Метки: ,

Информационная Безопасность

PolitikaIB2-5b

Политика Информационной Безопасности.

1. Общие положения

Настоящая Политика информационной безопасности (далее – Политика) определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач, а также организационных, технологических и процедурных аспектов обеспечения безопасности информации объектов информационной инфраструктуры, включающих совокупность информационных центров, банков данных и систем связи организации. Настоящая Политика разработана с учетом требований действующего законодательства РФ и ближайших перспектив развития объектов информационной инфраструктуры, а также характеристик и возможностей современных организационно-технических методов и аппаратно-программных средств защиты информации.

Основные положения и требования Политики распространяются на все структурные подразделения организации.

Политика является методологической основой для формирования и проведения единой политики в области обеспечения безопасности информации объектов информационной инфраструктуры, принятия согласованных управленческих решений и разработки практических мер, направленных на обеспечение информационной безопасности, координации деятельности структурных подразделений организации при проведении работ по созданию, развитию и эксплуатации  объектов информационной инфраструктуры с соблюдением требований по обеспечению безопасности информации.

Политика не регламентирует вопросы организации охраны помещений и обеспечения сохранности и физической целостности компонентов информационной инфраструктуры, защиты от стихийных бедствий, и сбоев в системе энергоснабжения, однако предполагает построение системы информационной безопасности на тех же концептуальных основах, что и система безопасности организации в целом.

Реализация политики обеспечивается соответствующими руководствами, положениями, порядками, инструкциями, методическими указаниями и системой оценки информационной безопасности в организации.

В Политике используются следующие термины и определения:

Автоматизированная система (АС) — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Информационная инфраструктура — система организационных структур, обеспечивающих функционирование и развитие информационного пространства и средств информационного взаимодействия. Информационная инфраструктура включает совокупность информационных центров, банков данных и знаний, систем связи, обеспечивает доступ потребителей к информационным ресурсам.

Информационные ресурсы (ИР) – это отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, базах данных и других информационных системах).

Информационная система (ИС) — система обработки информации и соответствующие организационные ресурсы (человеческие, технические, финансовые и т. д.), которые обеспечивают и распространяют информацию.

Безопасность — состояние защищенности интересов (целей) организации в условиях угроз.

Информационная безопасность (ИБ) — безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств ИБ — доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей) организации.

Доступность информационных активов — свойство ИБ организации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы.

Целостность информационных активов — свойство ИБ организации сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах.

Конфиденциальность информационных активов — свойство ИБ организации, состоящее в том, что обработка, хранение и передача информационных активов осуществляется таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.

Система информационной безопасности (СИБ) — совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.

Несанкционированный доступ – доступ к  информации  в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации или получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.

2. Общие требования по обеспечению информационной безопасности

Требования информационной безопасности (далее — ИБ) определяют содержание и цели деятельности организации в рамках процессов управления ИБ.

Эти требования формулируются для следующих областей:

  • назначение и распределение ролей и доверия к персоналу;
  • стадий жизненного цикла объектов информационной инфраструктуры;
  • защиты от несанкционированного доступа (далее — НСД), управления доступом и регистрацией в автоматизированных системах, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.;
  • антивирусной защиты;
  • использования ресурсов Интернет;
  • использования средств криптографической защиты информации;
  • защиты персональных данных.

3. Объекты, подлежащие защите

Основными объектами, подлежащими защите, являются:

  • информационные ресурсы, представленные в виде документов и массивов информации, вне зависимости от формы и вида их представления, включающие в том числе конфиденциальную и открытую информацию;
  • система формирования, распространения и использования информационных ресурсов, библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, технический и обслуживающий персонал;
  • информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены компоненты информационной инфраструктуры.

3.1. Особенности Автоматизированной системы

В АС циркулирует информация разных категорий. Защищаемая информация может быть совместно использована различными пользователями из различных подсетей единой корпоративной сети.

В ряде подсистем АС предусмотрено взаимодействие с внешними (государственными и коммерческими, российскими и зарубежными) организациями по коммутируемым и выделенным каналам связи с использованием специальных средств передачи информации.

Комплекс технических средств АС включает средства обработки данных (рабочие станции, серверы БД, почтовые серверы и т.п.), средства обмена данными в локальных вычислительных сетях с возможностью выхода в глобальные сети (кабельная система, мосты, шлюзы, модемы и т.д.), а также средства хранения (в т.ч. архивирования) данных.

