Файл: Объектов информатизации.pdf

Исходя из практических потребностей, в Положении определены различ- ные варианты разработки защищенных средств ВТ, среди которых предусмат- ривается:
- разработка защищенного общепрограммного обеспечения (ОПО) – ОС,
СУБД, сетевого ПО;
- разработка защищенных программных средств (ПС) на базе ОПО, нахо- дящегося в эксплуатации и поставляемого вместе с незащищенными СВТ;
- разработка защищенных ПС на базе импортных программных прототи- пов.
В Положении изложен также порядок разработки, внедрения и эксплуа- тации средств криптозащиты информации.
Кроме перечисленных правовых и нормативных подзаконных актов госу- дарственной СЗИ, для нормальной деятельности в области безопасности ин- формации необходим пакет нормативных документов технического характера – стандартов, руководящих документов, инструкций.
В США с 1984 г. сертификация СВТ по требованиям ЗИ от НСД осу- ществляется в соответствии с «Оранжевой книгой» - государственного стандар- та «Критерии оценки надежных компьютерных систем» (Trusted Computer Sys- tems Evaluation Criteria, TCSEC
). В Европе в 1991 г. принят собственный стан- дарт «Критерии оценки безопасности информационныхтехнологий – гармони- зированные критерии Франции, Германии, Голландии и Великобритании», по- строенный на аналогичных принципах.
Отечественным аналогом «Оранжевой книги» является разработанный в
1992 г. РД «СВТ. Защита от НСД информации. Показатели защищенности от
НСД к информации».
Этот документ устанавливает классификацию СВТ по уровню защищен- ности от НСД к информации на базе перечня показателей защищенности и со- вокупности описывающих их требований. Он может использоваться как мето- дический материал при разработке СЗИ, или как нормативно-методический ма- териал при их сертификации.
Кроме того, в настоящее время в законодательной сфере РФ создана пра- вовая основа для регулирования сбора, хранения и использования информации.
В УК РФ включена отдельная глава, посвященная компьютерным преступлени- ям. Защита интеллектуальной собственности отражена в уголовном и граждан- ском кодексах.
52

С начала 1990-х годов действует Закон РФ «О правовой охране программ для ЭВМ и баз данных», федеральный закон «Об информации, информатиза- ции и ЗИ», Закон РФ «Об авторском праве и смежных правах» и ряд других нормативных актов.
Важнейшие законодательные нормативно-правовые документыразрабо- таны с учетом следующих видов тайн:
-
государственная тайна – Закон о государственной тайне, ст. 275, 276,
283, 284 УК РФ;
-
служебная и коммерческая тайна – ст. 139 и 727 ГК РФ, ст. 155 и 183
УК РФ;
-
банковская тайна – ст. 25 Закона о банках и банковской деятельности в
РСФСР, ст. 857 ГК, ст. 183 УК РФ;
-
личная и семейная тайна – ст. 150 ГК, ст. 137 УК РФ;
-
тайна переписки и телефонных переговоров – ст. 138 УК РФ;
-
тайна голосования - ст. 142 УК РФ.
Все перечисленные выше руководящие документы не исчерпывают по- требностей, возникающих в ходе практических работ в области защиты инфор- мации. Это лишь необходимая основа организационной, нормативно- технической и методической документации, без которой невозможно нормаль- ное существование и развитие информатики, и обеспечение безопасности ин- формационных ресурсов самих СВТ.
15
.2. Морально-этические меры
К морально-этическим мерам противодействия угрозам безопасности от- носятся всевозможные нормы поведения, которые традиционно сложились или складываются в обществе по мере распространения компьютеров в стране. Эти нормы большей частью не являются обязательными, как законодательно утвержденные, ноих несоблюдение обычно ведет к падению престижа челове- ка, группы лиц или организации. Морально-этические нормы бывают как непи- саными (например, общепризнанные нормы честности, патриотизма и т.д.), так и оформленными в некий свод (кодекс) правил или предписаний. Например,
"Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ
США" рассматривает как неэтичные действия, которые умышленно или не- умышленно:
• нарушают нормальную работу компьютерных систем;
53

