Внедрение и использование защиты

 

Выбор основных решений по обеспечению ЗИ

 

Комплекс мер по обеспечению режима ЗИ должен быть рассмотрен на трех уровнях:

· административном (система поддержки руководством организации работ по обеспечению ЗИ);

· организационном (конкретные организационные мероприятия по обеспечению режима ЗИ);

· техническом (реализация механизмов защиты программно-техническими средствами).

·

Административный уровень обеспечения ЗИ

 

Должны быть выработаны:

· система поддержки руководством организации мероприятий по обеспечению ЗИ, выполнению правовых и договорных требований в области ЗИ;

· процедура доведения до сведения сотрудников основных положений концепции ЗИ, требования по обучению персонала правилам ЗИ;

· система контроля за реализацией принятых решений и ответственные должностные лица.

 

Организационный уровень обеспечения ЗИ

 

На организационном уровне должны быть рассмотрены:

· организационная структура службы, отвечающей за обеспечение режима ЗИ, распределение обязанностей;

· комплекс профилактических мер (предупреждение появления вирусов, предупреждение неумышленных действий, ведущих к нарушению ЗИ);

· организация доступа сотрудников сторонних организаций к ресурсам ИС;

· организация доступа пользователей и персонала к конкретным ресурсам ИС;

· политика по отношению к отдельным аспектам:

1. удаленный доступ в ИС,

2. использование открытых ресурсов,

3. использование не сертифицированного ПО и т.д.

 

Технический уровень обеспечения ЗИ

 

Рассматриваются программно-технические средства, реализующие заданные требования.

Если требования формулировались в терминах функций (сервисов) безопасности, рассматриваются механизмы безопасности и соответствующие им варианты программных и аппаратных реализаций.

Если требования формулировались по подсистемам ИС, рассматривается варианты программно-аппаратной реализации этих подсистем.

При рассмотрении различных вариантов рекомендуется учитывать следующие аспекты:

· управление доступом к информации и сервисам, включая требования к разделению обязанностей и ресурсов;

· регистрация значительных событий в журнале для целей повседневного контроля или специальных расследований;

· проверка и обеспечение целостности критически важных данных на всех стадиях их обработки;

· защита конфиденциальных данных от НСД, в том числе использование средств шифрования;

· резервное копирование критически важных данных;

· восстановление работы ИС после отказов, особенно для систем с повышенными требованиями к доступности;

· защита от внесения несанкционированных дополнений и изменений;

· обеспечение средств контроля, например, посредством использования программы для выборочного контроля и альтернативные варианты программного обеспечения для повторения критически важных вычислений.

 

Обеспечение ЗИ на стадиях проектирования ИС

 

На стадиях проектирования должны быть разработаны проектные решения, реализующие механизмы ЗИ. Проектные решения описываются в пояснительной записке к техническому проекту.

При этом должны быть рассмотрены решения по структуре и функционированию СЗИ:

· технические решения по структуре системы и подсистем, обеспечивающих режим ЗИ, уровни иерархии и система управления ЗИ;

· технические решения по режимам функционирования и диагностике состояний системы, обеспечивающей режим ЗИ;

· описание показателей, характеризующих качество системы, обеспечивающей режим ЗИ и методы их измерения

· перечень угроз ЗИ, для которых обеспечивается защита в рамках предлагаемого проектного решения;

· обоснование выбора технических средств, обеспечивающих режим ЗИ, функционирование в составе комплекса технических средств автоматизированной системы, в том числе в пусковом, нормальном и аварийном режимах;

· технические решения по программному обеспечению, относящиеся к обеспечению режима ЗИ

· технические решения по информационному обеспечению, относящиеся к обеспечению режима ЗИ (организация сбора и передачи данных).

· При подготовке ИС к вводу в действие" описываются:

· мероприятия по обучению персонала правилам поддержания режима ЗИ;

· мероприятия по изменению объекта автоматизации, связанные с обеспечением ЗИ;

· планирование восстановительных работ.

· вопросы выявления критически важных функций и систем;

· составление перечня возможных аварий;

· разработка защитных мероприятий;

· подготовка планов действий персонала на случай аварий.

 

Рабочая документация, относящаяся к СЗИ

 

На стадии разработки рабочей документации должны быть составлены:

· должностные инструкции персонала, регламентирующие вопросы доступа в помещения и к оборудованию, работу с носителями информации, доступ к информации;

· правила администрирования в ИС;

· правила работы пользователей в ИС;

· правила работы со сторонними организациями.

