Файл: лекции по ксзи.pdf

Во  введении  кратко  описаны  причины  создания  Концепции, 

ее роль в создании  КСЗИ предприятия.  В приложениях даны ссыл­

ки  на  нормативные  и  правовые  акты,  приведены  используемые 

терминология  и  сокращения.

В  разделе  «Общие  положения»  детализируются  вопросы,  за­

тронутые  во  введении.  Здесь  же  отмечается,  что  Концепция  — 

методологическая  основа:

• для  формирования  и  проведения  единой  политики  в области 

обеспечения  безопасности  информации  в АС  организации;

•  принятия  управленческих  решений  и  разработки  практиче­

ских мер по воплощению политики безопасности информации  и 
выработки  комплекса  согласованных  мер  нормативно-правово­
го,  технологического  и  организационно-технического  характе­
ра,  направленных  на  выявление,  отражение  и  ликвидацию  по­
следствий  реализации  различных  видов  угроз  безопасности  ин­
формации;

•  координации деятельности  структурных подразделений  орга­

низации  при  проведении  работ по  созданию,  развитию и  эксплу­
атации  АС  организации  с  соблюдением  требований  обеспечения 
безопасности  информации;

•  разработки  предложений  по  совершенствованию  правового, 

нормативного,  методического,  технического  и  организационного 

обеспечения  безопасности  информации АС  организации.

В этом разделе  приведены  ограничения  по рассматриваемым  в 

Концепции  вопросам.  В  частности,  указано,  что  вне  пределов 

описания  остались  вопросы  физической  защиты  объектов  пред­
приятия.  Кроме  того,  указано,  что  «основные  положения  Кон­
цепции  базируются  на  качественном  осмыслении  вопросов  без­
опасности  информации  и  не  концентрируют внимание  на эконо­

мическом  (количественном) анализе рисков и обосновании  необ­

ходимых  затрат  на  защиту  информации».

Рассмотрим  подробнее  содержание  других  разделов  Концеп­

ции.

10.2.  Объекты  защиты

В  данном  разделе  Концепции  приведены  сведения:

•  о  назначении,  целях  создания  и  эксплуатации  АС  организа­

ции  как  объекта  информатизации;

•  о  структуре,  составе  и  размещении  основных  элементов  АС 

организации,  информационных  связях  с другими  объектами;

• о категориях информационных ресурсов,  подлежащих защите;
•  о  категориях  пользователей  АС  организации,  режимах  ис­

пользования  и  уровнях доступа  к  информации;

•  об  уязвимости  основных  компонентов АС.

В  качестве  основных  объектов  защиты  выделены:

•  информационные  ресурсы,  причем  не  только  с  ограничен­

ным доступом, но и иные, чувствительные по отношению к нару­
шению  их безопасности;

•  процессы  обработки  информации  в АС;
•  информационная  инфраструктура,  включающая  системы  об­

работки и анализа информации, технические и программные сред­
ства  ее  обработки,  передачи  и  отображения,  в  том  числе  каналы 
информационного обмена и телекоммуникации,  системы  и  сред­
ства  защиты  информации,  объекты  и  помещения,  в  которых раз­
мещены  чувствительные  компоненты АС.

Общие  сведения  об АС  приводятся в силу того,  что  КСЗИ  яв­

ляется подсистемой АС и должна способствовать достижению сто­
ящих перед  АС  целей.

Сведения  о  размещении  компонентов  АС  позволяют  глубже 

понять задачи  КСЗИ.  В частности,  современные АС предприятия 
территориально распределены, что накладывает требования защиты 
каналов связи, проходящих вне контролируемой территории. Если 
в АС циркулирует информация разных категорий,  следовательно, 
необходимо  применение средств разграничения доступа.  В случае 
объединения  локальных  сетей,  обрабатывающих  информацию  с 
различным  грифом  конфиденциальности,  необходимо  примене­
ние  межсетевого  экранирования  и  т.д.

Приводимые  сведения  о  комплексе  технических  средств  АС 

позволяют в дальнейшем определить уязвимые места,  нуждающе­

еся  в  обновлении  оборудование  и  определяют  во  многом  выбор 
СЗИ.

В  этом  разделе  достаточно  подробно  перечисляются  объекты 

информатизации:

• технологическое оборудование (средства вычислительной тех­

ники,  сетевое  и  кабельное  оборудование);

•  информационные ресурсы,  содержащие сведения ограничен­

ного доступа  и  представленные  в  виде  документов  или  записей  в 
носителях на  магнитной,  оптической и другой  основе,  информа­

ционных физических  полях,  массивах  и  базах данных;

•  программные  средства  (операционные  системы,  системы уп­

равления базами данных, другое общесистемное и прикладное про­

граммное  обеспечение);

• автоматизированные системы связи и передачи данных (сред­

ства телекоммуникации);

•  каналы  связи,  по  которым  передается  информация  (в  том 

числе  ограниченного  распространения);

•  служебные  помещения,  в  которых  циркулирует  информация 

ограниченного  распространения;

• технические средства (звукозаписи, звукоусиления, звуковос­

произведения,  изготовления,  тиражирования  документов,  пере­

говорные и телевизионные устройства и другие технические сред­
ства  обработки  графической,  смысловой  и  буквенно-цифровой 

информации),  используемые  для  обработки  информации;

• технические средства и системы,  не  обрабатывающие  инфор­

мацию  (вспомогательные  технические  средства  и  системы  — 

ВТСС),  размещенные  в  помещениях,  где  обрабатывается  (цирку­

лирует)  информация,  содержащая  сведения  ограниченного  рас­

пространения.

Категории  информационных  ресурсов,  подлежащих  защите, 

определяют  требования  по  их  обязательной  защите  в  соответ­
ствии с законодательством,  выбор средств защиты того или  ино­

го  класса.

Например,  в  рассматриваемой  АС  имеются  сведения:
•  составляющие  коммерческую  тайну,  доступ  к  которым  огра­

ничен  собственником  информации  в  соответствии  с  Федераль­
ным  законом  «О  коммерческой  тайне»;

•  составляющие  банковскую тайну,  доступ  к  которым  ограни­

чен  в  соответствии  с  Федеральным  законом  «О  банках  и  банков­
ской  деятельности»;

•  персональные  данные,  доступ  к  которым  ограничен  в  соот­

ветствии  с  Федеральным  законом  «О  персональных данных».

Описание  категорий  пользователей  помогает,  с  одной  сторо­

ны,  определить необходимые  права доступа,  выделить нештатных 
ответственных за  ОБИ,  а с другой  стороны,  выявить потенциаль­
ных  нарушителей.  Например:

•  пользователи  баз  данных;
•  ответственные  за  ведение  баз  данных  (ввод,  корректировка, 

удаление  данных  в  БД);

• администраторы серверов (файловых серверов, серверов при­

ложений,  серверов  баз данных)  и  ЛВС;

•  системные  программисты  (ответственные  за  сопровождение 

общего  программного  обеспечения)  на  серверах  и  рабочих  стан­

циях  пользователей;

•  разработчики  прикладного  программного  обеспечения;
•  специалисты  по  обслуживанию  технических  средств  вычис­

лительной  техники;

•  администраторы  информационной  безопасности  (специаль­

ных  средств  защиты)  и др.

Описание уязвимостей АС позволяет определить направления, 

на  которых  нужно  сосредоточить  первоочередные  усилия.  Надо 

отметить,  что  ряд  уязвимостей  можно  закрыть  организационно­
техническими  мерами,  тогда  как  для  других  это  невозможно  в 
рамках  принятой  на  предприятии  технологии  обработки  инфор­

мации.

В  рассматриваемой  Концепции  оцениваются  уязвимости  пер­

вого  и  второго  типов.

10.3.  Цели  и  задачи  обеспечения

безопасности  информации

В данном разделе  Концепции приведены следующие сведения:

•  интересы  затрагиваемых  при  эксплуатации  АС  организации 

субъектов  информационных отношений;

•  цели  защиты;
•  основные  задачи  системы  обеспечения  безопасности  инфор­

мации  АС;

• основные пути достижения целей защиты (решения  задач си­

стемы  защиты).