К основным особенностям функционирования АС относятся:

  • необходимость объединения в единую систему большого количества разнообразных технических средств обработки и передачи информации;
  • большое разнообразие решаемых задач и типов, обрабатываемых данных;
  • объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности;
  • наличие каналов подключения к внешним сетям;
  • непрерывность функционирования;
  • наличие подсистем с различными требованиями по уровням защищенности, физически объединенных в единую сеть;
  • разнообразие категорий пользователей и обслуживающего персонала.

В общем виде, единая АС представляет собой совокупность локальных вычислительных сетей подразделений, объединенных между собой средствами телекоммуникаций. Каждая локальная вычислительная сеть объединяет ряд взаимосвязанных и взаимодействующих автоматизированных подсистем (технологических участков), обеспечивающих решение задач отдельными структурными подразделениями организации.

Объекты информатизации включают:

  • технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование);
  • информационные ресурсы;
  • программные средства (операционные системы, системы управления базами данных, общесистемное и прикладное программное обеспечение);
  • автоматизированные системы связи и передачи данных (средства телекоммуникации);
  • каналы связи;
  • служебные помещения.

3.2. Типы информационных активов организации, подлежащих защите

В подсистемах АС организации циркулирует информация различных уровней конфиденциальности, содержащая сведения ограниченного распространения (служебная, коммерческая, персональные данные) и открытые сведения.

В документообороте АС присутствуют:

  • платежные поручения и финансовые документы;
  • отчеты (финансовые, аналитические и др.);
  • сведения о лицевых счетах;
  • персональные данные;
  • другая информация ограниченного распространения.

Защите подлежит вся информация, циркулирующая в АС и содержащаяся в следующих типах информационных активов:

  • сведения, составляющие коммерческую и служебную тайну, доступ к которым ограничен организацией, как собственником информации, в соответствии с предоставленными Федеральным законом «Об информации, информатизации и защите информации» правами и Федеральным законом «О коммерческой тайне»;
  • персональные данные, доступ к которым ограничен в соответствии с Федеральным законом «О персональных данных»;
  • открытые сведения, в части обеспечения целостности и доступности информации.

3.3. Категории пользователей Автоматизированной системы

В организации имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным ресурсам АС:

  • простые пользователи (конечные пользователи, работники подразделений организации);
  • администраторы серверов (файловых серверов, серверов приложений, серверов баз данных), локальных вычислительных сетей и прикладных систем;
  • системные программисты (ответственные за сопровождение общего программного обеспечения) на серверах и рабочих станциях пользователей;
  • разработчики прикладного программного обеспечения;
  • специалисты по обслуживанию технических средств вычислительной техники;
  • администраторы информационной безопасности и др.

3.4. Уязвимость основных компонентов Автоматизированной системы

Наиболее уязвимыми компонентами АС являются сетевые рабочие станции – автоматизированные рабочие места (далее – АРМ) работников. С АРМ работников могут быть предприняты попытки несанкционированного доступа к информации или попытки несанкционированных действий (непреднамеренных и умышленных) в компьютерной сети. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем.

В особой защите нуждаются такие элементы сетей как выделенные файловые серверы, серверы баз данных и серверы приложений. Недостатки протоколов обмена и средств разграничения доступа к ресурсам серверов могут дать возможность несанкционированного доступа к защищаемой информации и оказания влияния на работу различных подсистем. При этом могут предприниматься попытки как удаленного (со станций сети), так и непосредственного (с консоли сервера) воздействия на работу серверов и их средств защиты.

Мосты, шлюзы, концентраторы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными.

4. Основные принципы обеспечения информационной безопасности

4.1. Общие принципы безопасного функционирования

  • Своевременность обнаружения проблем. Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на его бизнес-цели.
  • Прогнозируемость развития проблем. Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.
  • Оценка влияния проблем на бизнес-цели. Организация должна адекватно оценивать степень влияния выявленных проблем.
  • Адекватность защитных мер. Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.
  • Эффективность защитных мер. Организация должна эффективно реализовывать принятые защитные меры.
  • Использование опыта при принятии и реализации решений. Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.
  • Непрерывность принципов безопасного функционирования. Организация должна обеспечивать непрерывность реализации принципов безопасного функционирования.
  • Контролируемость защитных мер. Организация должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации.