• вызывают неоправданные затраты ресурсов (машинного времени, памя- ти, каналов связи и т.п.);
• нарушают целостность информации (хранимой и обрабатываемой);
• нарушают интересы других законных пользователей и т.п.
Социально-психологическое обеспечение ЗИ во многом зависит также от своевременной проверки благонадежности, от расстановки работников в соот- ветствии с их способностями и личными качествами, формирования у каждого члена коллектива осознанного понимания важности и необходимости соблюде- ния требований режима конфиденциальности. Идеальным считается работник, обладающий такими личными качествами, как честность, принципиальность
(строгое следование основным правилам), исполнительность, дисциплиниро- ванность, эмоциональная устойчивость (самообладание), стремление к успеху и порядку в работе, самоконтроль в поступках и действиях, правильная оценка собственных возможностей и способностей, умеренная склонность к риску, осторожность, умение хранить секреты, тренированное внимание, неплохая па- мять.
Меньше всего утечек информации наблюдается в Японии, что связано с си- стемой «пожизненного найма», и воспитанием чувств преданности и патер- нализма, когда работники одной организации считают себя членами единой, большой семьи.
В целом, нормативно-правовая база и моральные устои современного обще- ства оказались не готовы к столь быстрому скачку в развитии информацион- ных технологий, что проявилось прежде всего при интеграции России в еди- ное информационное пространство Европы и мира с использованием сетей типа Интернет. В настоящее время отсутствуют способы и средства контроля ценности информационных ресурсов, транслируемых через границы (проис- ходит утечка технологий и «ноу-хау»).
Для отработки механизма взаимодействия в информационном пространстве необходимо разработать законы, регулирующие отношения в этой области.
15
.3. Административные меры
Административные меры защиты – это меры организационного характе- ра. Они регламентируют:
- процессы функционирования системы обработки данных,
- использование ее ресурсов,
54

- деятельность персонала,
- порядок взаимодействия пользователей с системой таким образом, что- бы в наибольшей степени затруднить или исключить возможность реа- лизации угроз безопасности.
Административные меры включают:
• мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обра- ботки данных;
• мероприятия по разработке правил доступа пользователей к ресурсам си- стемы (разработка политики безопасности);
• организацию работы по анализу внутренних и внешних угроз конфиден- циальной информации и выработке мер по обеспечению ее защиты;
• мероприятия, осуществляемые при подборе и подготовке персонала си- стемы, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с ме- рами ответственности за нарушение правил защиты информации и др.;
• организацию охраны и надежного пропускного режима с целью исклю- чения возможности тайного проникновения на территорию и в помеще- ния посторонних лиц;
• организацию учета, хранения, использования и уничтожения документов и носителей с информацией;
• распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);
• организацию явного и скрытого контроля за работой пользователей с конфиденциальной информацией;
• мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и ПО и т.п.
Организационные меры являются той основой, которая объединяет различ- ные меры защиты в единую систему. В каждом конкретном случае эти мероприя- тия носят специфическую для данной организации форму и содержание, направ- ленные на обеспечение безопасности информации в конкретных условиях.
Выполнение различных мероприятий по созданию и поддержанию работо- способности системы защиты должно быть возложено на специальную службу
– службу компьютерной безопасности.
55

Обязанности должностных лиц должны быть определены таким образом, чтобы при эффективной реализации ими своих функций, обеспечивалось раз- деление их полномочий и ответственности.
15
.4. Физические меры
Физические меры защиты основаны на применении разного рода механи- ческих, электро- или электронно-механических устройств и сооружений, спе- циально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
15
.5. Технические (программно-аппаратные) меры
Технические (аппаратно-программные) меры защиты основаны на ис- пользовании различных электронных устройств и специальных программ, ко- торые самостоятельно или в комплексе с другими средствами, реализуют сле- дующие способы защиты:
- идентификацию (распознавание) и аутентификацию (проверку подлин- ности) субъектов (пользователей, процессов),
- разграничение доступа к ресурсам,
- регистрацию и анализ событий,
- криптографическое закрытие информации,
- резервирование ресурсов и компонентов систем обработки информации и др.
Взаимосвязь перечисленных мер обеспечения безопасности можно пояс- нить следующим образом:
1. Организационные меры обеспечивают исполнение существующих нор- мативных актов и строятся с учетом существующих правил поведения, приня- тых в стране и/или организации.
2. Воплощение организационных мер требует создания нормативных до- кументов.
3. Для эффективного применения организационные меры должны быть поддержаны физическими и техническими средствами.
4. Применение и использование технических средств защиты требует соот- ветствующей организационной поддержки.
56

Программные меры защиты основаны на использовании антивирусных средств.
На сегодняшний день известно огромное количество антивирусных про- грамм, разработанных различными отечественными и зарубежными антивирус- ными лабораториями. К наиболее популярным антивирусным средствам отно- сятся:
Антивирус Касперского 6.0 имеет четыре компонента за- щиты: 1) файловый антивирус, обеспечивающий безопасность файлов; 2) почтовый антивирус; 3) веб-антивирус, контролирую- щий серфинг в Интернете; 4) проактивная защита – контроль ра- боты макросов и блокировка опасных макрокоманд.
В версии 7.0 представлена новая концепция тройной защиты: проверка баз по сигнатурам, проактивный и эвристический механизмы.
Антивирус компании ESET – NOD32 уже в течение
7 лет признается лучшим средством защиты от новых вирусов и атак благодаря мощному эвристическому ана- лизатору. Основные преимущества: высокий уровень за- щиты, низкая ресурсоемкость, высокая скорость работы.
Российская компания «Доктор Веб» является поставщиком антивирусных продуктов Doctor Web, эвристический анализатор которого в со- четании с ежедневно обновляющимися вирусными базами обес- печивает защиту от вирусов и макровирусов, «троянских про- грамм», почтового червя и других видов вредоносного про- граммного кода.
Одним из известных иностранных антивирусов в России является Norton
Antivirus компании Symantec. Он успешно борется с вирусами, троянскими компонентами и интернет-червями. Кроме Norton
Antivirus компания разработала и другие средства для защиты от угроз, распро- страняемых через Интернет.
Panda Antivirus 2007.
Большинство защитных продуктов полагаются на часто обновляемые локальные базы знаний. Технология Panda работает по другому принципу - большинство сигнатур злона- меренных кодов находятся в удаленной базе данных, которая обновляется в режиме реального времени. Новый антиспам
Panda также полагается на механизм коллективного разума, в котором есть необходимые дефиниции для сортировки писем.
57

