эксплуатации.

К организационным задачам относятся:

● планирование технической эксплуатации;

● организация дежурства;

● работа с кадрами;

● работа с документами.

Планирование технической эксплуатации осуществляется на длительные сроки (полгода, год и более). Используется также среднесрочное (квартал, месяц) и краткосрочное планирование (неделя, сутки). На длительные сроки планируются полугодовое техническое обслуживание и работа комиссий, поставки оборудования, запасных изделий и приборов, ремонты устройств и т.п. Среднесрочное планирование и краткосрочное применяются при организации технического обслуживания, проведении доработок, организации дежурства и др.

Организация дежурства предназначено для непрерывного выполнения организационных мер защиты, и эксплуатации всех механизмов защиты. Режим дежурства зависит от режима использования КС. Дежурный оператор КСЗИ может выполнять по совместительству и функции общего администрирования в компьютерной сети. Рабочее место оператора КСЗИ, как правило, располагается в непосредственной близости от наиболее важных компонентов КС (серверов, межсетевых экранов и т.п.) и оборудуется всеми необходимыми средствами оперативного управления КСЗИ.

Работа с кадрами – это работа с обслуживающим персоналом и пользователями. По сути она сводится6

• к подбору кадров,

• их обучению,

• воспитанию,

• к созданию условий для высокоэффективного труда.

Работа с документами. В процессе технической эксплуатации используется четыре типа документов:

1) законы;

2) ведомственные руководящие документы;

3) документация предприятий-изготовителей;

4) документация, разрабатываемая в процессе эксплуатации.

В законах отражены общие вопросы эксплуатации КСЗИ.

В ведомствах (министерствах, объединениях, корпорациях, государственных учреждениях) разрабатывают инструкции, директивы, государственные стандарты, методические рекомендации и т.п.

Предприятия-изготовители поставляют эксплуатационно-техническую документацию: технические описания, инструкции по эксплуатации, формуляры (паспорта) и др.

В организациях, эксплуатирующих КС, разрабатывают и ведут планирующую и учетно-отчетную документацию.

Поддержание работоспособности КСЗИ Одной из центральных задач технической эксплуатации является поддержание работоспособности систем. Работоспособность поддерживается в основном за счет

- проведения технического обслуживания,

- постоянного контроля работоспособности и

- ее восстановления в случае отказа.

Работоспособность средств защиты информации контролируется

- постоянно с помощью аппаратно-программных средств встроенного контроля и

- периодически должностными лицами службы безопасности и комиссиями.

Сроки проведения контроля и объем работ определяются в руководящих документах.

Успех технической эксплуатации зависит и от качества обеспечения, которое включает:

- материально-техническое обеспечение;

- транспортировка и хранение;

- метрологическое обеспечение;

- безопасность эксплуатации.

Материально-техническое обеспечение позволяет удовлетворить потребность в расходных материалах, запасных изделиях и приборах, инструментах и других материальных средствах, необходимых для эксплуатации КСЗИ.

Транспортировка и хранение устройств защищенной КС должны предусматривать защиту от несанкционированного доступа к устройствам в пути и в хранилищах. Для обеспечения необходимых условий транспортировки и хранения выполняются мероприятия подготовки устройств согласно требованиям эксплуатационно-технической документации.

Метрологическое обеспечение позволяет поддерживать измерительные приборы в исправном состоянии.

Безопасность эксплуатации нацелена на важно обеспечение безопасности обслуживающего персонала и пользователей прежде всего от угрозы поражения электрическим током, а также от возможных пожаров.

В целом от уровня технической эксплуатации во многом зависит эффективность использования КСЗИ.

1. Охарактеризуйте основные направления организации доступа к ресурсам КС.

2. Какими путями достигается целостность и доступность информации?

3. В чем заключается техническая эксплуатация КСЗИ?

заключение

Опыт показывает, что для достижения удачных решений по ЗИ необходимо сочетание правовых, организационных и технических мер. Это сочетание определяется конфиденциальностью защищаемой информации, характером опасности и наличием средств защиты. Общие меры защиты необходимо применять комплексно, не упускать ни одну из них нельзя. Каждая мера дополняет другую, и недостаток или отсутствие любого способа приведет к нарушению защищенности объекта.

