Файл: 1 Политика информационной безопасности ооо смк ресомед г. Москва, 2014 2 Содержание 1.pdf

16 контролируемой территории.
Кроме перехвата информации техническими средствами разведки возможно непредна- меренное попадание защищаемой информации к лицам, не допущенным к ней, но находя- щимся в пределах контролируемой зоны. Такого рода утечка информации возможна вслед- ствие:
• непреднамеренного прослушивания без использования технических средств разговоров, ведущихся в выделенном помещении, из-за недостаточной звукоизоляции его ограждаю- щих конструкций, систем вентиляции и кондиционирования воздуха;
• случайного прослушивания телефонных переговоров при проведении профилактических работ на АТС, кроссах, кабельных коммуникациях с помощью контрольной аппаратуры;
• просмотра информации с экранов мониторов и других средств её отображения.
5.5 Неформальная модель возможных нарушителей
НАРУШИТЕЛЬ — это лицо, которое предприняло попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.
Система защиты АС должна строиться исходя из предположений о следующих воз- можных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др.):
«Неопытный (невнимательный) пользователь» — работник Общества (или другой ор- ганизации, зарегистрированный как пользователь системы), который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам АС с пре- вышением своих полномочий, ввода некорректных данных и т.п. действия по ошибке, не- компетентности или халатности без злого умысла и использующий при этом только штатные
(доступные ему) аппаратные и программные средства.
«Любитель» — работник Общества (или другой организации, зарегистрированный как пользователь системы), пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса». Для преодоления си- стемы защиты и совершения запрещенных действий он может использовать различные ме- тоды получения дополнительных полномочий доступа к ресурсам (имен, паролей и т.п. дру- гих пользователей), недостатки в построении системы защиты и доступные ему штатные
(установленные на рабочей станции) программы (несанкционированные действия посред- ством превышения своих полномочий на использование разрешенных средств). Помимо это- го он может пытаться использовать дополнительно нештатные инструментальные и техноло- гические программные средства (отладчики, служебные утилиты), самостоятельно разрабо- танные программы или стандартные дополнительные технические средства.
«Мошенник» — работник Общества (или другой организации, зарегистрированный как пользователь системы), который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыст- ных целях, по принуждению или из злого умысла, но использующий при этом только штат- ные (установленные на рабочей станции и доступные ему) аппаратные и программные сред- ства от своего имени или от имени другого работника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п.).
«Внутренний злоумышленник» — работник Общества, зарегистрированный как пользо- ватель системы, действующий целенаправленно из корыстных интересов или мести за нане- сенную обиду, возможно, в сговоре с лицами, не являющимися работниками Общества. Он может использовать весь набор методов и средств взлома системы защиты, включая аген- турные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздей-

17 ствия (модификация технических средств, подключение к каналам передачи данных, внедре- ние программных закладок и использование специальных инструментальных и технологиче- ских программ), а также комбинации воздействий как изнутри, так и извне – из сетей общего пользования.
Внутренним нарушителем может быть лицо из следующих категорий персонала Обще- ства:
• зарегистрированные конечные пользователи АС (работники Общества);
• работники, не допущенные к работе с АС;
• персонал, обслуживающий технические средства АС (инженеры, техники);
• работники подразделений разработки и сопровождения ПО (прикладные и системные программисты);
• технический персонал, обслуживающий здания (уборщицы, электрики, сантехники и другие работники, имеющие доступ в здания и помещения, где расположены компонен- ты АС);
• работники и подразделения информационной безопасности;
• руководители различных уровней.
«Внешний нарушитель (злоумышленник)» — постороннее лицо или работник Общества
(или другой организации, зарегистрированный как пользователь системы), действующий це- ленаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор радиоэлектронных способов нарушения информационной безопасности, методов и средств взлома систем защиты, характерных для сетей общего пользования (в особенности сетей на основе IP-протокола), включая удаленное внедрение программных закладок и использование специальных инструментальных и техно- логических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети АС.
Категории лиц, которые могут быть внешними нарушителями:
• уволенные работники Общества;
• представители организаций, взаимодействующих по вопросам обеспечения жизнедея- тельности организации (энерго-, водо-, теплоснабжения и т.п.);
• посетители (приглашенные представители организаций, граждане), представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.;
• члены преступных организаций, работники спецслужб или лица, действующие по их за- данию;
• лица, случайно или умышленно проникшие в сети АС из внешних (по отношению к Об- ществу) сетей телекоммуникации («хакеры»).
Пользователи и обслуживающий персонал из числа работников Общества имеют наиболее широкие возможности по осуществлению несанкционированных действий, вслед- ствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации и защитных мер. Действия этой группы лиц напрямую связано с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами или спец- службами.
Уволенные работники могут использовать для достижения целей свои знания о техно- логии работы, защитных мерах и правах доступа. Полученные в Обществе знания и опыт выделяют их среди других источников внешних угроз.
Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность работников Общества всеми доступными им силами

18 и средствами.
Профессиональные «хакеры» имеют наиболее высокую техническую квалификацию и знания об уязвимостях программных средств, используемых в АС. Наибольшую угрозу представляют при взаимодействии с работающими и уволенными работниками Общества и криминальными структурами.
Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, ин- формационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Криминальные структуры и спец- службы могут использовать эти организации для временного устройства на работу своих членов, с целью доступа к защищаемой информации в АС.
Принимаются следующие ограничения и предположения о характере действий воз- можных нарушителей:
• работа по подбору персонала и специальные мероприятия исключают возможность созда- ния сообществ нарушителей, т.е. объединения (сговора) и целенаправленных действий двух и более нарушителей – работников Общества по преодолению системы защиты;
• нарушитель скрывает свои несанкционированные действия от других работников Обще- ства;
• несанкционированные действия могут быть следствием ошибок пользователей, админи- страторов безопасности, эксплуатирующего и обслуживающего персонала, а также недо- статков принятой технологии обработки, хранения и передачи информации;
• в своей противоправной деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информаци- онные системы, адекватные финансовые средства для подкупа персонала, шантаж и дру- гие средства и методы для достижения стоящих перед ним целей.