· план мероприятий по обеспечению режима ЗИ. В этом плане должны быть рассмотрены основные составляющие части комплексной системы защиты:

1. организация работы персонала;

2. физическая защита и контроль за соблюдением режима ЗИ;

3. организация доступа в многопользовательской системе;

4. поддержание работоспособности и обеспечение ЗИ в сетях;

5. планирование восстановительных работ.

 

Обеспечение ЗИ в процессе подготовки ИС к эксплуатации

 

В процессе подготовки к ИС эксплуатации должны быть решены вопросы обучения пользователей и персонала, организации физической защиты и контроля за соблюдением режима ЗИ, организации доступа пользователей к работе в ИС.

 

Организация обучения пользователей по вопросам обеспечения ЗИ.

 

В соответствии с утвержденными планами по обеспечению режима ЗИ, пользователи и обслуживающий персонал должны пройти обучение.

 

Организация физической защиты и контроль за соблюдением режима ЗИ

 

В процессе эксплуатации ИС должен быть организован контроль за:

· доступом в помещения;

· сохранением конфиденциальности;

· ведением журналов регистрации событий;

· организация доступа к носителями информации;

· доступом к документации по ИС.

 

Организация доступа в многопользовательской системе

 

При подготовке к эксплуатации должны быть рассмотрены вопросы доступа в ИС. Сюда относится следующая группа вопросов:

· регистрация пользователей;

· управление паролями пользователей;

· управление привилегиями;

· пересмотр прав доступа пользователей.

· управление привилегированным доступом для администрирования системы, в том числе системы ЗИ.

 

Обеспечение режима ЗИ при эксплуатации ИС

 

Поддержание режима ЗИ требует постоянного контроля за СЗИ. Основными направлениями являются контроль за работой пользователей, защита целостности данных и программ, управление доступом к приложениям.

Контроль за работой пользователей включает следующие аспекты:

· управление доступом к рабочим местам в ИС;

· контроль за использованием паролей;

· контроль за оборудованием, оставленным без присмотра;

· отслеживание времени простоя терминалов;

· ограничение доступа к сервисам.

В плане защиты целостности данных и программ от вредоносного программного обеспечения администраторы ИС и пользователи должны быть всегда готовы к возможности проникновения вредоносного программного обеспечения в ИС и принимать меры по обнаружению его внедрения и ликвидации последствий его атак.

Управление доступом к сервисам включает следующие аспекты:

· контроль за соблюдением правил использования электронной почты и электронного документооборота;

· управление доступом к приложениям и сервисам;

· контроль за использованием системных программ;

· изоляция уязвимых мест в защите ИС;

· отслеживание событий, представляющих угрозу ЗИ.

 

Содержание работ предпроектной стадии

 

Должны быть сформулированы требования к обеспечению режима ЗИ при реализации функций и задач проектируемой ИС:

· условия создания и функционирования системы,

· описание требований в области ЗИ,

· ограничения допустимых затрат на поддержание ЗИ.

Требования формулируются по задачам и функциям в терминах:

· доступности (период недоступности, время доступа, другие показатели, определяемые предметной областью);

· целостности (показатели надежности хранения, доставки);

· конфиденциальности (градации конфиденциальности или гриф секретности).

· На этапах изучение ИС как объекта защиты:

· выявляются основные угрозы (классы рисков), которым подвергаются информационные ресурсы,

· фиксируются правовые и договорные требования, которым должен удовлетворять режим ЗИ.

 

Разработка концепции ПИБ производится на основе анализа следующих групп факторов:

· правовые и договорные требования;

· требования к обеспечению режима ЗИ по функциям и задачам ИС;

· угрозы (классы рисков), которым подвергаются информационные ресурсы.

В результате анализа формулируются общие положения ЗИ, затрагивающие организацию в целом:

· цели и приоритеты, которые преследует организация в области ЗИ;

· общие направления в достижении этих целей;

· аспекты программы ЗИ, которые должны решаться на уровне организации в целом;

· должностные лица, ответственные за реализацию программы ЗИ.

Концепция политики ЗИ должна быть оформлена в виде отчета.

 

Обеспечение ЗИ в процессе подготовки к эксплуатации ИС

 

В процессе подготовки к эксплуатации ИС должны быть решены вопросы обучения пользователей и персонала, организации физической защиты и контроля за соблюдением режима ЗИ, организации доступа пользователей к работе в ИС.

