ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4102
Скачиваний: 24
•
планы,
обеспечения безопасности ИТ; действий в непредви
денных ситуациях;
•
политики:
безопасности информационных технологий; реа
гирования на инциденты нарушения безопасности; оценки рис
ков; защиты носителей информации; обеспечения целостности
ИТ и информации; физической защиты и защиты среды ИТ; обес
печения безопасности эксплуатирующего персонала; обучения
(тренинга) безопасности (для ИТ 2 категории и выше); иденти
фикации и аутентификации; управления доступом; аудита и обес
печения подотчетности (политика регистрации и учета); зашиты
ИТ и коммуникаций; сопровождения ИТ; управления конфигу
рацией;
•
руководства
: по использованию беспроводных технологий
(для ИТ 3-й и последующих категорий); по использованию пор
тативных и мобильных устройств (для ИТ 3-й и последующих
категорий); по использованию технологий мобильного кода (для
ИТ 2-й и следующих категорий); по использованию технологии
передачи речи по IP-сетям (ІР-телефонии);
•
списки
: персонала, уполномоченного на выполнение действий
по сопровождению ИТ; ключевых компонентов ИТ (для ИТ 2-й и
следующих категорий); доступа эксплуатирующего персонала на
объекты ИТ;
•
журналы,
доступа посетителей; регистрации действий по со
провождению ИТ (для ИТ 3-й и следующих категорий);
•
правила поведения эксплуатирующего персонала в отно
шении обеспечения безопасности ИТ\
•
соглашения о доступе',
•
базовая конфигурация ИТ\
•
реестр компонентов ИТ.
В тексте СТР-45 очень кратко упоминается о том, что должен
содержать каждый из перечисленных документов. Учитывая от
сутствие необходимой методической базы, можно полагать, что
разработка документации по ИТ будет непростым делом для по
требителей.
Организационно-распорядительная документация по примене
нию мер и средств обеспечения безопасности ИТ должна отно
ситься к информации ограниченного доступа.
1.7.4. Требования к средствам обеспечения
безопасности
Проект СТР-46 использует в основном ту же терминологию,
что и СТР-45. Под средствами обеспечения безопасности инфор
мационных технологий (СОБИТ) авторы проекта понимают сред
ства, реализующие совокупность функций, обеспечивающих БИТ.
Нам это определение представляется довольно расплывчатым. На
пример, система пожаротушения тоже реализует указанные функ
ции (и в СТР-45 приведены требования к ней), но она не являет
ся предметом рассмотрения данного проекта регламента. Дума
ется, что будет правильным ставить знак равенства между исполь
зующимся сейчас термином «средства защиты информации» и
СОБИТ. Разработчики обещают в следующих версиях проекта СТР
привести исчерпывающий список средств, относящихся к СОБИТ.
Категория СОБИТ устанавливается исходя из того, в ИТ какой
максимальной категории его можно использовать. В зависимости
от категории к СОБИТ предъявляется определенный набор тре
бований доверия к безопасности. Сравнение с ГОСТ 15408 пока
зывает, что эти наборы требований для различных категорий не
совпадают с требованиями оценочных уровней доверия ОК. Та
ким образом, СОБИТ наивысшей категории не сможет быть авто
матически сертифицирован на соответствие ОК даже по самому
низкому уровню доверия. Верно и обратное: выполнение требо
ваний ОК недостаточно для того, чтобы СОБИТ соответствовали
СТР-46.
Функциональные требования безопасности к СОБИТ не уста
навливаются в связи с их многообразием. Состав этих требований
будет определять разработчик, исходя из парируемых средством
угроз, условий применения и его категории. В приложении к проек
ту СТР-46 приведен перечень основных функциональных требо
ваний с пояснениями, что можно рассматривать в качестве мето
дического пособия по данной теме. Между тем, непонятно, для
чего эти материалы предлагается включить в текст закона.
Подтвердить соответствие СОБИТ требованиям безопасности
предполагается двумя формами: декларированием соответствия и
обязательной сертификацией (для СОБИТ трех старших катего
рий).
Интересным, но до конца непродуманным предложением ав
торов является открытое опубликование результатов сертифика
ционных испытаний. Очевидно, что для СОБИТ высших катего
рий такое опубликование не только нецелесообразно, но и может
привести к разглашению государственной тайны.
По аналогии с ИТ, в отношении СОБИТ предлагается прово
дить государственный контроль и надзор. При этом контролю
подвергаются не только разработчики и продавцы СОБИТ, но и
пользователи, что, по нашему мнению, неверно. Дело в том, что
защищаемые активы появляются только в ИТ, и именно ИТ целе
сообразно подвергать контролю (надзору), как это и предусмот
рено СТР-45.