4.2. Специальные принципы обеспечения информационной безопасности

  • Реализация специальных принципов обеспечения ИБ направлена на повышение уровня зрелости процессов управления ИБ в организации.
  • Определенность целей. Функциональные цели и цели ИБ организации должны быть явно определены во внутреннем документе. Неопределенность приводит к “расплывчатости” организационной структуры, ролей персонала, политик ИБ и невозможности оценки адекватности принятых защитных мер.
  • Знание своих клиентов и работников. Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (работников), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами.
  • Персонификация и адекватное разделение ролей и ответственности. Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться и осуществляться преимущественно в форме поручительства. Она должна быть адекватной степени влияния на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться.
  • Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки.
  • Доступность услуг и сервисов. Организация должна обеспечить для своих клиентов и контрагентов доступность услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и/или иными документами.
  • Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно, наблюдаем (прозрачен) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.

5. Цели и задачи обеспечения информации безопасности

5.1. Субъекты информационных отношений в Автоматизированной системе

Субъектами правоотношений при использовании АС и обеспечении безопасности информации являются:

  • Организация как собственник информационных ресурсов;
  • подразделения организации, обеспечивающие эксплуатацию АС;
  • работники структурных подразделений организации, как пользователи и поставщики информации в АС в соответствии с возложенными на них функциями;
  • юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в АС;
  • другие юридические и физические лица, задействованные в процессе создания и функционирования АС (разработчики компонент системы, организации, привлекаемые для оказания различных услуг в области информационных технологий и др.).

Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

  • конфиденциальности определенной части информации;
  • достоверности (полноты, точности, адекватности, целостности) информации;
  • защиты от навязывания ложной (недостоверной, искаженной) информации;
  • своевременного доступа к необходимой информации;
  • разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;
  • возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;
  • защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.).

5.2. Цель обеспечения безопасности информации

Основной целью обеспечения безопасности информации является защита субъектов информационных отношений от возможного нанесения им материального, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования АС или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки:

  • доступности обрабатываемой информации для зарегистрированных пользователей;
  • конфиденциальности определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи;
  • целостности и аутентичности информации, хранимой, обрабатываемой и передаваемой по каналам связи.

5.3. Задачи обеспечения безопасности информации

Для достижения основной цели обеспечения безопасности информации система информационной безопасности АС должна обеспечивать эффективное решение следующих задач:

  • защиту от вмешательства в процесс функционирования АС посторонних лиц;
  • разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС, то есть защиту от несанкционированного доступа;
  • регистрацию действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений безопасности;
  • защиту от несанкционированной модификации и контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;
  • защиту от несанкционированной модификации и контроль целостности используемых в АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
  • защиту информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
  • защиту информации, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;
  • обеспечение аутентификации пользователей, участвующих в информационном обмене;
  • обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;
  • своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
  • создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации.

5.4. Пути решения задач обеспечения безопасности информации

Решение задач обеспечения безопасности информации достигается:

  • строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, АРМ);
  • регламентацией процессов обработки информации и действий работников структурных подразделений организации, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, на основе организационно-распорядительных документов по вопросам обеспечения безопасности информации;
  • полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
  • назначением и подготовкой работников, ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации;
  • наделением каждого работника минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам АС;
  • четким знанием и строгим соблюдением всеми работниками, использующими и обслуживающими аппаратные и программные средства АС, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
  • персональной ответственностью за свои действия каждого работника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;
  • реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;
  • принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов АС;
  • применением технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
  • разграничением потоков информации и запрещением передачи информации ограниченного распространения по незащищенным каналам связи;
  • эффективным контролем за соблюдением работниками требований по обеспечению безопасности информации;
  • постоянным мониторингом сетевых ресурсов, выявлением уязвимостей, своевременным обнаружением и нейтрализацией внешних и внутренних угроз безопасности компьютерной сети;
  • юридической защитой интересов организации от противоправных действий в области информационной безопасности.
  • проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в АС.

6.Угрозы безопасности информации

6.1. Угрозы безопасности информации и их источники

Наиболее опасными угрозами безопасности информации, обрабатываемой в АС, являются:

  • нарушение конфиденциальности (разглашение, утечка) сведений, составляющих служебную или коммерческую тайну, в том числе персональных данных;
  • нарушение работоспособности (дезорганизация работы) АС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
  • нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов АС.

Основными источниками угроз безопасности информации АС являются:

  • неблагоприятные события природного и техногенного характера;
  • террористы, криминальные элементы;
  • компьютерные злоумышленники, осуществляющие целенаправленные деструктивные воздействия, в том числе использование компьютерных вирусов и других типов вредоносных кодов и атак;
  • поставщики программно-технических средств, расходных материалов, услуг и т.п.;
  • подрядчики, осуществляющие монтаж, пусконаладочные работы оборудования и его ремонт;
  • несоответствие требованиям надзорных и регулирующих органов, действующему законодательству;
  • сбои, отказы, разрушения/повреждения программных и технических средств;
  • работники, являющиеся легальными участниками процессов в АС и действующие вне рамок предоставленных полномочий;
  • работники, являющиеся легальными участниками процессов в АС и действующие в рамках предоставленных полномочий.

