Политика Информационной Безопасности.
1. Общие положения
Настоящая Политика информационной безопасности (далее – Политика) определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач, а также организационных, технологических и процедурных аспектов обеспечения безопасности информации объектов информационной инфраструктуры, включающих совокупность информационных центров, банков данных и систем связи организации. Настоящая Политика разработана с учетом требований действующего законодательства РФ и ближайших перспектив развития объектов информационной инфраструктуры, а также характеристик и возможностей современных организационно-технических методов и аппаратно-программных средств защиты информации.
Основные положения и требования Политики распространяются на все структурные подразделения организации.
Политика является методологической основой для формирования и проведения единой политики в области обеспечения безопасности информации объектов информационной инфраструктуры, принятия согласованных управленческих решений и разработки практических мер, направленных на обеспечение информационной безопасности, координации деятельности структурных подразделений организации при проведении работ по созданию, развитию и эксплуатации объектов информационной инфраструктуры с соблюдением требований по обеспечению безопасности информации.
Политика не регламентирует вопросы организации охраны помещений и обеспечения сохранности и физической целостности компонентов информационной инфраструктуры, защиты от стихийных бедствий, и сбоев в системе энергоснабжения, однако предполагает построение системы информационной безопасности на тех же концептуальных основах, что и система безопасности организации в целом.
Реализация политики обеспечивается соответствующими руководствами, положениями, порядками, инструкциями, методическими указаниями и системой оценки информационной безопасности в организации.
В Политике используются следующие термины и определения:
Автоматизированная система (АС) — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Информационная инфраструктура — система организационных структур, обеспечивающих функционирование и развитие информационного пространства и средств информационного взаимодействия. Информационная инфраструктура включает совокупность информационных центров, банков данных и знаний, систем связи, обеспечивает доступ потребителей к информационным ресурсам.
Информационные ресурсы (ИР) – это отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, базах данных и других информационных системах).
Информационная система (ИС) — система обработки информации и соответствующие организационные ресурсы (человеческие, технические, финансовые и т. д.), которые обеспечивают и распространяют информацию.
Безопасность — состояние защищенности интересов (целей) организации в условиях угроз.
Информационная безопасность (ИБ) — безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств ИБ — доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей) организации.
Доступность информационных активов — свойство ИБ организации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы.
Целостность информационных активов — свойство ИБ организации сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах.
Конфиденциальность информационных активов — свойство ИБ организации, состоящее в том, что обработка, хранение и передача информационных активов осуществляется таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.
Система информационной безопасности (СИБ) — совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.
Несанкционированный доступ – доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации или получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.
2. Общие требования по обеспечению информационной безопасности
Требования информационной безопасности (далее — ИБ) определяют содержание и цели деятельности организации в рамках процессов управления ИБ.
Эти требования формулируются для следующих областей:
- назначение и распределение ролей и доверия к персоналу;
- стадий жизненного цикла объектов информационной инфраструктуры;
- защиты от несанкционированного доступа (далее — НСД), управления доступом и регистрацией в автоматизированных системах, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.;
- антивирусной защиты;
- использования ресурсов Интернет;
- использования средств криптографической защиты информации;
- защиты персональных данных.
3. Объекты, подлежащие защите
Основными объектами, подлежащими защите, являются:
- информационные ресурсы, представленные в виде документов и массивов информации, вне зависимости от формы и вида их представления, включающие в том числе конфиденциальную и открытую информацию;
- система формирования, распространения и использования информационных ресурсов, библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, технический и обслуживающий персонал;
- информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены компоненты информационной инфраструктуры.
3.1. Особенности Автоматизированной системы
В АС циркулирует информация разных категорий. Защищаемая информация может быть совместно использована различными пользователями из различных подсетей единой корпоративной сети.
В ряде подсистем АС предусмотрено взаимодействие с внешними (государственными и коммерческими, российскими и зарубежными) организациями по коммутируемым и выделенным каналам связи с использованием специальных средств передачи информации.
Комплекс технических средств АС включает средства обработки данных (рабочие станции, серверы БД, почтовые серверы и т.п.), средства обмена данными в локальных вычислительных сетях с возможностью выхода в глобальные сети (кабельная система, мосты, шлюзы, модемы и т.д.), а также средства хранения (в т.ч. архивирования) данных.
К основным особенностям функционирования АС относятся:
- необходимость объединения в единую систему большого количества разнообразных технических средств обработки и передачи информации;
- большое разнообразие решаемых задач и типов, обрабатываемых данных;
- объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности;
- наличие каналов подключения к внешним сетям;
- непрерывность функционирования;
- наличие подсистем с различными требованиями по уровням защищенности, физически объединенных в единую сеть;
- разнообразие категорий пользователей и обслуживающего персонала.
В общем виде, единая АС представляет собой совокупность локальных вычислительных сетей подразделений, объединенных между собой средствами телекоммуникаций. Каждая локальная вычислительная сеть объединяет ряд взаимосвязанных и взаимодействующих автоматизированных подсистем (технологических участков), обеспечивающих решение задач отдельными структурными подразделениями организации.
Объекты информатизации включают:
- технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование);
- информационные ресурсы;
- программные средства (операционные системы, системы управления базами данных, общесистемное и прикладное программное обеспечение);
- автоматизированные системы связи и передачи данных (средства телекоммуникации);
- каналы связи;
- служебные помещения.
3.2. Типы информационных активов организации, подлежащих защите
В подсистемах АС организации циркулирует информация различных уровней конфиденциальности, содержащая сведения ограниченного распространения (служебная, коммерческая, персональные данные) и открытые сведения.
В документообороте АС присутствуют:
- платежные поручения и финансовые документы;
- отчеты (финансовые, аналитические и др.);
- сведения о лицевых счетах;
- персональные данные;
- другая информация ограниченного распространения.
Защите подлежит вся информация, циркулирующая в АС и содержащаяся в следующих типах информационных активов:
- сведения, составляющие коммерческую и служебную тайну, доступ к которым ограничен организацией, как собственником информации, в соответствии с предоставленными Федеральным законом «Об информации, информатизации и защите информации» правами и Федеральным законом «О коммерческой тайне»;
- персональные данные, доступ к которым ограничен в соответствии с Федеральным законом «О персональных данных»;
- открытые сведения, в части обеспечения целостности и доступности информации.
3.3. Категории пользователей Автоматизированной системы
В организации имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным ресурсам АС:
- простые пользователи (конечные пользователи, работники подразделений организации);
- администраторы серверов (файловых серверов, серверов приложений, серверов баз данных), локальных вычислительных сетей и прикладных систем;
- системные программисты (ответственные за сопровождение общего программного обеспечения) на серверах и рабочих станциях пользователей;
- разработчики прикладного программного обеспечения;
- специалисты по обслуживанию технических средств вычислительной техники;
- администраторы информационной безопасности и др.
3.4. Уязвимость основных компонентов Автоматизированной системы
Наиболее уязвимыми компонентами АС являются сетевые рабочие станции – автоматизированные рабочие места (далее – АРМ) работников. С АРМ работников могут быть предприняты попытки несанкционированного доступа к информации или попытки несанкционированных действий (непреднамеренных и умышленных) в компьютерной сети. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем.
В особой защите нуждаются такие элементы сетей как выделенные файловые серверы, серверы баз данных и серверы приложений. Недостатки протоколов обмена и средств разграничения доступа к ресурсам серверов могут дать возможность несанкционированного доступа к защищаемой информации и оказания влияния на работу различных подсистем. При этом могут предприниматься попытки как удаленного (со станций сети), так и непосредственного (с консоли сервера) воздействия на работу серверов и их средств защиты.
Мосты, шлюзы, концентраторы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными.
4. Основные принципы обеспечения информационной безопасности
4.1. Общие принципы безопасного функционирования
- Своевременность обнаружения проблем. Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на его бизнес-цели.
- Прогнозируемость развития проблем. Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.
- Оценка влияния проблем на бизнес-цели. Организация должна адекватно оценивать степень влияния выявленных проблем.
- Адекватность защитных мер. Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.
- Эффективность защитных мер. Организация должна эффективно реализовывать принятые защитные меры.
- Использование опыта при принятии и реализации решений. Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.
- Непрерывность принципов безопасного функционирования. Организация должна обеспечивать непрерывность реализации принципов безопасного функционирования.
- Контролируемость защитных мер. Организация должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации.
4.2. Специальные принципы обеспечения информационной безопасности
- Реализация специальных принципов обеспечения ИБ направлена на повышение уровня зрелости процессов управления ИБ в организации.
- Определенность целей. Функциональные цели и цели ИБ организации должны быть явно определены во внутреннем документе. Неопределенность приводит к “расплывчатости” организационной структуры, ролей персонала, политик ИБ и невозможности оценки адекватности принятых защитных мер.
- Знание своих клиентов и работников. Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (работников), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами.
- Персонификация и адекватное разделение ролей и ответственности. Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться и осуществляться преимущественно в форме поручительства. Она должна быть адекватной степени влияния на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться.
- Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки.
- Доступность услуг и сервисов. Организация должна обеспечить для своих клиентов и контрагентов доступность услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и/или иными документами.
- Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно, наблюдаем (прозрачен) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.
5. Цели и задачи обеспечения информации безопасности
5.1. Субъекты информационных отношений в Автоматизированной системе
Субъектами правоотношений при использовании АС и обеспечении безопасности информации являются:
- Организация как собственник информационных ресурсов;
- подразделения организации, обеспечивающие эксплуатацию АС;
- работники структурных подразделений организации, как пользователи и поставщики информации в АС в соответствии с возложенными на них функциями;
- юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в АС;
- другие юридические и физические лица, задействованные в процессе создания и функционирования АС (разработчики компонент системы, организации, привлекаемые для оказания различных услуг в области информационных технологий и др.).
Перечисленные субъекты информационных отношений заинтересованы в обеспечении:
- конфиденциальности определенной части информации;
- достоверности (полноты, точности, адекватности, целостности) информации;
- защиты от навязывания ложной (недостоверной, искаженной) информации;
- своевременного доступа к необходимой информации;
- разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;
- возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;
- защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.).
5.2. Цель обеспечения безопасности информации
Основной целью обеспечения безопасности информации является защита субъектов информационных отношений от возможного нанесения им материального, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования АС или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.
Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки:
- доступности обрабатываемой информации для зарегистрированных пользователей;
- конфиденциальности определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи;
- целостности и аутентичности информации, хранимой, обрабатываемой и передаваемой по каналам связи.
5.3. Задачи обеспечения безопасности информации
Для достижения основной цели обеспечения безопасности информации система информационной безопасности АС должна обеспечивать эффективное решение следующих задач:
- защиту от вмешательства в процесс функционирования АС посторонних лиц;
- разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС, то есть защиту от несанкционированного доступа;
- регистрацию действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений безопасности;
- защиту от несанкционированной модификации и контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;
- защиту от несанкционированной модификации и контроль целостности используемых в АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
- защиту информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
- защиту информации, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;
- обеспечение аутентификации пользователей, участвующих в информационном обмене;
- обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;
- своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
- создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации.
5.4. Пути решения задач обеспечения безопасности информации
Решение задач обеспечения безопасности информации достигается:
- строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, АРМ);
- регламентацией процессов обработки информации и действий работников структурных подразделений организации, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, на основе организационно-распорядительных документов по вопросам обеспечения безопасности информации;
- полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
- назначением и подготовкой работников, ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации;
- наделением каждого работника минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам АС;
- четким знанием и строгим соблюдением всеми работниками, использующими и обслуживающими аппаратные и программные средства АС, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
- персональной ответственностью за свои действия каждого работника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;
- реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;
- принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов АС;
- применением технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
- разграничением потоков информации и запрещением передачи информации ограниченного распространения по незащищенным каналам связи;
- эффективным контролем за соблюдением работниками требований по обеспечению безопасности информации;
- постоянным мониторингом сетевых ресурсов, выявлением уязвимостей, своевременным обнаружением и нейтрализацией внешних и внутренних угроз безопасности компьютерной сети;
- юридической защитой интересов организации от противоправных действий в области информационной безопасности.
- проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в АС.
6.Угрозы безопасности информации
6.1. Угрозы безопасности информации и их источники
Наиболее опасными угрозами безопасности информации, обрабатываемой в АС, являются:
- нарушение конфиденциальности (разглашение, утечка) сведений, составляющих служебную или коммерческую тайну, в том числе персональных данных;
- нарушение работоспособности (дезорганизация работы) АС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
- нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов АС.
Основными источниками угроз безопасности информации АС являются:
- неблагоприятные события природного и техногенного характера;
- террористы, криминальные элементы;
- компьютерные злоумышленники, осуществляющие целенаправленные деструктивные воздействия, в том числе использование компьютерных вирусов и других типов вредоносных кодов и атак;
- поставщики программно-технических средств, расходных материалов, услуг и т.п.;
- подрядчики, осуществляющие монтаж, пусконаладочные работы оборудования и его ремонт;
- несоответствие требованиям надзорных и регулирующих органов, действующему законодательству;
- сбои, отказы, разрушения/повреждения программных и технических средств;
- работники, являющиеся легальными участниками процессов в АС и действующие вне рамок предоставленных полномочий;
- работники, являющиеся легальными участниками процессов в АС и действующие в рамках предоставленных полномочий.
6.2. Непреднамеренные действия, приводящие к нарушению информационной безопасности, и меры по их предотвращению
Работники организации, имеющие непосредственный доступ к процессам обработки информации в АС, являются потенциальным источником непреднамеренных случайных действий, которые могут привести к нарушению информационной безопасности.
Основные непреднамеренные действия, приводящие к нарушению информационной безопасности (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по предотвращению подобных действий и минимизации наносимого ими ущерба приведены в Таблице 1.
Таблица 1
Основные действия, приводящие к нарушению информационной безопасности | Меры по предотвращению угроз и минимизации ущерба |
Действия работников, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств; отключению оборудования или изменение режимов работы устройств и программ; разрушению информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение программ или файлов с важной информацией, в том числе системных, повреждение каналов связи, неумышленная порча носителей информации и т.п.) | Организационные меры (регламентация действий, введение запретов). Применение физических средств, препятствующих неумышленному совершению нарушения. Применение технических (аппаратно-программных) средств разграничения доступа к ресурсам. Резервирование критичных ресурсов. |
Несанкционированный запуск программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.) | Организационные меры (удаление всех потенциально опасных программ с АРМ). Применение технических (аппаратно-программных) средств разграничения доступа к программам на АРМ. |
Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения работниками своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п.) | Организационные меры (введение запретов). Применение технических (аппаратно-программных) средств, препятствующих несанкционированному внедрению и использованию неучтенных программ. |
Непреднамеренное заражение компьютера вирусами | Организационные меры (регламентация действий, введение запретов). Технологические меры (применение специальных программ обнаружения и уничтожения вирусов). Применение аппаратно-программных средств, препятствующих заражению компьютерными вирусами. |
Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования или ЭП, идентификационных карточек, пропусков и т.п.) | Организационные меры (регламентация действий, введение запретов, усиление ответственности). Применение физических средств обеспечения сохранности указанных реквизитов. |
Игнорирование организационных ограничений (установленных правил) при работе в системе | Организационные меры (усиление ответственности и контроля). Использование дополнительных физических и технических средств защиты. |
Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом подразделения безопасности | Организационные меры (обучение персонала, усиление ответственности и контроля). |
Ввод ошибочных данных | Организационные меры (усиление ответственности и контроля). Технологические меры контроля за ошибками операторов ввода данных. |
6.3. Умышленные действия по нарушению информационной безопасности и меры по их предотвращению
Основные умышленные действия (с корыстными целями, по принуждению, из желания отомстить и т.п.), приводящие к нарушению информационной безопасности АС, и меры по их предотвращению и снижению возможного наносимого ущерба приведены в Таблице 2.