В этой версии есть также система эвристического сканирования, предот- вращающая хищение персональных данных. Этот механизм особенно эффек- тивен в борьбе с банковскими троянами.
16
. Определение компонентов КСЗИ
16.1.
Требования к подсистемам ЗИ
Требования к подсистемам определяются в соответствии с документами
Гостехкомиссии России в зависимости от класса защищенности, определяемого минимальной совокупностью требований к защите информации.
Устанавливается девять классов защищенности АС от НСД к информа- ции. Классы подразделяются на три группы, отличающиеся особенностями об- работки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, сле- довательно, иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности для данной группы, обозначается индексом NA, где N – номер группы (от 1 до 3). Затем идет класс NБ и т. д.
Третья группа классифицирует АС, в которых работает один пользова- тель, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса: ЗБ и ЗА.
Вторая группа классифицирует АС, в которых пользователи имеют оди- наковые права доступа ко всей информации АС, обрабатываемой и/или храни- мой на носителях различного уровня конфиденциальности. Группа содержит два класса – 2Б и 2А.
Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа. Группа со- держит пять классов: 1Д, 1Г, 1В, 1Б и 1А.
В приведенной ниже таблице собраны требования ко всем 9-ти классам защищенности АС, где приняты следующие обозначения:
"- " – нет требований к данному классу;
"+" – есть требования к данному классу;
СЗИ НСД – система ЗИ от несанкционированного доступа.
Для правильного определения класса АС необходимо знать:
1) тип АС (одно- или многопользовательская);
58

2) права пользователей по допуску к информации (допуск ко всей/части информации);
3) размещение информации на носителях (одного/разного уровней кон- фиденциальности);
4) гриф секретности информации: Д – несекретно; Г – конфиденциально;
В – секретно; Б – совершенно секретно; А – особой важности.
Классы
Подсистемы и требования
3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов: в систему;
+ + + + + + +
+
+ к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ;
- - - + - + +
+
+ к программам;
- - - + - + +
+
+ к томам, каталогам, файлам, записям, полям записей
- - - + - + +
+
+
1.2.
Управление потоками информации
- - - + - - +
+
+

4.1.
ПС и обрабатываемой информации
+ + + + + + +
+
+
4.2. Физическая охрана СВТ и носителей информации
+ + + + + + +
+
+
4.3. Наличие администратора (службы) защиты инфор- мации в АС
- - - + - - +
+
+
4.4. Периодическое тестирование СЗИ НСД
+ + + + + + +
+
+
4.5. Наличие средств восстановления СЗИ НСД
+ + + + + + +
+
+
4.6. Использование сертифицированных средств защиты
- + - + - - +
+
+
Структура КСЗИ состоит из комплекса подсистем, защищающих ИС ор- ганизации на разных уровнях. Вне зависимости от вида деятельности и размера организации, базовыми подсистемами ИБ являются 4 подсистемы: управления доступом, регистрации и учета, обеспечения целостности и криптографическая.
Создание КСЗИ для конкретной организации в зависимости от класса за- щищенности, может потребовать разработки ряда дополнительных подсистем.
Ниже приведено описание требований к некоторым подсистемам
КСЗИ достаточно представительного класса защищенности - 1В. Этому классу соответствует минимум требований, которым необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации. Реальные АС ча- сто не соответствуют данному классу.
№
п/п Наименование подсистемы
Назначение
1
Управления доступом
Управление доступом к информацион- ным ресурсам
2
Регистрации и учета
Регистрация и учет действий пользовате- лей и процессов
3
Обеспечения целостности
Сохранение целостности и доступности информационных ресурсов
4
Криптографическая
Обеспечение конфиденциальности и аутентичности информации
5
Антивирусной защиты
Защита программ и данных от вирусов и вредоносных программ
6
Межсетевого экранирования
Контроль и фильтрации сетевых пакетов, защита сетей от НСД
7
Резервного копирования
Резервное копирование и восстановление информации
8
Обнаружения ипредотвраще- нияатак
Выявление и блокирование сетевых атак и подозрительных действий
60