6.2. Непреднамеренные действия, приводящие к нарушению информационной безопасности, и меры по их предотвращению

Работники организации, имеющие непосредственный доступ к процессам обработки информации в АС, являются потенциальным источником непреднамеренных случайных действий, которые могут привести к нарушению информационной безопасности.

Основные непреднамеренные действия, приводящие к нарушению информационной безопасности (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по предотвращению подобных действий и минимизации наносимого ими ущерба приведены в Таблице 1.

Таблица 1

Основные действия, приводящие к нарушению информационной безопасностиМеры по предотвращению угроз и минимизации ущерба
Действия работников, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств; отключению оборудования или изменение режимов работы устройств и программ; разрушению информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение программ или файлов с важной информацией, в том числе системных, повреждение каналов связи, неумышленная порча носителей информации и т.п.)Организационные меры (регламентация действий, введение запретов).

Применение физических средств, препятствующих неумышленному совершению нарушения.

Применение технических (аппаратно-программных) средств разграничения доступа к ресурсам.

Резервирование критичных ресурсов.
Несанкционированный запуск программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.)Организационные меры (удаление всех потенциально опасных программ с АРМ).

Применение технических (аппаратно-программных) средств разграничения доступа к программам на АРМ.
Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения работниками своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п.)Организационные меры (введение запретов).

Применение технических (аппаратно-программных) средств, препятствующих несанкционированному внедрению и использованию неучтенных программ.
Непреднамеренное заражение компьютера вирусамиОрганизационные меры (регламентация действий, введение запретов).

Технологические меры (применение специальных программ обнаружения и уничтожения вирусов).

Применение аппаратно-программных средств, препятствующих заражению компьютерными вирусами.
Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования или ЭП, идентификационных карточек, пропусков и т.п.)Организационные меры (регламентация действий, введение запретов, усиление ответственности).

Применение физических средств обеспечения сохранности указанных реквизитов.
Игнорирование организационных ограничений (установленных правил) при работе в системеОрганизационные меры (усиление ответственности и контроля).

Использование дополнительных физических и технических средств защиты.
Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом подразделения безопасностиОрганизационные меры (обучение персонала, усиление ответственности и контроля).
Ввод ошибочных данныхОрганизационные меры (усиление ответственности и контроля).

Технологические меры контроля за ошибками операторов ввода данных.

 

6.3. Умышленные действия по нарушению информационной безопасности и меры по их предотвращению

Основные умышленные действия (с корыстными целями, по принуждению, из желания отомстить и т.п.), приводящие к нарушению информационной безопасности АС, и меры по их предотвращению и снижению возможного наносимого ущерба приведены в Таблице 2.

Таблица 2

Основные умышленные действия, приводящие к нарушению информационной безопасностиМеры по предотвращению угроз и минимизации ущерба
Физическое разрушение или вывод из строя всех или отдельных наиболее важных компонентов автоматизированной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.), отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, линий связи и т.п.)Организационные меры (регламентация действий, введение запретов).

Применение физических средств, препятствующих умышленному совершению нарушения.

Резервирование критичных ресурсов.

 
Внедрение агентов в число персонала системы (в том числе, в административную группу, отвечающую за безопасность), вербовка (путем подкупа, шантажа, угроз и т.п.) пользователей, имеющих определенные полномочия по доступу к защищаемым ресурсамОрганизационные меры (подбор, расстановка и работа с кадрами, усиление контроля и ответственности). Автоматическая регистрация действий персонала.
Хищение носителей информации (распечаток, магнитных дисков, лент, запоминающих устройств и целых ПЭВМ), хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.)Организационные меры (организация хранения и использования носителей с защищаемой информацией).
Несанкционированное копирование носителей информации, чтение остаточной информации из оперативной памяти и с внешних запоминающих устройствОрганизационные меры (организация хранения и использования носителей с защищаемой информацией).

Применение технических средств разграничения доступа к защищаемым ресурсам и автоматической регистрации получения твердых копий документов.
Незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы программными закладками и т.д.) с последующей маскировкой под зарегистрированного пользователя.Организационные меры (регламентация действий, введение запретов, работа с кадрами).

