ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2023
Просмотров: 193
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
1.
Проведение предварительного обследования состояния объекта и орга- низации защиты информации. Определение факторов, анализ условий и осу- ществление выбора и обоснования требований по защите информации на за- данном объекте. На стадии обследования организации:
– изучается состав защищаемой информации и объекты защиты;
– устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой КСЗИ, оценивается уровень конфиденциальности и объемы;
– определяются режимы обработки информации (диалоговый, телеобра- ботки и режим реального времени), состав комплекса технических средств, об- щесистемные программные средства и т.д.;
– анализируется возможность использования имеющихся на рынке сер- тифицированных средств защиты информации;
– определяется степень участия персонала, функциональных служб, спе- циалистов и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопас- ности;
– определяются мероприятия по обеспечению режима секретности на стадии разработки.
2.
Определение функций защиты, обеспечивающих требуемый уровень в потенциально возможных условиях функционирования объекта.
3.
Выявление потенциально возможных угроз информации и вероятно- стей их появления. Формирование на их основе модели угроз и определение уровня возможного ущерба (незначительный, малый, средний, большой, очень большой и т.п.) и соответствующего уровня требований к защищенности.
При определении уровня наносимого ущерба необходимо учитывать:
• стоимость возможных потерь при получении информации конкурентом;
• стоимость восстановления информации при ее утрате;
• затраты на восстановление нормального процесса функционирования
АС и т.д.
4. Составление модели потенциально возможных нарушителей. Потенци- альными правонарушителями прежде всего могут быть сотрудники организа- ции, имеющие значительные материальные затруднения; склонные к азартным играм, к пьянству, наркотической зависимости; имеющие тяжело больных близких родственников; часто меняющие место работы; психически неуравно- вешенные.
27
5.
Выявление каналов утечки защищаемой информации и определение возможностей и основных каналов НСД к защищаемой информации.
6.
Формулирование стратегии КСЗИ (оборонительная, наступательная, упреждающая).
7.
Разработка политики безопасности, организационно-распорядительных документов и мероприятий по обеспечению ИБ. Обоснование перечня задач защиты информации, их классификации и эффективности их реализации с точ- ки зрения предотвращения возможных сбоев АС.
8.
Обоснование структуры и технологии функционирования КСЗИ. Опре- деление состава технического, математического, программного, информацион- ного и лингвистического обеспечения, нормативно-методических документов и организационно-технических мероприятий по защите информации.
9. Моделирование КСЗИ.
10. Проектирование КСЗИ.
11. Тестирование КСЗИ. Проверяется реакция системы в целом и отдель- ных ее компонентов на возможные отказы:
– отдельного компонента;
– группы компонентов;
– основных модулей;
–
«жесткий» сбой (отказ питания).
12
. Внедрение КСЗИ. Определение эффективности защиты информации с помощью оценки степени ее защищенности. Сравнение полученных результа- тов с их требуемыми значениями и анализ стоимостных затрат на обеспечение защиты.
13.
Корректировка, уточнение, внесение необходимых изменений.
14
. Подготовка и передача технической и эксплуатационной документа- ции. Обучение пользователей правилам работы с КСЗИ;
15
. Эксплуатация КСЗИ и сопровождение. Постоянный мониторинг со- стояния защищенности информационных ресурсов и выработка предложений по ее совершенствованию. Периодический пересмотр следующих положений политики безопасности:
– эффективность политики, определяемая по характеру, числу и воздей- ствию зарегистрированных инцидентов, касающихся безопасности;
– стоимости средств обеспечения безопасности на показатели эффектив- ности функционирования КС;
– влияние изменений на безопасность технологии.
28
Развитие КСЗИ во времени отражает такая категория, как жизненный цикл (ЖЦ) – одно из базовых понятий методологии проектирования ИС.
Жизненный цикл КСЗИ – это непрерывный процесс, который начинается с момента принятия решения о необходимости создания системы и заканчива- ется в момент ее полного изъятия из эксплуатации (обычно в результате мо- рального устаревания).
Процесс создания и сопровождения системы представляется как некото- рая последовательность этапов и выполняемых на них процессов. Для каждого этапа определяются состав и последовательность выполняемых работ, получа- емые результаты, методы и средства, необходимые для выполнения работ, роли и ответственность участников и т.д. Такое формальное описание ЖЦ позволяет спланировать и организовать процесс коллективной разработки и обеспечить управление этим процессом
В жизненном цикле выделяют следующие стадии: 1) разработка требова- ний; 2) проектирование; 3) реализация и тестирование; 4) внедрение; 5) сопро- вождение.