Обучение пользователей и персонала

Пользователи и персонал должны быть обучены соблюдению режима ЗИ, правильному обращению с информационными ресурсами. Они должны знать об угрозах нарушения режима ЗИ и иметь необходимые навыки для работы в ИС. Рекомендуется утвердить права и ограничения на доступ пользователям в письменной форме.

 

Организация физической защиты и контроля за соблюдением режима ЗИ

 

Должны быть рассмотрены следующие вопросы.

Контроль доступа в помещения

Контроль доступа в помещения и общие меры по защите оборудования являются составной частью мер по обеспечению ЗИ. Оборудование, критически важные или уязвимые элементы системы, должны быть размещены в защищенных областях, ограниченных периметром безопасности, с надлежащим контролем доступа в помещения. Для уменьшения риска несанкционированного доступа или повреждения документации и носителей информации, рекомендуется задать правила использования рабочего стола.

 

Обеспечение конфиденциальности

 

Пользователи информационных ресурсов организации должны подписать обязательство о сохранении конфиденциальности (неразглашении). Особое внимание следует уделить процедуре предоставления доступа к информационным ресурсам пользователям из сторонних организаций. Для этого должны быть разработаны специальные правила.

 

Журналы регистрации событий

 

Необходимо подготовить журнал регистрации выполняемых заданий, который будут вести операторы ИС. Этот журнал должен включать:

· время запуска и останова систем;

· системные ошибки, сбои и предпринятые меры.

 

Обеспечение защиты документации по ИС

 

Документация по ИС может содержать описание прикладных процессов, структур данных и процессов подтверждения полномочий. В этом случае она должна быть защищена от несанкционированного доступа. Рекомендуется применять следующие средства контроля:

· список лиц с правом доступа к документации должен быть максимально ограничен, а разрешение на ее использование должно выдаваться владельцем приложения;

· печатные материалы, создаваемые в процессе работы ИС и относящиеся к документации, следует хранить отдельно от прочих материалов и распространять на них правила ограничения доступа.

 

Доступ к носителями информации и их защита

 

Необходимо организовать контроль доступа к носителям информации и обеспечить их физическую защиту. Для доступа к носителями информации с конфиденциальной информацией необходимо иметь утвержденные правила. При организации системы доступа следует учитывать следующее:

· система идентификации носителей должна быть такова, чтобы по меткам, используемым для идентификации носителей, нельзя было определить, какая информация хранится;

· необходимо своевременно стирать содержимое повторно используемых носителей информации, если они больше не нужны

· вынос носителей информации из хранилища необходимо фиксировать в контрольном журнале;

· хранение всех носителей информации в надежном, защищенном месте в соответствии с инструкциями.

Все процедуры и уровни полномочий должны быть задокументированы.

 

Организация работы персонала

 

Должностные инструкции персонала

Для персонала, допущенного к работе в ИС, должны существовать должностные инструкции, в которых устанавливаются обязанности и ответственность за обеспечение информационной безопасность в соответствии с принятой политикой информационной безопасности.

В инструкциях необходимо отразить как общую ответственность за проведение в жизнь или поддержку политики безопасности, так и конкретные обязанности по защите определенных ресурсов или ответственность за выполнение определенных процедур или действий по защите. При разработке инструкций рекомендуется учитывать следующие аспекты.

 

Работа с носителями информации

 

Должны быть подготовлены инструкции по работе со всеми носителями конфиденциальных данных: документов, магнитных лент, дисков, отчетов, и др. Предлагается рассмотреть следующие пункты:

· правила работы с носителями информации и их маркировка;

· регистрация получателей данных, имеющих соответствующие полномочия;

· обеспечение полноты входных данных;

· подтверждение получения переданных данных (по необходимости);

· предоставление доступа к данных минимальному числу лиц;

· маркировка всех копий данных для получателя, имеющего соответствующие полномочия;

· своевременное обновление списков получателей с правом доступа к данным.

 

Уничтожение носителей информации

 

В организации должны существовать инструкции по уничтожению носителей информации. Предлагаются следующие рекомендации:

Носители данных, содержащих конфиденциальную информацию, необходимо уничтожать посредством их сжигания или измельчения (для бумажных носителей), или стирать (для магнитных носителей) при повторном использовании.

Для идентификации носителей данных, которые могут потребовать уничтожения, предлагается использовать специальные идентификаторы.