Таблица 2
Основные умышленные действия, приводящие к нарушению информационной безопасности | Меры по предотвращению угроз и минимизации ущерба |
Физическое разрушение или вывод из строя всех или отдельных наиболее важных компонентов автоматизированной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.), отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, линий связи и т.п.) | Организационные меры (регламентация действий, введение запретов). Применение физических средств, препятствующих умышленному совершению нарушения. Резервирование критичных ресурсов. |
Внедрение агентов в число персонала системы (в том числе, в административную группу, отвечающую за безопасность), вербовка (путем подкупа, шантажа, угроз и т.п.) пользователей, имеющих определенные полномочия по доступу к защищаемым ресурсам | Организационные меры (подбор, расстановка и работа с кадрами, усиление контроля и ответственности). Автоматическая регистрация действий персонала. |
Хищение носителей информации (распечаток, магнитных дисков, лент, запоминающих устройств и целых ПЭВМ), хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.) | Организационные меры (организация хранения и использования носителей с защищаемой информацией). |
Несанкционированное копирование носителей информации, чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств | Организационные меры (организация хранения и использования носителей с защищаемой информацией). Применение технических средств разграничения доступа к защищаемым ресурсам и автоматической регистрации получения твердых копий документов. |
Незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы программными закладками и т.д.) с последующей маскировкой под зарегистрированного пользователя. | Организационные меры (регламентация действий, введение запретов, работа с кадрами). Применение технических средств, препятствующих внедрению программ перехвата паролей, ключей и других реквизитов. |
Несанкционированное использование АРМ пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п. | Организационные меры (строгая регламентация доступа в помещения и допуска к работам на данных АРМ). Применение физических и технических средств разграничения доступа. |
Несанкционированная модификация программного обеспечения – внедрение программных «закладок» и «вирусов» («троянских коней» и «жучков»), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи защищаемой информации или дезорганизации функционирования системы | Организационные меры (строгая регламентация допуска к работам). Применение физических и технических средств разграничения доступа и препятствующих несанкционированной модификации аппаратно-программной конфигурации АРМ. Применение средств контроля целостности программ. |
Перехват данных, передаваемых по каналам связи, их анализ с целью получения конфиденциальной информации и выяснения протоколов обмена, правил вхождения в сеть и авторизации пользователей, с последующими попытками их имитации для проникновения в систему | Физическая защита каналов связи. Применение средств криптографической защиты передаваемой информации. |
Вмешательство в процесс функционирования системы из сетей общего пользования с целью несанкционированной модификации данных, доступа к конфиденциальной информации, дезорганизации работы подсистем и т.п. | Организационные меры (регламентация подключения и работы в сетях общего пользования). Применение специальных технических средств защиты (межсетевых экранов, средств контроля защищенности и обнаружения атак на ресурсы системы и т.п.). |
6.4. Утечка информации по техническим каналам
При эксплуатации технических средств АС возможны следующие каналы утечки или нарушения целостности информации, нарушения работоспособности технических средств:
- побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;
- наводки информативного сигнала, обрабатываемого на средствах электронно-вычислительной техники, на провода и линии, выходящие за пределы контролируемой зоны офисов, в т.ч. на цепи заземления и электропитания;
- различные электронные устройства перехвата информации (в т.ч. «закладки»), подключенные к каналам связи или техническим средствам обработки информации;
- просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
- воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств защиты информации и своевременности информационного обмена, в том числе электромагнитное, через специально внедренные электронные и программные средства («закладки»).
С учетом специфики обработки и обеспечения безопасности информации угрозы утечки конфиденциальной информации (в том числе персональных данных) по техническим каналам являются для организации неактуальными.
6.5. Неформальная модель вероятного нарушителя
Нарушитель — это лицо, которое предприняло попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.
Система защиты АС должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др.):
- «Неопытный (невнимательный) пользователь» – работник, который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам АС с превышением своих полномочий, ввода некорректных данных и т.п. действия по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только штатные (доступные ему) аппаратные и программные средства.
- «Любитель» — работник, пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса». Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей и т.п. других пользователей), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции) программы (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств). Помимо этого, он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты), самостоятельно разработанные программы или стандартные дополнительные технические средства.
- «Мошенник» – работник, который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему) аппаратные и программные средства от своего имени или от имени другого работника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п.).
- «Внешний нарушитель (злоумышленник)» — постороннее лицо или бывший работник, действующий целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор способов нарушения безопасности информации, методов и средств взлома систем защиты, характерных для сетей общего пользования (в особенности сетей на основе IP-протокола), включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети АС организации.
- «Внутренний злоумышленник» — работник, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести, возможно в сговоре с лицами, не являющимися работниками организации. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий как изнутри, так и из сетей общего пользования.
Внутренним нарушителем может быть лицо из следующих категорий персонала:
- зарегистрированные конечные пользователи АС (работники подразделений и филиалов);
- работники, не допущенные к работе с АС;
- персонал, обслуживающий технические средства АС (инженеры, техники);
- работники подразделений разработки и сопровождения программного обеспечения (прикладные и системные программисты);
- технический персонал, обслуживающий здания и помещения организации (уборщицы, электрики, сантехники и другие работники, имеющие доступ в здания и помещения, где расположены компоненты АС);
- руководители различных уровней.
Категории лиц, которые могут быть внешними нарушителями:
- уволенные работники;
- представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго- , водо- , теплоснабжения и т.п.);
- представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.;
- члены преступных организаций и конкурирующих коммерческих структур или лица, действующие по их заданию;
- лица, случайно или умышленно проникшие в сети из внешних сетей («хакеры»).
Пользователи и обслуживающий персонал из числа работников имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации. Действия этой группы нарушителей напрямую связаны с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами.
Уволенные работники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа.
Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность работников организации всеми доступными им силами и средствами.
Хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в АС. Наибольшую угрозу они представляют при взаимодействии с работающими или уволенными работниками и криминальными структурами.
Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Криминальные структуры могут использовать эти организации для временного устройства на работу своих членов с целью доступа к защищаемой информации.
7. Техническая политика в области обеспечения безопасности информации
7.1. Основные положения технической политики
Реализация технической политики в области обеспечения безопасности информации должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение), а отдельные разрабатываемые элементы АС должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных) средств и организационных мероприятий.