Работы по комплексной СЗИ (КСЗИ) включают в себя следующие этапы:

· анализ состава и содержания конфиденциальной информации, циркулирующей на конкретном объекте защиты;

· анализ ценности информации для предприятия (организации) с позиций возможного ущерба от ее получения конкурентами;

· оценка уязвимости информации, доступности ее для средств злоумышленника;

· исследование действующей СЗИ на объекте;

· оценка затрат на разработку новой (или совершенствование действующей) системы;

· организация мер ЗИ;

· закрепление персональной ответственности за ЗИ;

· реализация новой технологии ЗИ;

· создание обстановки сознательного отношения к ЗИ;

· контроль результатов разработки и прием в эксплуатацию новой системы защиты.

Изложенные этапы можно считать типовыми для процесса разработки комплексной СЗИ, так как они в значительной мере охватывают практически весь объем работ на организационном уровне.

Исходным шагом, направленным на развертывание работ по созданию или совершенствованию КСЗИ, является разработка приказа руководителя организации (предприятия) на проведение работ с указанием конкретного должностного лица, ответственного за создание СЗИ в целом. В приказе излагаются цели и задачи создания КСЗИ в данной организации, определяются этапы и сроки их выполнения, назначаются конкретные должностные лица, ответственные за отдельные этапы, отдельные виды работ, а также определяется подразделение или временный творческий (научно-технический) коллектив, который будет вести работы по созданию (совершенствованию) системы. Если к работе по созданию КСЗИ будут привлекаться сторонние организации, в приказе оговаривается способ взаимодействия с ними, а также даются необходимые поручения по его обеспечению.

В соответствии со сложившейся практикой разработки сложных систем устанавливаются следующие стадии:

· предпроектирование работ (обследование и разработка технического задания);

· проектирование (разработка технического, рабочего или технорабочего проектов);

· ввод КСЗИ в эксплуатацию.

Окончательное решение о стадийности проектирования разработки КСЗИ определяется на стадии предпроектных работ при разработке ТЗ исходя из производственно-технических условий, экономических возможностей, особенностей КСЗИ и используемых технических средств.

В ходе выполнения работ формируется:

· проектная документация - технический, рабочий или технорабочий проект (этап реализации технологии КСЗИ);

· организационно-распорядительная документация (разрабатывается по всем этапам).

Одной из ответственейших работ является обследование объекта защиты. На этой стадии:

· определяется категория объекта с позиций степени конфиденциальности его информации по важности, ценности и секретности;

· обследуются все информационные потоки по виду и важности информации;

· оцениваются режимы и технология обработки, передачи и хранения подлежащей защите информации;

· оцениваются технические средства обработки информации на всем технологическом цикле на предмет их опасности и наличия ПЭМИН;

· определяются состав и содержание организационных, организационно-технических и технических мер, реализующих защитные мероприятия.

В результате проведения этих работ должны быть разработаны: информационная модель организации, структура информационных потоков, классификаторы потенциальных каналов утечки информации и аналитический обзор действующей системы защиты с оценкой ее эффективности, надежности и обеспечения ею необходимой безопасности.

Комплексный анализ полученных результатов в сочетании с инструментальным обследованием ТС обработки информации с использованием контрольно-измерительной аппаратуры позволит выявить возможные каналы утечки информации за счет ПЭМИН, оценить способы несанкционированного доступа к техническим средствам и документам.

На этапе разработки определяются организационно-функциональная схема КСЗИ, порядок и правила заботы сотрудников в новых условиях. Предлагаемый к внедрению проект КСЗИ подлежит изучению руководством организации и последующей его защите. После этого принимается решение о внедрении разработки в практику деятельности организации. Эту работу обычно выполняет группа ревизии, приема и контроля.

По завершении всех конструкторских работ КСЗИ принимается в опытную эксплуатацию.

Опытная эксплуатация КСЗИ имеет целью отработку взаимодействия подразделений и служб в условиях новой технологии, отладку технологического процесса обработки информации и проверку соответствия реализованных решений требованиям технического проекта. Опытная эксплуатация проводится на реальных информационных потоках в соответствии с установленным регламентом.

Завершающей стадией является прием КСЗИ в промышленную эксплуатацию. Для этого создается специальная приемная комиссия. Комиссия составляет акт приемки, в котором дается характеристика средствам и мерам защиты, фиксируется их полнота и достаточность, обеспечивающая требуемую степень безопасности. Акт утверждается руководством. На основании акта готовится приказ по организации на ввод КСЗИ в промышленную эксплуатацию.

Порядок действий по обеспечению безопасности информации с детальным изложением решаемых вопросов, ответственности по их решениям, необходимых мероприятий, учитывающих специфические особенности и содержание конкретных разрабатываемых документов по основным этапам разработки КСЗИ, описывается в нормативных документах защищаемого объекта.

Независимо от того, насколько хорошо разработаны технические и организационные меры безопасности, они, в конце концов, основываются на человеческой деятельности, в которой возможны ошибки и злой умысел. Если отдельный сотрудник обманет доверие, то никакая система безопасности и секретности не сможет предотвратить неправомерное овладение информацией.

Для обеспечения уверенности в том, что на защищаемом объекте успешно работает КСЗИ, применяются различные методы проверки. Это регулярные независимые инспекции и ревизии, а также проверочные комиссии, включающие представителей всех участвующих в работе с конфиденциальной информацией.

Так как ни одна из форм не является идеальной, то общий контроль за деятельностью системы защиты и ее функционированием должен осуществлять высший орган руководства организации (предприятия) через специальные подразделения обеспечения безопасности.

Оценка эффективности защиты должна осуществляться в соответствии с принципом комплексности и включать:

· установление на основе комплексного подхода состава проверяемых мер и средств: воспрещения, исключения несанкционированного доступа, режим;

· проверку организационно-режимных мероприятий;

· проверку категории объекта;

· проверку эффективности защиты информации;

· проверку воспрещения несанкционированного доступа;

· составление акта комплексной проверки;

· разработку рекомендаций по совершенствованию защиты (устранению установленных в процессе контроля недостатков).

На конкретных объектах при контроле эффективности ЗИ, обеспечиваемой КСЗИ, может иметь место значительное разнообразие задач проверки. Так, на одном объекте может быть достаточно осуществить проверку эффективности экранирования, на другом - проверить эффективность шумовой защиты, а на третьем - необходимо убедиться, что излучения ПЭМИН могут быть приняты за пределами охраняемой территории организации (предприятия). То же имеет место и при проверке эффективности ЗИ от несанкционированного доступа (НСД): на этом объекте используется, например, монопольный режим обработки подлежащей ЗИ, а на другом - программная СЗИ. Все это означает, что работа по контролю эффективности защиты должна начинаться с определения состава проверяемых мер и средств. Кроме того, организационно-режимные средства и мероприятия должны иметь преимущественное значение по отношению к другим мерам и средствам защиты, поскольку их состав и эффективность оказывают определяющее действие на эффективность защиты от НСД. Это связано с тем, что при неправильном определении степени конфиденциальности защищаемой информации может оказаться неэффективным как воспрещение, так и защита от НСД. Иначе говоря, необходимо начинать контроль эффективности защиты с контроля организационно-режимных мер и средств защиты. Далее последовательность проверки может быть произвольной. Работы по проверке эффективности противодействия и защиты от НСД проводятся параллельно, поскольку на практике могут осуществляться только разными группами специалистов.

Организация и проведение контроля организационных мероприятий осуществляется с целью выявления нарушений требований соответствующей инструкции по обеспечению режима, которая действует на данном объекте, а также того, как данная инструкция и действующие по ней исполнители предотвращают возникновение нарушений. При подготовке к проверке целесообразно на основе анализа составить перечень возможных нарушений, что может оказать существенную помощь в организации контроля.

Эффективность защиты объекта обеспечивается, как известно, в соответствии с категорией его важности. В свою очередь, категория важности определяется в соответствии с грифом защищаемой информации. Поэтому после проведения организационно-режимных мероприятий (работ по проверке точности установления грифа защищаемой информации) можно провести проверку правильности категорирования объекта. Если при этом категория объекта оказалась неправильно определенной (заниженной), а защита на объекте реализована в точном соответствии с категорией, то защиту следует считать неэффективной.

Контроль эффективности ЗИ от утечки за счет ПЭМИН предусматривает проведение работ с использованием определенной контрольно-измерительной аппаратуры в соответствии с существующими методиками. Этот контроль имеет целью определить наличие каналов утечки информации и их уровень за пределами охраняемой территории объекта.

Особое внимание при оценке эффективности системы защиты ТС необходимо обратить на их надежность и безотказность. При их эксплуатации имеют место поломки, сбои, отказы, вследствие чего они не обеспечивают выполнение задачи защиты. Отсюда задача обеспечения надлежащей надежности ТС обретает значительную важность, так как уровень, качество и безопасность защиты находятся в прямой зависимости от надежности технических средств.

AC - автоматизированная система

АСОД - автоматизированная система обработки данных

АСУ - автоматизированная система управления

ВЗУ - внешнее запоминающее устройство

ВС - вычислительная система

ВСт - вычислительная сеть

ЗУ - запоминающее устройство

KM - коммуникационный модуль

КПП - контрольно-пропускной пункт

КС - компьютерная система

КСЗИ - комплексная система защиты информации

ЛВС - локальная вычислительная сеть