В некоторых случаях будет проще уничтожать все ненужные носители данных, чем пытаться выделить из них носители, на которых записана конфиденциальная информация.

Каждый случай удаления носителей конфиденциальной информации необходимо (по возможности) регистрировать в контрольном журнале.

При накоплении информации, подлежащей удалению, следует учитывать, что зачастую большое количество несекретной информации содержит более важную информацию, чем малое количество секретной информации.

 

Администрирование ИС

 

Администратор ИС должен обеспечивать надежную работу ИС и соответствие требованиям информационной безопасности.

Обязанности администратора ИС и процедуры по администрированию должны быть изложены в должностной инструкции.

Должны быть описаны инструкции по выполнению каждого задания, в том числе:

· допустимые процедуры оперирования с файлами данных;

· требования к планированию выполнения заданий;

· инструкции по обработке ошибок и других исключительных ситуаций, которые могут возникнуть во время выполнения заданий, в том числе ограничения на использование системных утилит;

· обращение за помощью в случае возникновения технических и других проблем, связанных с эксплуатацией ИС;

· порядок получения выходных данных и обеспечение их конфиденциальности, включая процедуры надежного удаления выходной информации от в случае сбоев заданий;

· процедуры перезапуска и восстановления работоспособности систем, используемые в случае их отказа.

Должны быть подготовлены инструкции для работ по обслуживанию систем, связанных с администрированием ИС, в том числе процедуры запуска и останова ИС, резервное копирование данных, техническое обслуживание оборудования.

 

Работа с представителями сторонних организаций

 

Привлечение представителей сторонних организаций к работе в ИС может привести к дополнительному риску нарушения режима информационной безопасности.

Необходимо заблаговременно выявить такой риск и принять меры по его уменьшению. Следует рассмотреть следующие вопросы:

· выявить особо уязвимые или критически важные приложения, вынос которых за пределы организации нежелателен;

· получать санкции на использование приложений от их владельцев;

· в инструкциях должны быть описаны правила работы с представителями сторонних организаций, проверка соблюдения требований информационной безопасности.

 

Установка и внедрение средств защиты

 

В большинстве случаев СЗИ устанавливаются на уже реально функционирующую ИС. Так как защищаемая ИС используется для решения важных задач, часто в непрерывном технологическом цикле, ее владельцы и пользователи неодобрительно относятся к любому, даже кратковременному, перерыву в ее работе, необходимому для установки и настройки СЗИ.

Следует учитывать, что с первого раза правильно настроить систему защиты не представляется возможным. Обычно это связано с отсутствием в организации полного детального списка всех аппаратных, программных и информационных ресурсов системы, подлежащих защите, и готового непротиворечивого перечня прав доступа и полномочий каждого пользователя ИС. Поэтому этап внедрения СЗИ обязательно включает действия по первоначальному выявлению, последовательному уточнению и соответствующему изменению настроек устанавливаемой СЗИ.

Очевидно, что те же самые действия администратору безопасности придется неоднократно повторять и на этапе эксплуатации СЗИ при изменениях состава технических средств, программного обеспечения, пользователей и т.д. Такие изменения происходят довольно часто, поэтому средства управления СЗИ должны обеспечивать удобство осуществления необходимых при этом настроек СЗИ.

В том случае, если средства управления СЗИ не приспособлены к этому, а сама СЗИ не обладает достаточной гибкостью, то очень скоро СЗИ становится не помощником, а обузой для всех, и в первую очередь для администраторов безопасности, и в конце концов такая СЗИ обречена на отторжение.

Необходим ряд дополнительных механизмов, облегчающих установку и внедрение СЗИ, а именно:

· специальные механизмы, позволяющие автоматизировать деятельность администратора безопасности по типовой установке и тиражированию значений параметров СЗИ с эталонной станции на все рабочие станции данного типа;

· специальные режимы "мягкого" функционирования СЗИ. Эти режимы позволяют устанавливать СЗИ на ИС в организациях, у которых первоначально отсутствует детальный перечень прав пользователей по доступу к ресурсам. Они позволяют выявлять некорректные настройки средств защиты (и затем производить их корректировку) без нарушения работоспособности ИС. Помогает "мягкий" режим и при формировании списков программ, разрешенных для запуска конкретным пользователям (при создании замкнутой программной среды), позволяя накапливать в системных журналах необходимые сведения для их корректировки.