Разработка технических регламентов по информационной без
опасности является, скорее всего, первым опытом открытой раз
работки документов по защите информации. Нельзя сказать, что
«первый блин вышел комом», но существующие варианты проек
тов пока еще очень далеки от совершенства, в связи с чем не
однократно происходит перенос сроков представления регламен
тов в правительственные органы.
Остается неясным вопрос, насколько оправданно создание тех
нических регламентов по информационной безопасности? На наш
взгляд, вместо этого было бы правильным внести в ст. 1 ФЗ
«О техническом регулировании» абзац, где бы говорилось об от
дельном регулировании такой чувствительной области, по анало
гии с тем, как это сделано в этом законе для единой сети связи.
Г л а в а 2
Принципы организации и этапы
разработки КСЗИ
2.1. Методологические основы
организации КСЗИ
При создании КСЗИ необходимо учитывать, что информа
цию следует защищать во всех видах ее существования — доку
ментальном (бумажные документы, микрофильмы и т.п.), элек
тронном, содержащемся и обрабатываемом в автоматизирован
ных системах (АС) и отдельных средствах вычислительной тех
ники (СВТ); это относится к персоналу, который обрабатывает
информацию. Необходимо также принимать меры по защите
информации от утечки по техническим каналам. При этом тре
буется защищать информацию не только от несанкционирован
ного доступа (НСД) к ней, но и от неправомерного вмешатель
ства в процесс ее обработки, хранения и передачи на всех фазах,
нарушения работоспособности АС и СВТ, воздействия на пер
сонал и т.п. Должны быть обеспечены конфиденциальность,
целостность и доступность информации. Таким образом, защи
щать необходимо все компоненты информационной структуры
предприятия — помещения, аппаратуру, информационные си
стемы, документы на бумажных и электронных носителях, сети
связи, персонал и т.д.
Целью проводимых работ должно являться построение комп
лексной системы зашиты информации. Это предполагает необхо
димость использования, создания и разработки совокупности ме
тодологических, организационных и технических элементов КСЗИ,
взаимообусловленных и взаимоувязанных, и базируется на исполь
зовании методологии построения комплексной системы защиты
информации.
Можно выделить три направления работ по созданию КСЗИ:
•
методическое
, в рамках которого создаются методологиче
ские компоненты КСЗИ, разрабатывается замысел ее построения,
прорабатываются правовые вопросы;
•
организационное,
в ходе которого разрабатываются распоря
дительные документы, проводится обучение и инструктаж персо
нала и т.п.;
•
техническое,
заключающееся в выборе, закупке и инсталля
ции программных, программно-аппаратных и аппаратных средств
защиты информации.
Для эффективного обеспечения безопасности информации тре
буется создание развитого методологического аппарата, позволя
ющего решить следующие комплексные задачи [6]:
• создать систему органов, ответственных за безопасность ин
формации;
• разработать теоретико-методологические основы обеспечения
безопасности информации;
• решить проблему управления защитой информации и ее ав
томатизации;
• создать нормативно-правовую базу, регламентирующую ре
шение всех задач обеспечения безопасности информации;
• наладить производство средств защиты информации;
• организовать подготовку специалистов по защите информации;
• подготовить нормативно-методологическую базу для прове
дения работ по обеспечению безопасности информации.
Особого внимания требует проработка правовых вопросов обес
печения безопасности информации. Необходимо проанализиро
вать всю совокупность законодательных актов, нормативно-пра
вовых документов, требования которых обязательны в рамках сфе
ры деятельности по защите информации. Предметом правового
регулирования является правовой режим информации (степень
конфиденциальности, собственность, средства и формы защиты
информации, которые можно использовать), правовой статус уча
стников информационного взаимодействия, порядок отношения
субъектов с учетом их правового статуса.
Организационное обеспечение заключается в регламентации
взаимоотношений исполнителей на нормативно-правовой основе
таким образом, что разглашение, утечка и несанкционированный
доступ к информации становится невозможным или будет сущест
венно затруднен за счет проведения организационных мероприя
тий.
Организационное обеспечение состоит из таких компонентов,
как подбор сотрудников и службы безопасности; оборудование
служебных помещений; организация режимно-пропускной служ
бы; организация хранения документов; организация системы де
лопроизводства; эксплуатация технических средств; создание ох
раняемых зон.
Техническое направление работ по созданию КСЗИ состоит в
выборе, закупке и инсталляции средств защиты информации:
физических; аппаратных; программных; аппаратно-программных.
Планирование инженерно-технического обеспечения КСЗИ
рекомендуется проводить в соответствии со следующей методи
кой [25]: