ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4257
Скачиваний: 25
лагаются на администратора автоматизированной системы (базы
данных) и администратора службы безопасности, которые распо
ложены в ЦУБ.
К вспомогательным функциям подсистемы управления отно
сятся учет всех операций, выполняемых в АС с защищаемой ин
формацией, формирование отчетных документов и сбор статис
тических данных с целью анализа и выявления потенциальных
каналов утечки информации.
Контроль эффективности защиты информации.
Контроль осу
ществляется в целях своевременного выявления и предотвраще
ния утечки информации по техническим каналам за счет несанк
ционированного доступа к ней, а также предупреждения возмож
ных специальных воздействий, направленных на уничтожение
информации, разрушение средств информатизации.
Контроль может проводиться как службой безопасности (опе
ративный контроль в процессе информационного взаимодействия
в АС), так и привлекаемыми для этой цели компетентными орга
низациями, имеющими лицензию на этот вид деятельности, а так
же Инспекцией ФСТЭК России или ФСБ России в пределах их
компетенции.
Оценка эффективности мер защиты информации проводится с
использованием технических и программных средств контроля на
предмет соответствия установленным требованиям.
Контроль может осуществляться администратором безопасно
сти как с помощью штатных средств системы защиты информа
ции от НСД, так и с помощью специальных программных средств
контроля.
10.8. Первоочередные мероприятия
по обеспечению безопасности информации
АС организации
В данном разделе Концепции описаны мероприятия по реали
зации ее положений. Необходимо:
• создать во всех территориальных подразделениях организа
ции подразделений технической защиты информации в АС орга
низации и ввести ответственных (можно внештатных, из числа
сотрудников подразделения) за безопасность информации в струк
турных подразделениях организации, определить их задачи и функ
ции на различных стадиях создания, развития и эксплуатации АС
и системы защиты информации;
• рассмотреть возможность внесения изменений в конфигура
цию сетей и СВТ, технологии обработки, передачи и хранения
(архивирования) информации (с целью максимального разделе
ния подсистем АС организации, в которых обрабатывается ин
формация различных категорий конфиденциальности), для сни
жения затрат на создание системы защиты и упрощения катего-
рирования и аттестации подсистем АС организации;
• определить порядок приобретения и использования серти
фицированных серийно выпускаемых в защищенном исполнении
технических средств обработки, передачи и хранения информа
ции; образцов технических средств, прошедших специальные ис
следования, в соответствии с требованиями предписания на экс
плуатацию, а также сертифицированных средств защиты инфор
мации;
• уточнить (в том числе на основе апробации) конкретные тре
бования к СЗИ, включаемые в ТЗ на разработку СЗИ АС органи
зации;
• определить возможность использования в АС организации
имеющихся сертифицированных средств защиты информации;
• произвести закупку сертифицированных образцов и серийно
выпускаемых технических и программных средств зашиты инфор
мации («Secret Net» и т.п.) и их внедрение на рабочих станциях и
файловых серверах сети с целью контроля за изменением конфи
гурации аппаратных и программных средств и действиями пользо
вателей;
• осуществить разработку и последующую сертификацию про
граммных средств защиты информации в случае, когда на рынке
отсутствуют требуемые программные средства;
• для обеспечения режима удаленного доступа пользователей
по сети организации к информации конфиденциальных баз дан
ных рассмотреть возможность разработки, сертификации и аттес
тации специальных криптографических средств; в их состав дол
жны входить: сетевой криптошлюз, защищенные абонентские
пункты доступа через криптошлюз, центр генерации и распро
странения ключей; на уровне прикладных программ необходимо
разработать средства, обеспечивающие возможность доступа к
конфиденциальным данным только с защищенных абонентских
пунктов;
• определить степень участия персонала в обработке (передаче,
хранении, обсуждении) информации, характер его взаимодействия
между собой и с подразделениями по защите информации;
• произвести разработку и реализацию разрешительной систе
мы доступа пользователей и эксплуатационного персонала АС
организации или иного объекта информатизации к обрабатывае
мой информации, оформляемой в виде раздела «Положения о
разрешительной системе допуска исполнителей к документам и
сведениям»;
• осуществить разработку организационно-распорядительной
и рабочей документации по эксплуатации объекта информатиза
ции в защищенном исполнении, а также средств и мер защиты
информации в АС организации (план защиты, инструкции, обя
занности и т.п.), регламентирующих процессы допуска пользова
телей к работе с АС организации, разработки, приобретения и
использования программного обеспечения на рабочих станциях и
серверах, порядок внесения изменений в конфигурацию аппарат
ных и программных средств при ремонте, развитии и обслужива
нии СВТ, порядок применения и администрирования средств за
щиты информации и т.п.;
• для снижения риска перехвата в сети с других рабочих стан
ций имен и паролей привилегированных пользователей (в осо
бенности администраторов средств защиты и баз данных) органи
