При построении КСЗИ важно обеспечить полноту составляющих защиты, учесть все факторы и обстоятельства, оказывающие, влияние на качество защиты. Необходимо обеспечить безопасность всей совокупности подлежащей защите информации во всех компонентах ее сбора, хранения, передачи и использования также во время и при всех режимах функционирования систем обработки информации.
Понятно, что выполнение вышеприведенных требований*в первую очередь требует создания замысла (концепции) построения КСЗИ. Рассмотрим содержательную составляющую написания такой концепции на примере «Концепции обеспечения безопасности информации в автоматизированной системе организации» [50] (далее — Концепция). Конечно, этот документ не охватывает всех вопросов, связанных с защитой информации предприятия, но обработка информации в электронном виде приобретает все больший вес, что объясняет важность изучения данной концепции.
Рассматриваемая Концепция состоит из введения, восьми разделов и приложений.
|
|
Основные разделы Концепции следующие:
1. Общие положения.
2. Объекты защиты.
3. Цели и задачи обеспечения безопасности информации.
4. Основные угрозы безопасности информации АС организации.
5. Основные положения технической политики в области обеспечения безопасности информации АС организации.
6. Основные принципы построения системы комплексной защиты информации (КСЗИ).
7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов.
8. Первоочередные мероприятия по обеспечению безопасности информации АС организации.
Во введении кратко описаны причины создания Концепции, ее роль в создании КСЗИ предприятия. В приложениях даны ссылки на нормативные и правовые акты, приведены используемые терминология и сокращения.
В разделе «Общие положения» детализируются вопросы, затронутые во введении. Здесь же отмечается, что Концепция — методологическая основа:
• для формирования и проведения единой политики в области обеспечения безопасности информации в АС организации;
• принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;
• координации деятельности структурных подразделений организации при проведении работ по созданию, развитию и эксплуатации АС организации с соблюдением требований обеспечения безопасности информации;
|
|
• разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации АС организации.
В этом разделе приведены ограничения по рассматриваемым в Концепции вопросам. В частности, указано, что вне пределов описания остались вопросы физической защиты объектов предприятия. Кроме того, указано, что «основные положения Концепции базируются на качественном осмыслении вопросов безопасности информации и не концентрируют внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации».
Рассмотрим подробнее содержание других разделов Концепции.
Объекты защиты
В данном разделе Концепции приведены сведения:. о назначении, целях создания и эксплуатации АС организации как объекта информатизации;
• о структуре, составе и размещении основных элементов АС организации, информационных связях с другими объектами;
• о категориях информационных ресурсов, подлежащих защите;
• о категориях пользователей АС организации, режимах использования и уровнях доступа к информации;
• об уязвимости основных компонентов АС.
В качестве основных объектов защиты выделены:
• информационные ресурсы, причем не только с ограниченным доступом, но и иные, чувствительные по отношению к нарушению их безопасности;
• процессы обработки информации в АС;
• информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размешены чувствительные компоненты АС.
Общие сведения об АС приводятся в силу того, что КСЗИ является подсистемой АС и должна способствовать достижению стоящих перед АС целей.
Сведения о размещении компонентов АС позволяют глубже понять задачи КСЗИ. В частности, современные АС предприятия территориально распределены, что накладывает требования защиты каналов связи, проходящих вне контролируемой территории. Если в АС циркулирует информация разных категорий, следовательно, необходимо применение средств разграничения доступа. В случае объединения локальных сетей, обрабатывающих информацию с различным грифом конфиденциальности, необходимо применение межсетевого экранирования и т.д.
Приводимые сведения о комплексе технических средств АС позволяют в дальнейшем определить уязвимые места, нуждающееся в обновлении оборудование и определяют во многом выбора СЗИ.
В этом разделе достаточно подробно перечисляются объекты! информатизации:
• технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование);
• информационные ресурсы, содержащие сведения ограниченно го доступа и представленные в виде документов или записей: носителях на магнитной, оптической и другой основе, информационных физических полях, массивах и базах данных;
• программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение);
• автоматизированные системы связи и передачи данных (средства телекоммуникации);
• каналы, связи, по которым передается информация (в том числе ограниченного распространения);
• служебные помещения, в которых циркулирует информация ограниченного распространения;
• технические средства (звукозаписи, звукоусиления, звуковоспроизведения, изготовления, тиражирования документов, переговорные и телевизионные устройства и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), используемые для обработки информации;
|
|
• технические средства и системы, не обрабатывающие информацию (вспомогательные технические средства и системы — ВТСС), размещенные в помещениях, где обрабатывается (циркулирует) информация, содержащая сведения ограниченного распространения.
Категории информационных ресурсов, подлежащих защите, определяют требования по их обязательной защите в соответствии с законодательством, выбор средств защиты того или иного класса.
Например, в рассматриваемой АС имеются сведения:
• составляющие коммерческую тайну, доступ к которым ограничен собственником информации в соответствии с Федеральным законом «О коммерческой тайне»;
• составляющие банковскую тайну, доступ к которым ограничен в соответствии с Федеральным законом «О банках и банковской деятельности»;
• персональные данные, доступ к которым ограничен в соответствии с Федеральным законом «О персональных данных».
Описание категорий пользователей помогает, с одной стороны, определить необходимые права доступа, выделить нештатных ответственных за ОБИ, а с другой стороны, выявить потенциальных нарушителей. Например:
• пользователи баз данных;
• ответственные за ведение баз данных (ввод, корректировка, удаление данных в БД);
• администраторы серверов (файловых серверов, серверов приложений, серверов баз данных) и ЛВС;
• системные программисты (ответственные за сопровождение общего программного обеспечения) на серверах и рабочих станциях пользователей;
• разработчики прикладного программного обеспечения;
• специалисты по обслуживанию технических средств вычислительной техники;
• администраторы информационной безопасности (специальных средств защиты) и др.
Описание уязвимостей АС позволяет определить направления, на которых нужно сосредоточить первоочередные усилия. Надо отметить, что ряд уязвимостей можно закрыть организационно-техническими мерами, тогда как для других это невозможно в рамках принятой на предприятии технологии обработки информации.
|
|
В рассматриваемой Концепции оцениваются уязвимости первого и второго типов.