19 пом, при использовании импортных технических и программных средств.
В рамках указанных направлений технической политики обеспечения информационной безопасности осуществляются:
• реализация разрешительной системы допуска исполнителей (пользователей, обслужива- ющего персонала) к работам, документам и информации конфиденциального характера;
• реализация системы инженерно-технических и организационных мер охраны, предусмат- ривающей многорубежность и равнопрочность построения охраны (территории, здания, помещения) с комплексным применением современных технических средств охраны, об- наружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;
• ограничение доступа исполнителей и посторонних лиц в здания и помещения, где прово- дятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация конфи- денциального характера, непосредственно к самим средствам информатизации и комму- никациям;
• разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации в подси- стемах различного уровня и назначения, входящих в АС;
• учет документов, информационных массивов, регистрация действий пользователей и об- служивающего персонала, контроль несанкционированного доступы и действий пользова- телей, обслуживающего персонала и посторонних лиц;
• предотвращение внедрения в автоматизированные подсистемы программ-вирусов, про- граммных закладок и т.п.
• криптографическое преобразование информации, обрабатываемой и передаваемой сред- ствами вычислительной техники и связи;
• надежное хранение традиционных и машинных носителей информации, ключей (ключе- вой документации) и их обращение, исключающее хищение, подмену и уничтожение;
• необходимое резервирование технических средств и дублирование массивов и носителей информации;
• снижение уровня и информативности побочных электромагнитных излучений и наводок
(ПЭМИН), создаваемых различными элементами автоматизированных подсистем;
• обеспечение акустической защиты помещений, в которых обсуждается информация кон- фиденциального характера;
• электрическая развязка цепей питания, заземления и других цепей объектов информатиза- ции, выходящих за пределы контролируемой зоны;
• активное зашумление в различных диапазонах;
• противодействие оптическим и лазерным средствам наблюдения.
6.2 Формирование режима информационной безопасности
С учетом выявленных угроз информационной безопасности АС режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в автоматизиро- ванной системе информации и поддерживающей её инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за со- бой нанесение ущерба владельцам или пользователям информации и поддерживающей ин- фраструктуры.
Комплекс мер по формированию режима информационной безопасности включает:
• установление в Обществе организационно-правового режима информационной безопас- ности (нормативные документы, работа с персоналом, делопроизводство);

20
• выполнение организационно-технических мероприятий по защите информации ограни- ченного распространения от утечки по техническим каналам;
• организационные и программно-технические мероприятия по предупреждению несанкци- онированных действий (доступа) к информационным ресурсам АС;
• комплекс мероприятий по контролю функционирования средств и систем защиты инфор- мационных ресурсов ограниченного распространения после случайных или преднамерен- ных воздействий;
• комплекс оперативных мероприятий подразделений безопасности по предотвращению
(выявлению) проникновения в Общества информаторов, связанных с преступными сооб- ществами.
Организационно-правовой режим предусматривает создание и поддержание правовой
базы информационной безопасности, а также разработку (введение в действие) следу-
ющих организационно-распорядительных документов:
• Положение о защите конфиденциальной информации.Указанное Положение регламенти- рует организацию, порядок работы со сведениями ограниченного распространения, обя- занности и ответственность работников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, государственным и коммерческим учреждениям и организациям;
• Перечень сведений, содержащих конфиденциальную информацию. Перечень определяет сведения, отнесенные к категориям конфиденциальных (государственная, коммерческая, врачебная тайна, персональные данные и др.), уровень и сроки действия ограничений по доступу к защищаемой информации;
• Приказы и распоряжения по установлению режима информационной безопасности:
• о допуске работников к работе с информацией ограниченного распространения;
• о назначении лиц ответственных за обеспечение сохранности информации ограниченного распространения в АС и др.;
• Нормативно-распорядительные документы Общества:
• по организации охранно-пропускного режима;
• по организации делопроизводства;
• по организации работы с информацией на отчуждаемых носителях;
• о защите конфиденциальной информации в АС;
• по изменению конфигурации программного и аппаратного обеспечения;
• другие нормативные документы.
Организационно-технические мероприятия по защите конфиденциальной информации
от утечки по техническим каналам предусматривают:
• комплекс мер и соответствующих технических средств, ослабляющих утечку информации
— пассивная защита (защита);
• комплекс мер и соответствующих технических средств, создающих помехи при съеме ин- формации — активная защита (противодействие);
• комплекс мер и соответствующих технических средств, позволяющих выявлять каналы утечки информации — поиск (обнаружение).
Физическая охрана объектов информатизации (компонентов компьютерных систем)
включает:
• организацию системы охранно-пропускного режима и системы контроля допуска на объ- ект;
• введение дополнительных ограничений по доступу в помещения, предназначенные для хранения закрытой информации (кодовые и электронные замки, карточки допуска и т.д.);