зовать их работу в отдельных сегментах сети, шире применять
сетевые устройства типа switch, не использовать удаленные режи
мы конфигурирования сетевых устройств (маршрутизаторов, кон
центраторов и т.п.);
• исключить доступ программистов в эксплуатируемые под
системы АС организации (к реальной информации и базам дан
ных), организовать опытный участок АС для разработки и от
ладки программ; передачу разработанных программ в эксплуата
цию производить через архив эталонов программ (фонд алго
ритмов и программ) подразделения, ответственного за эксплуата
цию ПО;
• для защиты компонентов ЛВС органов организации от не
правомерных воздействий из других ЛВС организации и внешних
сетей по IP-протоколу целесообразно использовать на узлах кор
поративной сети организации сертифицированные установленным
порядком межсетевые экраны;
• осуществить опытную эксплуатацию средств защиты инфор
мации в комплексе с другими техническими и программными
средствами в целях проверки их работоспособности в составе объек
тов информатизации и отработки технологических процессов об
работки (передачи) информации;
• произвести специальную проверку импортных технических
средств на предмет обнаружения возможно внедренных в них элек
тронных устройств перехвата информации («закладок»);
• произвести специальную проверку выделенных помещений
на предмет обнаружения возможно внедренных в них или в пред
меты интерьера электронных устройств перехвата информации
(«закладок»);
• обследовать объект информатизации и провести специаль
ные исследования технических средств;
• выполнить конструктивные доработки технических средств и
помещений, где они расположены, в целях локализации возмож
ных технических каналов утечки информации (в случае необхо
димости);
• произвести развязку цепей электропитания объектов защиты
с помощью защитных фильтров, блокирующих (подавляющих)
информативный сигнал;
• произвести развязку линий связи и других цепей между выхо
дящими за пределы контролируемой зоны и находящимися внут
ри нее;
• осуществить необходимую звуко- и виброизоляцию выделен
ных помещений;
• произвести категорирование помещений, в которых прово
дятся обсуждения или ведутся переговоры по секретным вопро
сам (выделенные помещения);
• произвести категорирование ОТСС, предназначенных для
обработки, передачи и хранения конфиденциальной информации;
• классифицировать защищенность автоматизированных систем
от несанкционированного доступа (НСД) к информации, пред
назначенных для обработки конфиденциальной информации;
• оформить технический паспорт объекта информатизации (АС
организации);
• аттестовать объект информатизации по требованиям защиты
информации;
• организовать охрану и физическую защиту объекта информа
тизации и отдельных технических средств, исключающих НСД к
техническим средствам, их хищение и нарушение работоспособ
ности;
• организовать контроль состояния и эффективности защиты
информации с оценкой выполнения требований нормативных
документов организационно-технического характера, обоснован
ности принятых мер, проверки выполнения норм эффективности
защиты информации по действующим методикам с применением
поверенной контрольно-измерительной аппаратуры и сертифи
цированных программных средств контроля;
• для контроля за состоянием защиты, выявлением слабых мест
(уязвимостей) в системе защиты серверов и рабочих станций и
принятия своевременных мер по их устранению (перекрытию воз
можности их использования злоумышленниками) необходимо
использовать специальные программы оценки защищенности (ска
неры, например Internet Security Scanner фирмы ISS).
Г л а в а 1 1
Разработка модели КСЗИ
11.1. Общая характеристика задач
моделирования КСЗИ
КСЗИ в целом и отдельные средства защиты представляют со
бой сложные системы, для которых характерны:
• стохастичность потока входных событий (несанкционирован
ного доступа к информации);
• многоуровневая иерархическая структура;
• сложность информационно-логического взаимодействия си
стем и средств защиты информации предприятия.
При проектировании, создании и эксплуатации КСЗИ суще
ствует много задач, которые требуют моделирования для исследо
вания качественных и количественных закономерностей ее функ
ционирования. Так, на этапе проектирования модель КСЗИ ис
пользуется для исследования функционирования организации,
определения информационных потоков, критически важных то
чек, документирования каждого выполняемого процесса. При даль
нейшей разработке КСЗИ на основе различных классов моделей
идентифицируются внутренние и внешние угрозы, оцениваются
риски.
В целом процесс моделирования функционирования КСЗИ
может быть разбит на следующие этапы:
• осуществление целеполагания для КСЗИ и ее подсистем; выбор
частных и обобщенных показателей защищенности информации,
критериев эффективности КСЗИ;
• формальное описание процессов функционирования КСЗИ
и ее взаимодействия с другими подсистемами предприятия;
• определение угроз безопасности информации;
• построение математической модели функционирования КСЗИ;
• определение на основе математической модели параметров
КСЗИ их влияния на показатели защищенности информации;
• интерпретация полученных результатов для разработки про
ектных решений по созданию КСЗИ.
Важное значение имеет также создание адекватной модели на
рушителя, определяющей: