 |
Сущность и задачи комплексной системы защиты информации (КСЗИ); принципы организации и этапы разработки КСЗИ; факторы, влияющие на организацию КСЗИ
|
|
|
|
| Сущность и задачи КСЗИ |
| При создании корпоративных информационных систем в условиях современного рынка неизбежно возникает вопрос о защищенности и устойчивости этих систем к угрозам информационной безопасности. Дадим определение «информационная безопасность». Информационная безопасность – состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. При проектировании систем защиты информации важно учитывать глобальность и разнородность современных корпоративных сетей. Многообразие технологических и организационных решений заставляет рассматривать создание системы обеспечения информационной безопасности как комплексную задачу по обеспечению информационной безопасности информационной системы в целом. Безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм – комплексную систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий. Дадим определение КСЗИ. КСЗИ – это совокупность организационных, правовых, инженерно-технических мероприятий, направленных на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа (определение из федерального закона). С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть: – непрерывной; – плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации); – целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд; – конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб; – активной; – надежной; – универсальной; – комплексной. Для защиты информации должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. |
Принципы организации КСЗИ:
|
|
|
1) Параллельность разработки компьютерной системы (КС) и СЗИ. Только в этом случае возможно эффективно обеспечить реализацию всех остальных принципов. Причем в процессе разработки защищенных КС должен соблюдаться разумный компромисс между созданием встроенных неразделимых механизмов защиты и блочных унифицированных средств и процедур защиты.
2) Системность. Этот принцип предполагает:
– анализ всех возможных угроз безопасности информации (получение данных обо всех угрозах, вероятность которых не очень близка к нулю);
– обеспечение защиты на всех жизненных циклах КС (т.е. на этапах разработки, производства, эксплуатации и модернизации, а также по всей цепочке ввода, обработки, передачи, хранения и выдачи информации);
– защиту информации во всех звеньях КС (механизмы защиты должны быть взаимоувязаны по месту, времени и характеру действия);
– комплексное использование механизмов защиты (оптимальное сочетание технических, программных, криптографических, организационных и правовых механизмов защиты).
|
|
|
3) Многоуровневость (несколько уровней, перекрывающих друг друга, принцип матрешки). Например для отдельного объекта КС можно выделить 6 уровней: охрана по периметру территории объекта, охрана по периметру здания, охрана помещения, защита аппаратных средств, защита программных средств, защита информации.
4) Иерархическое построение (т.е. централизованное управление). Объясняется необходимостью проведения единой политики в области безопасности информационных ресурсов. Для этого должны быть предусмотрены специальные средства дистанционного контроля, распределения ключей, разграничения доступа и т.д.
5) Блочная архитектура (использование унифицированных стандартных блоков). Упрощается разработка, отладка, контроль, модернизация, эксплуатация системы, допускается параллельность разработки блоков.
6) Возможность развития КСЗИ. 2 направления: увеличение числа пользователей, наращивание возможностей сети по мере совершенствования информационных технологий. Для этого предусматривается определенный запас ресурсов по сравнению с потребностями на момент разработки. На практике он исчерпывается уже на момент ввода в эксплуатацию. Поэтому необходимо предусмотреть возможность модернизации системы.
7) Дружественный интерфейс. КСЗИ должна быть максимально автоматизирована, не должна требовать от пользователя выполнять значительный объем действий, связанных с СЗИ, не должна создавать ограничений в выполнении пользователем своих обязанностей. Должны быть предусмотрены меры снятия защиты с отказавших устройств для восстановления их работоспособности.
| Этапы разработка КСЗИ |
| При создании КСЗИ в КС предлагается следующий порядок работ: 1) Обследование информационно-коммуникационной системы, категорирование информационных ресурсов и разработка концепции информационной безопасност и. Т.е. необходим глубокий и детальный анализ структура объекта защиты и условий его функционирования, а также категории обрабатываемой информации. На этом этапе изучается технология обработки данных, принятая в организации и разрабатываются документы, необходимые для регламентации процесса работы пользователя в КС, в которых представляется: – описание технологии обработки данных, – описание угроз с оценкой вероятности их появления и возможного ущерба, – порядок взаимодействия подразделений организации для обеспечения безопасности, – рекомендации по совершенствованию системы защиты, – организационно-распорядительные документы, регламентирующие деятельность пользователей и обслуживающего персонала КС. По результатам обследования разрабатывается концепция информационной безопасности. Донный документ определяет общую систему взглядов в организации на проблему защиты информации и пути решения этой проблемы с учетом накопленного опыта и современных тенденций развития средств и способов защиты. 2) Создание службы защиты информации. Служба защиты информации в структуре организации функционирует как специальное подразделение, обеспечивающее разработку правил эксплуатации КС, определяющее полномочия пользователей по доступу к ресурсам системы, осуществляющее административную поддержку КСЗИ (настройку, контроль и оперативное реагирование на сигналы о нарушениях правил доступа, анализ журналов регистрации событий и т.д.). 3) Формирование политики безопасности и разработка организационно-распорядительных документов. Политика безопасности КС является частью общей политики безопасности организации. Для каждой КС политика безопасности информации является уникальной. Она должна содержать следующие положения: – организационные меры по обеспечению безопасности; – классификация и принципы управления информационными ресурсами; – безопасность персонала; – физическая безопасность; – перечень составляющих информационной безопасности; – управление коммуникациями и процессами; – контроль доступа; – разработка и техническая поддержка вычислительных систем. 4) Разработка технологии защиты и определение требований к составу средств защиты. На этом этапе производится: – интеграция в единый комплекс разнородных средств и механизмов защиты и централизованное администрирование механизмов защиты; – определение уровней доступа объектов, прав доступа пользователей к объектам КС и правил разграничения доступа; – формирование правил реагирования на угрозы информационным ресурсам; – оперативное оповещение администратора безопасности о попытках нарушения политики безопасности; – регистрация действий пользователей в защищенных журналах для последующего анализа; – мониторинг состояния защищенности информационных ресурсов; – контроль целостности программно-технической среды КС. 5) Выбор, приобретение, установка и настройка средств защиты. 6) Обучение персонала работе со средствами защиты и правилам организационного обеспечения безопасности. 7) (Проведение государственной экспертизы КСЗИ) и ввод ее в эксплуатацию. Перед вводом в эксплуатацию необходимо проведение опытной эксплуатации КСЗИ в следующем порядке: – опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации; – разработка программы и методики приемо-сдаточных испытаний; – приемо-сдаточные испытания. По результатам приемо-сдаточных испытаний система вводится в эксплуатацию. 8) Эксплуатация системы. 9) Постоянный мониторинг состояния защищенности информационных ресурсов и выработка предложений по ее совершенствованию. Подразумевается периодический пересмотр следующих положение политики безопасности: – эффективность политики, определяемый по характеру, числу и воздействию зарегистрированных инцидентов, касающихся безопасности; – стоимости средств обеспечения безопасности на показатели эффективности функционирования КС; – влияние изменений на безопасность технологии |
|
|
|
|
|
|
| Факторы, влияющие на организацию КСЗИ |
| Выделим 5 групп факторов, влияющих на организацию КСЗИ: 1) Характер обрабатываемой информации: степень секретности, объем информации, интенсивность обработки; 2) Архитектура автоматизированной систем обработки данных (АСОД): геометрические размеры, территориальная распределенность, структурированность компонент; 3) Условия функционирования АСОД: расположенность в населенном пункте, расположенность на территории предприятия, обустроенность; 4) Технология обработки информации: масштаб, стабильность, доступность, структурированность; 5) Организация работы АСОД: общая постановка дела, комплектование кадрами, уровень подготовки и воспитания кадров, уровень дисциплины. Каждый из этих факторов получает оценку Qk по 4-хуровневой лингвистической шкале (низкий <0.25, средний <0.5, высокий <0.75, очень высокий <1). Для каждой группы факторов вводится следующие коэффициенты: – коэффициент значимости – вес группы Ri (0…1), – значимость (вес) каждого фактора в группе – Sij (0…1), В итоге получаем результирующий вес каждого фактора: Ri×Sij×Qijk = (0…1). Сумма весов по всем факторам W=∑Ri×Sij×Qijk дает меру сложности объекта защиты. Требуемый уровень защищенности – P рассчитывается по графику: От требуемого Р зависит уровень требований к СЗИ. 1 – слабая защита (P≤0.5) 2 – средняя (0.5 – 0.75) 3 – сильная (0,75 – 0,875) 4 – очень сильная (0,875 – 0,94) 5 – особая (Р>0.94) Системы слабой защиты – обеспечивается минимальная защита в пределах возможностей серийных средств обработки информации и общедоступных организационно-правовых мер. Системы средней защиты – защита достигается путем добавления серийных средств и общедоступных организационных мер, некоторыми средствами регулирования и разграничения доступа. Системы сильной защиты – защита обеспечивается комплексным применением широкого спектра средств защиты и строгой организации процессов обработки информации. Системы очень сильной защиты – защита достигается соблюдением 3-х условий: – наличие развитой и высокоорганизованной СЗИ; – строжайшая организация процессов жизнедеятельности объектов ЗИ; – непрерывное управление системой защиты. Системы особой защиты – кроме вышеописанного требуется создание СЗИ по индивидуальному проекту и реализация мандатной системы доступа. |
|
|
|
|
|
|