Жизненный цикл носит итеративный характер: реализованные этапы ЖЦ, начиная с самих ранних, циклически повторяются в соответствии с новыми требованиями и изменениями внешних условий. На каждом этапе ЖЦ форми- руется набор документов и технических решений, которые являются исходны- ми для последующих решений.
Наибольшее распространение получили три модели ЖЦ:
–
каскадная модель, в которой переход на следующий этап означает пол- ное завершение работ на предыдущем этапе. Основным недостатком этого подхода является существенное запаздывание с получением результата;
–
поэтапная модель с промежуточным контролем - итерационная модель разработки системы с циклами обратных связей между этапами, допускающие возвраты к предыдущему этапу. В результате каждый из этапов может растя- нуться на весь период разработки;
–
спиральная модель, в которой каждый виток спирали соответствует со- зданию работоспособного фрагмента или версии системы. Это позволяет уточ- нить требования, цели и характеристики проекта, определить качество разра- ботки, спланировать работы следующего витка спирали и в результате выбрать оптимальный вариант системы, удовлетворяющий требованиям заказчика, и довести его до реализации. Основная проблема – определение момента пере- хода на следующий этап.
29
1 2 3 4 5 6 7 8 9 ... 12
11
. Определение и нормативное закрепление состава
защищаемой информации
Необходимым условием при создании КСЗИ на предприятии является определение состава защищаемой информации.
Защищаемая информация – информация, являющаяся предметом соб- ственности и подлежащая защите в соответствии с требованиями правовых до- кументов или требованиями, устанавливаемыми собственниками информации.
В соответствии со ст. 5 Федерального закона от 27 июля 2006 г. N 149-
ФЗ. "Об информации, информационных технологиях и о защите информации" информация подразделяется на:
– свободно распространяемую;
– предоставляемую по соглашению сторон;
– подлежащую предоставлению или распространению по закону;
– имеющую статус ограниченного или запрещенного доступа.
Отнесение информации к защищаемой определяется следующими норма- тивно-правовыми актами:
1. ФЗ РФ от 21 июля 1993 г. № 5485-1 "О государственной тайне" (ред. от
01.12.2007).
2.
ФЗ
РФ от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне».
3.
ФЗ
РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
4.
ФЗ
РФ от
2 декабря 1990 г. N 395-I "О банках и банковской деятельно- сти" (ред. от 7 февраля 2011 г.).
5.
Указ Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера" (в ред. от 23.09.2005). В соответствии с этим Перечнем к профессиональной тайне относят: врачебную, нотариаль- ную, адвокатскую тайну, тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д. Необходимость соблю- дения перечисленных тайн вытекает из доверительного характера отдельных профессий.
Основная особенность служебной тайны заключается в том, что обязан- ность ее соблюдения вытекает из интересов службы: служебные сведения, во- енная и судебная тайны, тайна следствия и т.п.
30
Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.
Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:
– предприятие имеет право определять состав, объем, сроки и порядок защиты сведений конфиденциального характера, требовать от своих сотрудни- ков обеспечения их сохранности и защиты от внутренних и внешних угроз;
– предприятие обязано обеспечить сохранность конфиденциальной ин- формации.
Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разраба- тываются собственные нормативно-правовые документы, ориентированные на обеспечение ИБ. К таким документам относятся:
–
Положение о сохранении конфиденциальной информации;
–
Перечень сведений, составляющих конфиденциальную информацию;
–
Инструкция о порядке допуска сотрудников к сведениям, составляю- щим конфиденциальную информацию;
–
Обязательство сотрудника о сохранении конфиденциальной информации;
–
Положение о специальном делопроизводстве и документообороте;
–
Перечень сведений, разрешенных к опубликованию в открытой печати;
–
Положение о работе с иностранными фирмами и их представителями;
–
Памятка сотруднику о сохранении коммерческой тайны.
Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре
(контракте). Трудовой договор – это правовая основа к тому, чтобы пресечь не- верные или противоправные действия работника
Кроме того, на каждом предприятии постепенно накапливается коммер- чески ценная информация, которая позволяет предприятию успешно работать и противостоять конкурентам. Условно эту информацию разделяют на:
– производственные секреты (научно-технические, технологические, ор- ганизационные);
– деловые секреты (ноу-хау): знаю, какой товар надо делать, знаю, как его делать, знаю, как продвигать на рынке и продавать этот товар, и т.п.
Сведения, составляющие коммерческую тайну предприятия, должны:
– являться собственностью предприятия;
31
– иметь действительную или потенциальную коммерческую ценность; и не должны:
– являться общеизвестными и общедоступными;
– являться открытыми, защищаемыми на законных основаниях;
– относиться к составляющим государственную тайну;
– иметь ограничений на отнесение сведений на законном основании к коммерческой тайне (КТ);
– использовать открыто сведения, разглашение которых может нанести предприятию ущерб.
Кроме того, при принятии решения о включении сведений в перечень рекомендуется учитывать следующие факторы:
– величину ущерба о разглашения информации;
– преимущества открытого использования информации;
– величину затрат на защиту информации.
Для формирования перечня сведений, составляющих коммерческую тай- ну, необходимо:
1
Разработать приказ (план) по организации работы по формированию перечня.
2.
Сформировать и утвердить список лиц (рабочую группу), наделяе- мых полномочиями по отнесению сведений к коммерческой тайне.
3.
Создать и утвердить состав экспертной комиссии для анализа предва- рительного и формирования окончательного перечня, периодического его обновления и экспертизы документов, подготавливаемых к открытой печати, на предмет выявления и изъятия сведений, составляющих КТ.
4.
Разработать положение о порядке формирования перечня – методиче- ское руководство для руководителей структурных подразделений, членов рабочей группы и экспертной комиссии.
5. Разослать положение руководителям структурных подразделений и членам экспертной комиссии для ознакомления и подготовки замечаний.
6. Согласовать и утвердить положение.
7. Разослать положение исполнителям и провести инструктаж членов ра- бочей группы и экспертной комиссии.
8.
Внести в предварительный перечень предложения членов рабочей группы.
9.
Членам экспертной комиссии рассмотреть предварительный перечень в соответствии с положением и сформировать проект окончательного варианта.
32
10. Согласовать перечень с руководителями структурных подразделе- ний и утвердить руководителем предприятия.
12.
Издать приказ о введении перечня в действие.
12
. Определение объектов защиты
Объект защиты – это информация, носитель информации или информа- ционный процесс, в отношении которых необходимо обеспечивать защиту от нежелательного несанкционированного вмешательства, а также от попыток хищения, незаконной модификации и/или разрушения.
В соответствии с семирубежной моделью ЗИ при организации КСЗИ на предприятии в качестве объектов защиты рассматриваются:
1) прилегающая к предприятию территория;
2) здания предприятия;
3) рабочие помещения и помещения, предназначенные для обработки ин- формации с ограниченным доступом; помещения, предназначенные для веде- ния переговоров, в ходе которых оглашаются сведения ограниченного доступа; хранилища носителей информации;
4) физические поля (электромагнитные, оптические, ультрафиолетовые, инфракрасные, рентгеновские и др.); системы, линии и средства связи и пере- дачи данных, осуществляющие прием, обработку, хранение и передачу инфор- мации с ограниченным доступом;
5) аппаратные средства (серверы, рабочие станции, периферийное обору- дование), средства и системы информатизации и другие технические средства защиты информации;
6) программные средства (операционные системы, специальное ПО,
СУБД, интерфейсное и сетевое ПО);
7) информационные ресурсы, содержащие конфиденциальную информа- цию (в частности персональные данные); сведения, отнесенные любому виду тайн; носители информации и средства их транспортировки;
Кроме того, объектами защиты должны быть:
– средства отображения, обработки, воспроизведения и передачи конфи- денциальной информации, в том числе: ЭВМ, средства видео-, звукозаписыва- ющей и воспроизводящей техники;
– системы обеспечения функционирования предприятия (электро-, водо- снабжение, кондиционирование и др.);
33
– выпускаемая продукция (конкретные изделия, предметы, технические решения)
и технологические процессы ее изготовления и используемые при этом средства производства;
– сотрудники организации.
13.
Анализ и оценка угроз безопасности информации
Под угрозой безопасности понимаются потенциально возможные воздей- ствия, события, процессы или явления, которые прямо или косвенно могут нанести ущерб интересам субъектов информационных отношений.
