Определение компонентов КСЗИ, условий функционирования КСЗИ; разработка модели КСЗИ; технологическое и организационное построение КСЗИ; виды обеспечения КСЗИ
Определение компонентов КСЗИ
Для того, чтобы обеспечить безопасность объекта необходимо определить все возможные факторы угрозы. Исходя из этого, оптимизируя меры защиты, комплексная система безопасности проектируется из необходимых компонентов.
К компонентам КСЗИ относятся:
1) Система охранного видеонаблюдения.
Система охранного видеонаблюдения – является важным компонентом комплексной системы безопасности. При помощи видеокамер системы охранного видеонаблюдения сотрудники охраны осуществляют визуальный контроль территории и периметра охраняемого объекта на мониторах, находящихся в комнате охраны. Визуально возможно контролировать такие факторы угрозы как: очаг возгорания, несанкционированное проникновение, отслеживать ситуацию в служебных помещениях и торговых залах. Для удобства наблюдения в некоторых случаях оправдана установка камер, оборудованных поворотными устройствами и пультами управления – телеметрией. Сотрудник, наблюдающий за изображением на мониторе должен иметь возможность оперативно связаться с сотрудниками, производящими обход территории, поэтому необходима система качественной служебной радиосвязи. Также необходимо вести видеозапись охраняемой территории и обеспечить хранение записанного видеоматериала в течении некоторого времени.
2) Охранно-пожарная сигнализация.
Датчики (извещатели) системы охранно-пожарной сигнализации сообщают об определённых событиях, таких как: открытие или закрытие двери, рамы окна, заслонки в технологическом оборудовании, разбитие стекла, изменение объёма помещения, несанкционированное передвижение, пожар, утечка жидкости или газа и т.д. Дополнительно возможна установка системы оповещения, сигнализирующей о событии при помощи сирены, светового сигнала, речевых сообщений, а также при помощи формирования и передачи SMS сообщения. В случае пожара система автоматического пожаротушения приступает к тушению очага возгорания. Активизировать систему пожаротушения можно также и не дожидаясь автоматического срабатывания. Передача сигнала с датчиков может производиться, в том числе и по радиоканалу, но существуют способы подавления радиоканалов, поэтому организация радиоканальной системы охранно-пожарной сигнализации не желательна. Охранная сигнализация может использоваться совместно с системой контроля и управления доступом для обеспечения доступа на объект персонала или лицам, чей доступ на объект санкционирован. Охранная сигнализация, настроенная на задержку по времени, даст возможность ввести код или использовать цифровой ключ. По истечению времени, если не был введён код или использован цифровой ключ, система сигнализирует о проникновении.
3) Системы контроля и управления доступом
Система контроля и управления доступом предназначена для того, чтобы санкционировать доступ тем или иным лицам в то или иное помещение автоматически или при помощи управления с пульта охраны. В состав системы контроля и управления доступом входят запирающие устройства, турникеты, системы контроля и идентификации персонала, домофоны вызывные панели, металлодетекторы. Для более эффективного контроля и управления доступом, разработаны специальные программные комплексы, автоматизирующие этот процесс и позволяющие для каждого человека в отдельности задавать время, количество посещений и другие параметры доступа, а также вести развёрнутую базу данных. В таких комплексах используются также стационарные металлодетекторы, позволяющие предотвратить пронос различных предметов в составе которых присутствуют металлы даже в самых малых объёмах, в том числе и магнитных носителей, поэтому они могут также считаться одним из средств по защите информации.
4) Защита информации
Защита информации подразумевает такие действия как: защита телефонных линий, защита сети питания, обнаружение средств негласного съёма информации, виброаккустическая защита, подавление диктофонов и сотовых телефонов, предотвращение промышленного шпионажа, аудиомониторинг.
К этой же группе относится зашита информации в компьютерных системах, которая включает в себя: управление учетными записями и правами доступа, криптографическая защита, межсетевое экранирование, защита от вредоносного кода и нежелательной корреспонденции, обнаружение и предотвращение вторжений, обеспечение непрерывности функционирования средств защиты информации.
5) Инженерная защита объекта
Инженерная защита объекта включает в себя усиление конструкций стен, крыш, ограждений, установка решёток на окна, ограничение доступа на участки охраняемого объекта, охрана которых по каким либо причинам затруднена. Облицовка горючих поверхностей трудновоспламеняемыми материалами является противопожарной инженерной защитой объекта.
Определение условий функционирования КСЗИ
Условия функционирования КСЗИ вытекают из условий функционирования предприятия, в рамках которого создается КСЗИ.
Для нормального функционирования КСЗИ необходимо обеспечение ряда условий. Прежде всего, это касается обеспечения гарантированного электропитания. Очевидно, что работы подавляющего большинства технических средств защиты необходима электрическая энергия. Поэтому одной из основных задач при проектировании КСЗИ является обеспечение бесперебойного питания средств защиты информации (т.е. должны быть предусмотрены резервные источники электрической энергии).
Следующим важным условием является регламентация действий по эксплуатации системы. Это условие необходимо, прежде всего, для того, чтобы обеспечить правильную эксплуатацию средств защиты. Подразумевается, что эксплуатация системы производится квалифицированным персоналом в установленном порядке и в соответствии с данными полномочиями. Так же должен быть предусмотрен порядок действий в случае выхода системы из строя или возникновения других внештатных ситуаций.
Корректная работа системы возможна только при условии наличия квалифицированного персонала. Причем персонал должен быть ознакомлен с особенностями работы системы конкретно на данном предприятии, т.е. необходимо начальное обучение в конкретных условиях эксплуатации.
Прежде чем вводить комплекс средств защиты в окончательную эксплуатацию необходимо проведение опытной эксплуатации. Как правило, во время опытной эксплуатации выявляются уязвимые места и недостатки в работе системы, так называемые остаточные риски.
Далее проводятся работы по устранению, а если это не возможно, то по снижению уровня остаточных рисков.
После ввода в эксплуатацию СЗИ должна быть адаптивной к изменяющимся условия функционирования. Для этого должна быть предусмотрена возможность модификации (видоизменения) системы.
Разработка модели КСЗИ
Практика показывает, что для анализа значительного набора источников, объектов и действий, угрожающих безопасности ИС целесообразно использовать методы моделирования, при которых формируется «заменитель» реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она проще. Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности. Компонентами модели безопасности информации могут быть следующие:
– объекты угроз (что защищаем);
– угрозы;
– источники угроз;
– цели угроз со стороны злоумышленников;
– источники информации;
– способы неправомерного овладения конфиденциальной информацией (способы доступа);
– направления защиты информации;
– способы защиты информации (как защищаем);
– средства защиты информации (чем защищаем).
Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов). Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности. Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства. Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности. Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и смешанными программно-аппаратными средствами. В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу
Применительно к людям строится модель нарушителя, т.е. определяются все возможные их типы с подробной характеристикой. Нарушителями могут быть профессионалы, хулиганы, сотрудники предприятия и т.д. При этом необходимо учитывать, что человеческие угрозы – это необязательно преднамеренные действия. Сюда могут входить просчеты при проектировании и разработке компонентов системы, ошибки эксплуатации, абсолютно случайные происшествия.
Технологическое и организационное построение КСЗИ
Технологическое и организационное построение КСЗИ – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
При этом подразумевается претворение в жизнь следующих мероприятий:
– организация режима и охраны;
– работу с кадрами;
– работа с документами;
– использование технических средств безопасности;
– информационно-аналитическую деятельность по выявлению внутренних и внешних угроз.
Организация режима и охраны. Цели:
– исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
– обеспечение удобства контроля прохода и перемещения сотрудников и посетителей;
– создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа;
– контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы;
– организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;
Работа с кадрами – предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
Работа с документами – учет, исполнение, возврат, хранение и уничтожение;
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.
Специфической областью организационных мер является организация защиты ПЭВМ, информационных систем и сетей. Организационные средства защиты ПЭВМ и информационных сетей применяются:
– при проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы;
– при подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за нарушение правил защиты и др.;
– при хранении и использовании документов и других носителей;
– при соблюдении надежного пропускного режима к техническим средствам, к ПЭВМ и информационным системам при сменной работе;
– при внесении изменений в программное обеспечение;
– при подготовке и контроле работы пользователей.
Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.
Очевидно, что организационные мероприятия должны четко планироваться, направляться и осуществляться какой-то организационной структурой, укомплектованным соответствующими специалистами по безопасности и защите информации.
Зачастую таким структурным подразделением является служба безопасности предприятия.
Функции СБ:
– организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации;
– обеспечение пропускного и внутриобъектного режима;
– руководство работами по правовому и организационному регулированию отношений по защите информации;
– изучение всех сторон производственной, коммерческой, финансовой и другой деятельности для выявления и последующего противодействия любым попыткам нанесения ущерба, ведения учета и анализа нарушений режима безопасности, накопление и анализ данных о злоумышленниках;
– организация и проведение служебных расследований;
– разработка, ведение, обновление и пополнение «Перечня сведений конфиденциального характера» и других нормативных актов, регламентирующих порядок обеспечения безопасности и защиты информации;
– обеспечение проведения всех необходимых мероприятий по пресечению попыток нанесения морального и материального ущерба со стороны внутренних и внешних угроз;
– поддержание контактов с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе (зоне) и оказания взаимной помощи в кризисных ситуациях.
Служба безопасности является самостоятельной организационной единицей предприятия, подчиняющейся непосредственно руководителю предприятия. Возглавляет службу безопасности начальник службы в должности заместителя руководителя предприятия по безопасности. Организационно служба безопасности состоит из следующих структурных единиц:
Виды обеспечения КСЗИ
Кадровое обеспечение функционирования КСЗИ
Количественный состав и структура службы защиты информации определяется после завершения разработки КСЗИ.
Имея полный перечень организационных мероприятий защиты и зная их характеристики, можно определить в общих чертах организационно-штатную структуру службы защиты информации. Организационно-штатная структура уточняется в процессе анализа степени автоматизации системы защиты, а так же режимов функционирования КС. При этом решается вопрос распределения обязанностей по эксплуатации средств СЗИ между обслуживающим персоналом и должностными лицами службы безопасности.
Особенности технической структуры КСЗИ и КС, а так же режимов их функционирования влияют на количество рабочих мест. При высокой степени автоматизации выполнения функций защиты число операторов КСЗИ может быть минимальным. При круглосуточном режиме работы число операторов КСЗИ соответственно увеличивается. В небольших организациях, использующих защищенные КС, функции обеспечения защиты информации и технической эксплуатации могут выполнятся одним должностным лицом, например, администратором ЛВС.
Организационно-штатную структура определяет перечень должностей, подчиненность подразделения и должностных лиц подразделения. Каждому должностному лицу определяются его права и обязанности в соответствии с занимаемой должностью.
Эффективность функционирования КСЗИ во многом определяется уровнем руководства всем процессом защиты информации.
При отборе специалистов для работы в службу безопасности информации, кроме деловых качеств, необходимо учитывать и морально-психологические данные кандидатов. Каждый специалист должен приобрести знания и навыки в эксплуатации механизмов защиты.
Специалисты подразделения и пользователи должны быть обучены работе в защищенных КС. Перед получением допуска необходимо проводить тестирование сотрудников.
Материально-техническое и нормативно-методическое обеспечение функционирования КСЗИ
Материально-техническое обеспечение КСЗИ проводится после разработки технологии защиты и определения требований к составу средств защиты. При этом составляется смета на необходимые средства защиты, которая заверяется руководителями службы безопасности и предприятия. Выбор тех или иных средств защиты должен быть обоснован и экономически оправдан. Не имеет смысла тратить на средства защиты информации больше, чем стоит сама информация. Оценка стоимость информации – одна из наиболее сложных задач при построении систем информационной безопасности. Обычно оцениваются потери в случае нанесения определенного ущерба информации или потери ее конфиденциальности.
Материально-техническое обеспечение КСЗИ кроме приобретения средств защиты подразумевает проведение ряда мероприятий, а именно – монтаж, установку и настройку средств защиты информации.
ИС должна быть защищена путем внедрения продуманных правил безопасности. Для ИС целесообразно внедрение правил, основанных на получении полномочий. Пользователи, не обладающие соответствующими полномочиями не должны получать доступ к охраняемой информации. Кроме того, необходимо применение дискриминационных методов управления, обеспечивающих доступ данных только некоторых пользователей или групп пользователей.
Нормативные документы, определяющие правила безопасности должны удовлетворять следующим требованиям:
– соответствовать структуре, целям и задачам ИС;
– описывать общую программу обеспечения безопасности сети, включая вопросы эксплуатации и усовершенствования;
– перечислять возможные угрозы информации и каналы утечки;
– перечислять рекомендуемые защитные меры;
– определять ответственных за внедрение и эксплуатацию всех средств защиты;
– определять права и обязанности пользователей;
– содержать перечень и классификация возможных кризисных ситуаций;
– определять порядок разрешения споров в случае возникновения конфликтов.
