Определение необходимости формирования политики безопасности

При автоматизации информационных процессов необходимо иметь четко сформулированную на основе законодательных и нормативно-руководящих документов политику информационной безопасности, которая должна реализовывать принятую в государстве концепцию обеспечения информационной безопасности и защиты информации. На базе национальной политики информационной безопасности формируется политика безопасности для конкретной критической системы управления и ее технологических участков, в том числе автоматизированных. Политика безопасности АС должна быть отражена в организационно-распорядительных документах, разрабатываемых при принятии решения на создание системы, а также на этапах ее проектирования, ввода в эксплуатацию и функционирования.

Исходными данными для формулирования политики безопасности АС являются:

- законы, указы и другие государственные законодательные акты, регулирующие правовые отношения в области информационной безопасности [9];

- руководящие, нормативные и методические документы, регламентирующие вопросы обеспечения безопасности информации, которые разрабатываются федеральными и ведомственными органами, входящими в систему защиты государственной тайны [7, 8];

- информационная архитектура конкретной ВСУ (формируется в ходе исследования организационно-штатной структуры существующей или создаваемой СУ с указанием подразделений, должностных лиц, выполняемых ими функциональных задач с классификацией их по грифам секретности и категориям (тематике) и т.д.);

- архитектура автоматизированного участка защищаемой СУ (формируется в ходе исследования состава и структуры существующей или в ходе проектирования создаваемой АС);

- варианты построения систем защиты информации (СЗИ) от НСД в АС;

- тактико-технические характеристики средств вычислительной техники (СВТ) и защиты информации.

Система защиты информации от НСД, которая создается для обеспечения безопасности информации в автоматизированных системах, должна реализовать необходимые и достаточные требования по защите информации от НСД, изложенные в государственных нормативно-руководящих документах. Состав требований по защите информации от НСД для конкретной АС формируется с учетом организационно-штатной структуры системы управления, характеристик решаемых задач и обрабатываемых данных, условий расположения, режимов функционирования и архитектуры комплекса технических средств обработки информации, в том числе средств вычислительной техники.

Основой для построения СЗИ от НСД в АС является формальная модель политики безопасности, которая представляет собой взаимосвязанную совокупность следующих элементов:

- множество защищаемых ресурсов информационной системы R={r_i}, r_i=(id_i, rp_i,), где id — идентификатор ресурса, rp — уровень безопасности;

- множество пользователей информационной системы U={u_j}, u_j=(id_j, ul_j), id — идентификатор пользователя, ul — уровень доступа;

- совокупность правил разграничения доступа пользователей к ресурсам информационной системы M=R´ U;

- совокупность правил поведения пользователей системы;

- множество источников угроз безопасности информации и соответствующих им угроз S={s_k}, s_k={t, p, d}, t — угроза безопасности, p — вероятность проявления угрозы, d — величина наносимого ущерба;

- множество механизмов защиты информации M={m_n, }, m_n=(f_n, c_n), f_n — реализуемая функция, c_n — стоимость реализации механизма;

- совокупность правил управления механизмами защиты и средствами их интеграции;

- совокупность оценок результатов применения механизмов защиты информации R_t=S´ M;

- множество мероприятий по поддержанию и восстановлению работоспособности информационной системы.

Упрощенную модель политики информационной безопасности можно сформировать в неформальном виде в результате выполнения комплекса мероприятий. Формулирование и разработка политики информационной безопасности проводится в два этапа.

На первом этапе высшими звеньями управления определяются общие требования к политике информационной безопасности. Соответствующие законодательные и исполнительные федеральные органы власти, а также высшие должностные лица заинтересованных ведомств и организаций определяют важность сведений, обрабатываемых в информационных системах, выделяют тематические разделы и информационные службы, которые нуждаются в особой защите с точки зрения обеспечения целостности, доступности и конфиденциальности информации. Решения принимаются на основе концепции национальной безопасности и доктрины информационной безопасности РФ [8, 9], национальных и ведомственных концепций защиты информации и законов, регулирующих правовые отношения в информационной сфере. Требования политики безопасности фиксируются в государственных и ведомственных системах нормативно-руководящих документов по защите информации.

В системе нормативно-руководящих документов, определяющих порядок формирования политики информационной безопасности, до настоящего времени отсутствует методология предъявления требований по безопасности и оценки защищенности информации от НСД, которая охватывала бы все направления защиты, как при использовании автоматизированных, так и традиционных технологий обработки информации. Поэтому используется первичная система нормативно-руководящих документов по защите информации от НСД в АС, разработанная ФСТЭК РФ [7], система нормативно-руководящих документов по защите информации с использованием криптографических средств защиты, разработанная ФСО, а также нормативно-руководящие документы министерств и ведомств.

На втором этапе разрабатывается политика безопасности и, соответствующая, модель разграничения доступа для конкретной АС, которые определяются начальниками учреждений, в интересах которых будет функционировать АС, с привлечением специалистов органов обеспечения безопасности информации, и согласуется с подрядчиками на разработку и производство защищенной АС.

Действие политики безопасности распространяется на объект информатизации (объект вычислительной техники), под которым здесь понимается автоматизированная информационная система или ее относительно функционально независимая часть, включающая в себя объединенные каким-либо образом компоненты, выполняющие функции по автоматизированной обработке информации в интересах подразделений и предоставляющие информационные услуги различного характера должностным лицам – пользователям.

Под пользователем понимается должностное лицо, которое самостоятельно обрабатывает информацию на средствах ВТ или в чьих интересах производится ее автоматизированная обработка.

Специальная комиссия определяет необходимость формирования политики информационной безопасности, исходя из наличия задач, которые предполагается решать в АС, и которые нуждаются в защите с точки зрения требований нормативно-руководящих документов, относящих информационные ресурсы системы к государственной, служебной или другим видам тайн и/или к определенным категориям информации ограниченного доступа. К таким ресурсам может быть отнесена информация, включенная в перечень сведений, подлежащих засекречиванию в РФ, или информация, доступ к которой ограничен требованиями законов, наставлений, руководств и других руководящих документов (например, сведения по шифрам, кадрам и т.п.).

При наличии информации ограниченного доступа принимается решение на создание системы защиты информации от НСД и определяются подразделения, информация которых наиболее критична. Для информации ограниченного доступа определяются грифы секретности и категории (тематики), соответствующие их важности с точки зрения защиты. В то же время определяются наиболее важные направления обеспечения безопасности информации в разных подразделениях, т.е. выделяются информационные компоненты, которые являются более зависимыми от нарушения их целостности и/или доступности и/или конфиденциальности.