Ущерб безопасности подразумевает нарушение состояния защищенно- сти информации, содержащейся и обрабатывающейся в компьютерной системе
(КС). С понятием угрозы безопасности тесно связано понятие уязвимости КС.
Уязвимость КС - это некоторое наиболее ранимое свойство системы, ко- торое делает возможным возникновение и реализацию угрозы.
Атака на компьютерную систему - это действие, предпринимаемое зло- умышленником, которое заключается в поиске и использовании той или иной уязвимости системы. Таким образом, атака - это реализация угрозы безопасности.
Основная цель защиты КС - противодействие угрозам безопасности.
По цели воздействия различают следующие основные типы угроз без-
опасности:
• нарушение конфиденциальности (раскрытие) информации;
• нарушение целостности информации (ее полное или частичное уничто- жение, искажение, фальсификация, дезинформация);
• нарушение (частичное или полное) работоспособности системы. Вывод из строя или неправомерное изменение режимов работы компонентов си- стемы обработки информации, их модификация или подмена могут при- водить к получению неверных результатов расчетов, отказам системы от потока информации (непризнанию одной из взаимодействующих сторон факта передачи или приема сообщений) и/или отказам в обслуживании конечных пользователей;
• несанкционированное тиражирование открытой информации (не являю- щейся конфиденциальной), например, программ, баз данных, разного ро- да документации, литературных произведений и т.д. в нарушение прав собственников информации, авторских прав и т.п. Информация, обладая
34
свойствами материальных объектов, имеет такую особенность, как неис- черпаемость ресурса, что существенно затрудняет контроль за ее тиражи- рованием.
Источники угроз безопасности
Основными источниками угроз безопасности КС и информации (угроз интересам субъектов информационных отношений) являются:
• стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т. п.);
• сбои и отказы оборудования (технических средств) КС;
• последствия ошибок проектирования и разработки компонентов КС (ап- паратных средств, технологии обработки информации, программ, струк- тур данных и т.п.);
• ошибки эксплуатации (пользователей, операторов и другого персонала);
• преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).
Естественные угрозы - это угрозы, вызванные воздействиями на КС и ее элементы объективных физических процессов или стихийных природных явле- ний, независящих от человека.
Искусственные угрозы - это угрозы КС, вызванные деятельностью челове- ка. Среди искусственных угроз, исходя из мотивации действий, можно выделить:
•
непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КС и ее элементов, ошибками в программ- ном обеспечении, ошибками в действиях персонала и т.п.;
•
преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
Источники угроз по отношению к КС могут быть внешними или внутрен- ними (компоненты самой КС - ее аппаратура, программы, персонал).
13
.1. Основные непреднамеренные искусственные угрозы
Основные непреднамеренные искусственные угрозы КС (действия, со- вершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) [3]:
1) неумышленные действия, приводящие к частичному или полному отка- зу системы или разрушению аппаратных, программных, информационных ре-
35
Источники угроз безопасности
Основными источниками угроз безопасности КС и информации (угроз интересам субъектов информационных отношений) являются:
• стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т. п.);
• сбои и отказы оборудования (технических средств) КС;
• последствия ошибок проектирования и разработки компонентов КС (ап- паратных средств, технологии обработки информации, программ, струк- тур данных и т.п.);
• ошибки эксплуатации (пользователей, операторов и другого персонала);
• преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).
Естественные угрозы - это угрозы, вызванные воздействиями на КС и ее элементы объективных физических процессов или стихийных природных явле- ний, независящих от человека.
Искусственные угрозы - это угрозы КС, вызванные деятельностью челове- ка. Среди искусственных угроз, исходя из мотивации действий, можно выделить:
•
непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КС и ее элементов, ошибками в программ- ном обеспечении, ошибками в действиях персонала и т.п.;
•
преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
Источники угроз по отношению к КС могут быть внешними или внутрен- ними (компоненты самой КС - ее аппаратура, программы, персонал).
13
.1. Основные непреднамеренные искусственные угрозы
Основные непреднамеренные искусственные угрозы КС (действия, со- вершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) [3]:
1) неумышленные действия, приводящие к частичному или полному отка- зу системы или разрушению аппаратных, программных, информационных ре-
35