Основными направлениями реализации технической политики обеспечения безопасности информации АС является обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения или подделки за счет несанкционированного доступа и специальных воздействий.
В рамках указанных направлений технической политики обеспечения безопасности информации осуществляются:
- реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации конфиденциального характера;
- ограничение доступа исполнителей и посторонних лиц в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация конфиденциального характера, непосредственно к самим средствам информатизации и коммуникациям;
- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки и защиты информации в подсистемах различного уровня и назначения, входящих в АС;
- учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
- предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок;
- криптографическая защита информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
- надежное хранение машинных носителей информации, криптографических ключей (ключевой информации) и их обращение, исключающее хищение, подмену и уничтожение;
- необходимое резервирование технических средств и дублирование массивов и носителей информации;
- снижение уровня и информативности побочных излучений и наводок, создаваемых различными элементами автоматизированных подсистем;
- электрическая развязка цепей питания, заземления и других цепей объектов информатизации, выходящих за пределы контролируемой зоны;
- противодействие оптическим и лазерным средствам наблюдения.
7.2. Формирование режима безопасности информации
С учетом выявленных угроз безопасности АС режим безопасности информации должен формироваться как совокупность способов и мер защиты циркулирующей в АС информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации.
Комплекс мер по формированию режима безопасности информации включает:
- установление в АС организационно-правового режима безопасности информации (нормативные документы, работа с персоналом, делопроизводство);
- выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам;
- организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа) к информационным ресурсам АС;
- комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного распространения после случайных или преднамеренных воздействий.
8. Меры, методы и средства обеспечения безопасности информации
8.1. Организационные меры
Организационные меры — это меры организационного характера, регламентирующие процессы функционирования АС, использование их ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности и снизить размер ущерба в случае их реализации.
8.1.1. Формирование политики безопасности
Главная цель организационных мер — сформировать политику в области обеспечения безопасности информации, отражающую подходы к защите информации, и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
С практической точки зрения политику в области обеспечения безопасности АС целесообразно разбить на два уровня. К верхнему уровню относятся решения, затрагивающие деятельность организации в целом. Примером таких решений могут быть:
- формирование или пересмотр комплексной программы обеспечения безопасности информации, определение ответственных за ее реализацию;
- формулирование целей, постановка задач, определение направлений деятельности в области безопасности информации;
- принятие решений по вопросам реализации программы безопасности, которые рассматриваются на уровне организации в целом;
- обеспечение нормативной (правовой) базы вопросов безопасности и т.п.
Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач безопасности информации и детализирует (регламентирует) эти правила:
- какова область применения политики безопасности информации;
- каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности информации;
- кто имеет права доступа к информации ограниченного распространения;
- кто и при каких условиях может читать и модифицировать информацию и т.д.
Политика нижнего уровня должна:
- предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных информационных ресурсов;
- определять коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к информации ограниченного распространения;
- выбирать программные и аппаратные средства криптографической защиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.
8.1.2. Регламентация доступа к техническим средствам
Эксплуатация защищенных АРМ и серверов Банка должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящимися под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (АРМ, документов, реквизитов доступа и т.п.). Размещение и установка технических средств таких АРМ должна исключать возможность визуального просмотра вводимой (выводимой) информации лицами, не имеющими к ней отношения. Уборка помещений с установленным в них оборудованием должна производиться в присутствии ответственного, за которым закреплены данные технические средства, или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.
В помещениях во время обработки информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией.
По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану.
Для хранения служебных документов и машинных носителей с защищаемой информацией работники обеспечиваются металлическими шкафами, а также средствами уничтожения документов.
Технические средства, которые используются для обработки или хранения конфиденциальной информации должны опечатываться.
8.1.3. Регламентация допуска работников к использованию информационных ресурсов
В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях; система разграничения доступа, которая предполагает определение для всех пользователей АС информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.
Допуск работников к работе с АС и доступ к их ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком.
Основными пользователями информации в АС являются работники структурных подразделений организации. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:
- открытая и конфиденциальная информация размещаются по возможности на различных серверах;
- каждый работник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями;
- начальник имеет права на просмотр информации своих подчиненных;
- наиболее ответственные технологические операции должны производиться по правилу «в две руки» — правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.
Все работники, допущенные к работе в АС и обслуживающий персонал АС, должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи, находящихся в их распоряжении защищаемых ресурсов системы. Каждый работник при приеме на работу должен подписывать Обязательство о соблюдении требований по сохранению конфиденциальной информации и ответственности за их нарушение, а также о выполнении правил работы с защищаемой информацией в АС.
Обработка защищаемой информации в подсистемах АС должна производиться в соответствии с утвержденными технологическими инструкциями (порядками) для данных подсистем.
Для пользователей, защищенных АРМ должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению безопасности информации.
8.1.4. Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов
Все операции по ведению баз данных в АС и допуск работников к работе с этими базами данных должны быть строго регламентированы. Любые изменения состава и полномочий пользователей баз данных АС должны производиться установленным порядком.
Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на работников Департамента информационных технологий. При этом могут использоваться как штатные, так и дополнительные средства защиты СУБД и операционных систем.
8.1.5. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов
Подлежащие защите ресурсы системы (задачи, программы, АРМ) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных).
Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация или с которых возможен доступ к защищаемым ресурсам, должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей. Все неиспользуемые в работе (лишние) устройства ввода-вывода информации (COM, USB, LPT порты, дисководы НГМД, CD и другие носители информации) на таких АРМ должны быть отключены (удалены), ненужные для работы программные средства и данные с дисков АРМ также должны быть удалены.
Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами).
Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств, существующих АРМ в АС организации должны осуществляться только установленным порядком.
Все программное обеспечение (разработанное специалистами организации, полученное или приобретенной у фирм-производителей) должно установленным порядком проходить испытания и передаваться в депозитарий программ организации. В подсистемах АС должны устанавливаться и использоваться только полученные установленным порядком из депозитария программные средства. Использование в АС программного обеспечения, не учтенного в депозитарии программ, должно быть запрещено.
Разработка программного обеспечения, проведение испытаний разработанного и приобретенного программного обеспечения, передача программного обеспечения в эксплуатацию должна осуществляться в соответствии с установленным порядком.
8.1.6. Подготовка и обучение пользователей
До предоставления доступа к АС ее пользователи, а также руководящий и обслуживающий персонал должны быть ознакомлены с перечнем конфиденциальной информации и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки такой информации.
Защита информации по всем перечисленным направлениям возможна только после выработки у пользователей определенной дисциплины, т.е. норм, обязательных для исполнения всеми, кто работает в АС. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу АС, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей.
Все работники, использующие при работе конкретные подсистемы АС, должны быть ознакомлены с организационно-распорядительными документами по защите АС в части, их касающейся, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться руководителями подразделений под подпись.
8.1.7. Ответственность за нарушение требований информационной безопасности
По каждому серьезному нарушению требований информационной безопасности работниками организации должно проводиться служебное расследование. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами.
Для реализации принципа персональной ответственности пользователей за свои действия необходимы:
- индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора, на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа;
- проверка подлинности пользователей (аутентификация) на основе паролей, ключей на различной физической основе и т.п.;
- регистрация (протоколирование) работы механизмов контроля доступа к ресурсам информационных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата;
- реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д.).
8.2. Технические средства защиты
Технические (аппаратно-программные) средства защиты — различные электронные устройства и специальные программы, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическую защиту информации и т.д.).
С учетом всех требований и принципов обеспечения безопасности информации в АС по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:
- средства аутентификации пользователей и элементов АС (терминалов, задач, элементов баз данных и т.п.), соответствующих степени конфиденциальности информации и обрабатываемых данных;
- средства разграничения доступа к данным;
- средства криптографической защиты информации в линиях передачи данных и в базах данных;
- средства регистрации обращения и контроля за использованием защищаемой информации;
- средства реагирования на обнаруженный НСД или попытки НСД;
- средства снижения уровня и информативности побочных излучений и наводок;
- средства защиты от оптических средств наблюдения;
- средства защиты от вирусов и вредоносных программ;
- средства электрической развязки как элементов АС, так и конструктивных элементов помещений, в которых размещается оборудование.
На технические средства защиты от НСД возлагается решение следующих основных задач:
- идентификация и аутентификации пользователей при помощи имен и/или специальных аппаратных средств (Touch Memory, Smart Card и т.п.);
- регламентация доступа пользователей к физическим устройствам рабочих станций (дискам, портам ввода-вывода);
- избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам;
- полномочное (мандатное) разграничение доступа к защищаемым данным на рабочей станции и на файловом сервере;
- создание замкнутой программной среды разрешенных для запуска программ, расположенных как на локальных, так и на сетевых дисках;
- защита от проникновения компьютерных вирусов и вредоносных программ;
- контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора;
- регистрация действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
- защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети;
- централизованное управление настройками средств разграничения доступа на рабочих станциях сети;
- регистрация всех событий НСД, происходящих на рабочих станциях;
- оперативный контроль за работой пользователей сети, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости) любой станции сети.
Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными мерами и используемыми физическими средствами защиты:
- физическая целостность всех компонент АС обеспечена;
- каждый работник (пользователь системы) имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;
- использование на рабочих станциях инструментальных и технологических программ (тестовых утилит, отладчиков и т.п.), позволяющих предпринять попытки взлома или обхода средств защиты, ограничено и строго регламентировано;
- в защищенной системе нет программирующих пользователей, а разработка и отладка программ осуществляется за пределами защищенной системы;
- все изменения конфигурации технических и программных средств производятся строго установленным порядком;
- сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних (специальные помещениях, шкафах, и т.п.);
- службой информационной безопасности осуществляется непрерывное управление и административная поддержка функционирования средств защиты информации.
8.2.1. Средства идентификации и аутентификации пользователей
В целях предотвращения доступа в АС посторонних лиц необходимо обеспечить возможность распознавания системой каждого законного пользователя (или ограниченных групп пользователей). Для этого в системе (в защищенном месте) должен храниться ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости — и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе. Кроме того, для идентификации могут применяться различного рода устройства: магнитные карточки, ключевые вставки, дискеты и т.п.
Аутентификация (подтверждение подлинности) пользователей должна осуществляться на основе использования паролей (секретных слов) или специальных средств аутентификации проверки уникальных характеристик (параметров) пользователей.
8.2.2. Средства разграничения доступа к ресурсам Автоматизированной системы
После распознавания пользователя система должна осуществлять авторизацию пользователя, то есть определять, какие права предоставлены пользователю, т.е. какие данные и как он может использовать, какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. Авторизация пользователя должна осуществляется с использованием следующих механизмов реализации разграничения доступа:
- механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;
- механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;
- механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для запуска программ), поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему.
Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.
Технические средства разграничения доступа должны быть составной частью единой системы контроля доступа:
- на контролируемую территорию;
- в отдельные помещения;
- к элементам АС и элементам системы защиты информации (физический доступ);
- к ресурсам АС (программно-математический доступ);
- к информационным хранилищам (носителям информации, томам, файлам, наборам данных, архивам, справкам, записям и т.д.);
- к активным ресурсам (прикладным программам, задачам, формам запросов и т.п.);
- к операционной системе, системным программам и программам защиты и т.п.
8.2.3. Средства обеспечения и контроля целостности программных и информационных ресурсов
Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:
- средствами подсчета контрольных сумм;
- средствами электронной подписи;
- средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);
- средствами разграничения доступа (запрет доступа с правами модификации или удаления).
В целях защиты информации и программ от несанкционированного уничтожения или искажения необходимо обеспечить:
- дублирование системных таблиц и данных;
- дуплексирование и зеркальное отображение данных на дисках;
- отслеживание транзакций;
- периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей;
- антивирусная защита и контроль;
- резервное копирование данных по заранее установленной схеме.
8.2.4. Средства контроля событий безопасности
Средства контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства контроля должны предоставлять возможности:
- постоянного контроля ключевых узлов сети и сетеобразующего коммуникационного оборудования, а также сетевой активности в ключевых сегментах сети;
- контроля использования пользователями корпоративных и публичных сетевых сервисов;
- ведения и анализа журналов регистрации событий безопасности;
- своевременным обнаружением внешних и внутренних угроз информационной безопасности.
При регистрации событий безопасности в системном журнале должна фиксироваться следующая информация:
- дата и время события;
- идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;
- действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).
Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:
- вход пользователя в систему;
- вход пользователя в сеть;
- неудачная попытка входа в систему или сеть (неправильный ввод пароля);
- подключение к файловому серверу;
- запуск программы;
- завершение программы;
- попытка запуска программы, недоступной для запуска;
- попытка получения доступа к недоступному каталогу;
- попытка чтения/записи информации с диска, недоступного пользователю;
- попытка запуска программы с диска, недоступного пользователю;
- нарушение целостности программ и данных системы защиты и др.
Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности):
- извещение владельца информации о НСД к его данным;
- снятие программы (задания) с дальнейшего выполнения;
- извещение администратора баз данных и администратора безопасности;
- отключение терминала (рабочей станции), с которого были осуществлены попытки НСД к информации или неправомерные действия в сети;
- исключение нарушителя из списка зарегистрированных пользователей;
- подача сигнала тревоги и др.
8.2.5. Криптографические средства защиты информации
Одним из важнейших элементов системы обеспечения безопасности информации АС должно быть использование криптографических методов и средств защиты информации от несанкционированного доступа при ее передаче по каналам связи и хранении на машинных носителях информации.
Все средства криптографической защиты информации в АС должны строиться на основе базисного криптографического ядра. На право использования криптографических средств информации организация должна иметь установленные законодательством лицензии.
Ключевая система применяемых в АС средств криптографической защиты должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.
Конфиденциальность и имитозащита информации при ее передаче по каналам связи должна обеспечиваться за счет применения в системе средств абонентского и канального шифрования. Сочетание абонентского и канального шифрования информации должно обеспечивать ее сквозную защиту по всему тракту прохождения, защищать информацию в случае ее ошибочной переадресации за счет сбоев и неисправностей аппаратно-программных средств центров коммутации.
В АС, являющейся системой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений. При этом должны использоваться стандартизованные алгоритмы электронной подписи.
8.3. Управление системой обеспечения безопасности информации
Управление системой обеспечения безопасности информации в АС представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические) с целью достижения требуемых показателей и норм защищенности циркулирующей в АС информации в условиях реализации основных угроз безопасности.
Главной целью организации управления системой обеспечения безопасности информации является повышение надежности защиты информации в процессе ее обработки, хранения и передачи.
Управление системой обеспечения безопасности информации реализуется специализированной подсистемой управления, представляющей собой совокупность органов управления, технических, программных и криптографических средств, а также организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней.
Функциями подсистемы управления являются: информационная, управляющая и вспомогательная.
Информационная функция заключается в непрерывном контроле состояния системы защиты, проверке соответствия показателей защищенности допустимым значениям и немедленном информировании операторов безопасности о возникающих в АС ситуациях, способных привести к нарушению безопасности информации. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты, которая обобщается и передается на вышестоящие пункты управления.
Управляющая функция заключается в формировании планов реализации технологических операций АС с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков АС, на которых возникают угрозы безопасности информации. К управляющим функциям относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, приемка включаемых в программную среду АС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического процесса обработки конфиденциальной информации возлагается на работников департамента информационных технологий и департамента экономической безопасности.
К вспомогательным функциям подсистемы управления относятся учет всех операций, выполняемых в АС с защищаемой информацией, формирование отчетных документов и сбор статистических данных с целью анализа и выявления потенциальных каналов утечки информации.
8.4. Контроль эффективности системы защиты
Контроль эффективности системы защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.
Оценка эффективности мер защиты информации проводится с использованием организационных, технических и программных средств контроля на предмет соответствия установленным требованиям.
Контроль может осуществляться как с помощью штатных средств системы защиты информации, так и с помощью специальных средств контроля и технологического мониторинга.
8.5. Особенности обеспечения информационной безопасности персональных данных
Классификация персональных данных проводится в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных.
Рекомендуется выделять следующие категории персональных данных:
- персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных” к специальным категориям персональных данных;
- персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных” к биометрическим персональным данным;
- персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным;
- персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных” к общедоступным или обезличенным персональным данным.
Передача персональных данных третьему лицу должна осуществляться на основании Федерального закона или согласия субъекта персональных данных. В том случае, если организация поручает обработку персональных данных третьему лицу на основании договора, существенным условием такого договора является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Организация должна прекратить обработку персональных данных и уничтожить собранные персональные данные, если иное не установлено законодательством РФ, в сроки, установленные законодательством РФ в следующих случаях:
- по достижении целей обработки или при утрате необходимости в их достижении;
- по требованию субъекта персональных данных или Уполномоченного органа по защите прав субъектов персональных данных — если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством РФ;
- при невозможности устранения оператором допущенных нарушений при обработке персональных данных.
В организации должны быть определены и документально зафиксированы:
- порядок уничтожения персональных данных (в том числе и материальных носителей персональных данных);
- порядок обработки обращений субъектов персональных данных (или их законных представителей) по вопросам обработки их персональных данных;
- порядок действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных;
- подход к отнесению АС к информационным системам персональных данных (далее — ИСПДн);
- перечень ИСПДн. В перечень ИСПДн должны быть включены АС, целью создания и использования которых является обработка персональных данных.
Для каждой ИСПДн должны быть определены и документально зафиксированы:
- цель обработки персональных данных;
- объем и содержание обрабатываемых персональных данных;
- перечень действий с персональными данными и способы их обработки.
Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать целям обработки. В том случае, если для выполнения информационного технологического процесса, реализацию которого поддерживает ИСПДн, нет необходимости в обработке определенных персональных данных, эти персональные данные должны быть удалены.
Требования по обеспечению безопасности персональных данных в ИСПДн в общем случае реализуются комплексом организационных, технологических, технических и программных мер, средств и механизмов защиты информации.
Организация выполнения и (или) реализация требований по обеспечению безопасности персональных данных должна осуществляться структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение безопасности персональных данных, либо на договорной основе организацией — контрагентом организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
Создание ИСПДн организации должно включать разработку и согласование (утверждение) предусмотренной техническим заданием организационно распорядительной, проектной и эксплуатационной документации на создаваемую систему. В документации должны быть отражены вопросы обеспечения безопасности обрабатываемых персональных данных.
Разработка концепций, технических заданий, проектирование, создание и тестирование, приемка и ввод в действие ИСПДн должны осуществляться по согласованию и под контролем структурного подразделения или должностного лица (работника), ответственного за обеспечение безопасности персональных данных.
Все информационные активы, принадлежащие ИСПДн организации, должны быть защищены от воздействий вредоносного кода. В организации должны быть определены и документально зафиксированы требования по обеспечению безопасности персональных данных средствами антивирусной защиты и порядок проведения контроля реализации этих требований.
В организации должна быть определена система контроля доступа, позволяющая осуществлять контроль доступа к коммуникационным портам, устройствам ввода вывода информации, съемным машинным носителям и внешним накопителям информации ИСПДн.
Руководители эксплуатирующих и обслуживающих ИСПДн подразделений организации обеспечивают безопасность персональных данных при их обработке в ИСПДн.
Работники, осуществляющие обработку персональных данных в ИСПДн, должны действовать в соответствии с инструкцией (руководством, регламентом и т.п.), входящей в состав эксплуатационной документации на ИСПДн, и соблюдать требования документов по обеспечению ИБ.
Обязанности по администрированию средств защиты и механизмов защиты, реализующих требования по обеспечению ИБ ИСПДн организации, возлагаются приказами (распоряжениями) на специалистов департамента информационных технологий.
Порядок действий специалистов Департамента информационных технологий и персонала, занятых в процессе обработки персональных данных, должен быть определен инструкциями (руководствами), которые готовятся разработчиком ИСПДн в составе эксплуатационной документации на ИСПДн.
Указанные инструкции (руководства):
- устанавливают требования к квалификации персонала в области защиты информации, а также актуальный перечень защищаемых объектов и правила его обновления;
- содержат в полном объеме актуальные (по времени) данные о полномочиях пользователей;
- содержат данные о технологии обработки информации в объеме, необходимом для специалиста по информационной безопасности;
- устанавливают порядок и периодичность анализа журналов регистрации событий (архивов журналов);
- регламентируют другие действия.
Параметры конфигурации средств защиты и механизмов защиты информации от НСД, используемых в зоне ответственности специалистов Департамента информационных технологий, определяются в эксплуатационной документации на ИСПДн. Порядок и периодичность проверок установленных параметров конфигурации устанавливаются в эксплуатационной документации или регламентируются внутренним документом, при этом проверки должны проводиться не реже чем раз в год.
В организации должен быть определен и документально зафиксирован порядок доступа в помещения, в которых размещаются технические средства ИСПДн и хранятся носители персональных данных, предусматривающий контроль доступа в помещения посторонних лиц и наличие препятствий для несанкционированного проникновения в помещения. Указанный порядок должен быть разработан структурным подразделением или должностным лицом (работником), ответственным за обеспечение режима физической безопасности и согласован структурным подразделением или должностным лицом (работником), ответственным за обеспечение безопасности персональных данных, и департаментом экономической безопасности.
Пользователи и обслуживающий персонал ИСПДн не должны осуществлять несанкционированное и (или) не регистрируемое (бесконтрольное) копирование персональных данных. С этой целью организационно-техническими мерами должно быть запрещено несанкционированное и (или) не регистрируемое (бесконтрольное) копирование персональных данных, в том числе с использованием отчуждаемых (сменных) носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов), а также устройств фото и видеосъемки.
Контроль обеспечения безопасности персональных осуществляется специалистом по информационной безопасности, как с помощью штатных средств системы защиты информации, так и с помощью специальных средств контроля и технологического мониторинга.
Скачать ZIP файл (65475)
Пригодились документы — поставь «лайк» или поддержи сайт материально:
нетслов ето зачот
В оригинале «Концепция является методологической основой политики...»
Класс «Политика является методологической основой политики...».