Выделяются  следующие  субъекты  правоотношений  при  исполь­

зовании АС организации и обеспечении безопасности информации:

•  организация  как собственник  информационных ресурсов;
•  подразделения  управлений  и  отделений  организации,  обес­

печивающие эксплуатацию системы автоматизированной обработ­
ки  информации;

• должностные лица и  сотрудники  структурных подразделений 

организации  как  пользователи  и  поставщики  информации  в  АС 
организации  в соответствии  с  возложенными  на  них функциями;

•  юридические  и  физические лица,  сведения  о  которых накап­

ливаются,  хранятся  и  обрабатываются  в АС  организации;

•  другие  юридические  и  физические  лица,  задействованные  в 

процессе  создания  и  функционирования АС  организации  (разра­

ботчики  компонент АС,  обслуживающий персонал,  организации, 
привлекаемые для оказания услуг в области безопасности инфор­
мационных технологий  и  др.).

Интересы данных субъектов состоят в обеспечении конфиден­

циальности, достоверности информации,  защиты от навязывания 

ложной  информации,  своевременного ее предоставления, разгра­

ничения  ответственности  за  нарушения,  возможности  осуществ­

ления непрерывного контроля и управления процессами обработки 

и  передачи  информации,  защиты  части  информации  от  незакон­
ного  ее  тиражирования.

После  того  как  определены  субъекты  информационных  отно­

шений  и  их интересы,  формулируется  цель защиты  информации. 
Она  состоит  в  защите  этих  субъектов  от  возможного  нанесения 
им ощутимого материального,  физического,  морального  или ино­
го ущерба посредством  случайного или  преднамеренного несанк­
ционированного вмешательства в процесс функционирования АС 

либо  НСД  к  циркулирующей  в  ней  информации  в  целях ее  неза­

конного  использования.

Из данной  цели  органично  вытекают  задачи  КСЗИ  [50]:

•  защита  от  вмешательства  посторонних  лиц  в  процесс  функ­

ционирования  АС  организации;

•  разграничение  доступа  зарегистрированных  пользователей  к 

аппаратным,  программным  и  информационным  ресурсам  АС:

— к  информации,  циркулирующей  в АС,
— средствам  вычислительной  техники  АС,
— аппаратным,  программным  и  криптографическим средствам 

защиты,  используемым  в АС;

• регистрация действий пользователей при использовании защища­

емых ресурсов АС в системных журналах и периодический контроль 
корректности действий пользователей системы путем анализа содер­

жимого этих журналов специалистами подразделений безопасности;

• контроль целостности (обеспечение неизменности) среды ис­

полнения  программ  и  ее  восстановление  в  случае  нарушения;

•  защита  от  несанкционированной  модификации  и  контроль 

целостности  используемых  в  АС  программных  средств,  а  также 
защита  системы  от  внедрения  несанкционированных  программ, 
включая  компьютерные  вирусы;

• защита информации ограниченного распространения от утечки 

по  техническим  каналам  при  ее  обработке,  хранении  и  передаче 
по  каналам  связи;

• защита информации ограниченного распространения, храни­

мой, обрабатываемой и передаваемой по каналам связи, от несанк­
ционированного  разглашения  или  искажения;

•  обеспечение  аутентификации  пользователей,  участвующих  в 

информационном  обмене  (подтверждение  подлинности  отправи­

теля  и  получателя  информации);

•  обеспечение  живучести  криптографических  средств  защиты 

информации  при  компрометации  части  ключевой  системы;

•  своевременное  выявление  источников  угроз  безопасности 

информации,  причин  и  условий,  способствующих  нанесению 

ущерба  заинтересованным  субъектам  информационных  отноше­
ний,  создание  механизма  оперативного  реагирования  на  угрозы 
безопасности  информации  и  негативные  тенденции;

•  создание  условий  для  минимизации  и  локализации  наноси­

мого  ущерба  неправомерными действиями  физических  и  юриди­

ческих  лиц,  ослабление  негативного  влияния  и  ликвидация  по­
следствий  нарушения  безопасности  информации.

Далее  в  этом  разделе  Концепции  определяются  пути  решения 

указанных  задач.

10.4.  Основные угрозы  безопасности

информации  АС  организации

В данном  разделе  Концепции  описаны:

•  угрозы  безопасности  информации  и  их  источники;
•  пути  реализации  непреднамеренных  искусственных  (субъек­

тивных)  угроз  безопасности  информации  в АС  организации;