Применение технических средств, препятствующих внедрению программ перехвата паролей, ключей и других реквизитов.
Несанкционированное использование АРМ пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.Организационные меры (строгая регламентация доступа в помещения и допуска к работам на данных АРМ).

Применение физических и технических средств разграничения доступа.
Несанкционированная модификация программного обеспечения – внедрение программных «закладок» и «вирусов» («троянских коней» и «жучков»), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи защищаемой информации или дезорганизации функционирования системыОрганизационные меры (строгая регламентация допуска к работам).

Применение физических и технических средств разграничения доступа и препятствующих несанкционированной модификации аппаратно-программной конфигурации АРМ.

Применение средств контроля целостности программ.
Перехват данных, передаваемых по каналам связи, их анализ с целью получения конфиденциальной информации и выяснения протоколов обмена, правил вхождения в сеть и авторизации пользователей, с последующими попытками их имитации для проникновения в системуФизическая защита каналов связи.

Применение средств криптографической защиты передаваемой информации.
Вмешательство в процесс функционирования системы из сетей общего пользования с целью несанкционированной модификации данных, доступа к конфиденциальной информации, дезорганизации работы подсистем и т.п.Организационные меры (регламентация подключения и работы в сетях общего пользования).

Применение специальных технических средств защиты (межсетевых экранов, средств контроля защищенности и обнаружения атак на ресурсы системы и т.п.).

 

6.4. Утечка информации по техническим каналам

При эксплуатации технических средств АС возможны следующие каналы утечки или нарушения целостности информации, нарушения работоспособности технических средств:

  • побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;
  • наводки информативного сигнала, обрабатываемого на средствах электронно-вычислительной техники, на провода и линии, выходящие за пределы контролируемой зоны офисов, в т.ч. на цепи заземления и электропитания;
  • различные электронные устройства перехвата информации (в т.ч. «закладки»), подключенные к каналам связи или техническим средствам обработки информации;
  • просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
  • воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств защиты информации и своевременности информационного обмена, в том числе электромагнитное, через специально внедренные электронные и программные средства («закладки»).

С учетом специфики обработки и обеспечения безопасности информации угрозы утечки конфиденциальной информации (в том числе персональных данных) по техническим каналам являются для организации неактуальными.

6.5. Неформальная модель вероятного нарушителя

Нарушитель — это лицо, которое предприняло попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

Система защиты АС должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др.):

  • «Неопытный (невнимательный) пользователь» – работник, который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам АС с превышением своих полномочий, ввода некорректных данных и т.п. действия по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только штатные (доступные ему) аппаратные и программные средства.
  • «Любитель» — работник, пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса». Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей и т.п. других пользователей), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции) программы (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств). Помимо этого, он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты), самостоятельно разработанные программы или стандартные дополнительные технические средства.
  • «Мошенник» – работник, который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему) аппаратные и программные средства от своего имени или от имени другого работника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п.).
  • «Внешний нарушитель (злоумышленник)» — постороннее лицо или бывший работник, действующий целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор способов нарушения безопасности информации, методов и средств взлома систем защиты, характерных для сетей общего пользования (в особенности сетей на основе IP-протокола), включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети АС организации.
  • «Внутренний злоумышленник» — работник, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести, возможно в сговоре с лицами, не являющимися работниками организации. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий как изнутри, так и из сетей общего пользования.

Внутренним нарушителем может быть лицо из следующих категорий персонала:

  • зарегистрированные конечные пользователи АС (работники подразделений и филиалов);
  • работники, не допущенные к работе с АС;
  • персонал, обслуживающий технические средства АС (инженеры, техники);
  • работники подразделений разработки и сопровождения программного обеспечения (прикладные и системные программисты);
  • технический персонал, обслуживающий здания и помещения организации (уборщицы, электрики, сантехники и другие работники, имеющие доступ в здания и помещения, где расположены компоненты АС);
  • руководители различных уровней.

Категории лиц, которые могут быть внешними нарушителями:

  • уволенные работники;
  • представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго- , водо- , теплоснабжения и т.п.);
  • представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.;
  • члены преступных организаций и конкурирующих коммерческих структур или лица, действующие по их заданию;
  • лица, случайно или умышленно проникшие в сети из внешних сетей («хакеры»).

Пользователи и обслуживающий персонал из числа работников имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации. Действия этой группы нарушителей напрямую связаны с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами.

Уволенные работники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа.

Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность работников организации всеми доступными им силами и средствами.

Хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в АС. Наибольшую угрозу они представляют при взаимодействии с работающими или уволенными работниками и криминальными структурами.

Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Криминальные структуры могут использовать эти организации для временного устройства на работу своих членов с целью доступа к защищаемой информации.

7. Техническая политика в области обеспечения безопасности информации

7.1. Основные положения технической политики

Реализация технической политики в области обеспечения безопасности информации должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение), а отдельные разрабатываемые элементы АС должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных) средств и организационных мероприятий.

Основными направлениями реализации технической политики обеспечения безопасности информации АС является обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения или подделки за счет несанкционированного доступа и специальных воздействий.

В рамках указанных направлений технической политики обеспечения безопасности информации осуществляются:

  • реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации конфиденциального характера;
  • ограничение доступа исполнителей и посторонних лиц в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация конфиденциального характера, непосредственно к самим средствам информатизации и коммуникациям;
  • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки и защиты информации в подсистемах различного уровня и назначения, входящих в АС;
  • учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
  • предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок;
  • криптографическая защита информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
  • надежное хранение машинных носителей информации, криптографических ключей (ключевой информации) и их обращение, исключающее хищение, подмену и уничтожение;
  • необходимое резервирование технических средств и дублирование массивов и носителей информации;
  • снижение уровня и информативности побочных излучений и наводок, создаваемых различными элементами автоматизированных подсистем;
  • электрическая развязка цепей питания, заземления и других цепей объектов информатизации, выходящих за пределы контролируемой зоны;
  • противодействие оптическим и лазерным средствам наблюдения.

7.2. Формирование режима безопасности информации

С учетом выявленных угроз безопасности АС режим безопасности информации должен формироваться как совокупность способов и мер защиты циркулирующей в АС информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации.

Комплекс мер по формированию режима безопасности информации включает:

  • установление в АС организационно-правового режима безопасности информации (нормативные документы, работа с персоналом, делопроизводство);
  • выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам;
  • организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа) к информационным ресурсам АС;
  • комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного распространения после случайных или преднамеренных воздействий.

8. Меры, методы и средства обеспечения безопасности информации

8.1. Организационные меры

Организационные меры — это меры организационного характера, регламентирующие процессы функционирования АС, использование их ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности и снизить размер ущерба в случае их реализации.

8.1.1. Формирование политики безопасности

Главная цель организационных мер — сформировать политику в области обеспечения безопасности информации, отражающую подходы к защите информации, и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

С практической точки зрения политику в области обеспечения безопасности АС целесообразно разбить на два уровня. К верхнему уровню относятся решения, затрагивающие деятельность организации в целом. Примером таких решений могут быть:

  • формирование или пересмотр комплексной программы обеспечения безопасности информации, определение ответственных за ее реализацию;
  • формулирование целей, постановка задач, определение направлений деятельности в области безопасности информации;
  • принятие решений по вопросам реализации программы безопасности, которые рассматриваются на уровне организации в целом;
  • обеспечение нормативной (правовой) базы вопросов безопасности и т.п.

Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач безопасности информации и детализирует (регламентирует) эти правила:

  • какова область применения политики безопасности информации;
  • каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности информации;
  • кто имеет права доступа к информации ограниченного распространения;
  • кто и при каких условиях может читать и модифицировать информацию и т.д.

Политика нижнего уровня должна:

  • предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных информационных ресурсов;
  • определять коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к информации ограниченного распространения;
  • выбирать программные и аппаратные средства криптографической защиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

8.1.2. Регламентация доступа к техническим средствам

Эксплуатация защищенных АРМ и серверов Банка должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящимися под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (АРМ, документов, реквизитов доступа и т.п.). Размещение и установка технических средств таких АРМ должна исключать возможность визуального просмотра вводимой (выводимой) информации лицами, не имеющими к ней отношения. Уборка помещений с установленным в них оборудованием должна производиться в присутствии ответственного, за которым закреплены данные технические средства, или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.

В помещениях во время обработки информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией.

По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану.

Для хранения служебных документов и машинных носителей с защищаемой информацией работники обеспечиваются металлическими шкафами, а также средствами уничтожения документов.

Технические средства, которые используются для обработки или хранения конфиденциальной информации должны опечатываться.

8.1.3. Регламентация допуска работников к использованию информационных ресурсов

В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях; система разграничения доступа, которая предполагает определение для всех пользователей АС информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.

Допуск работников к работе с АС и доступ к их ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком.

Основными пользователями информации в АС являются работники структурных подразделений организации. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:

  • открытая и конфиденциальная информация размещаются по возможности на различных серверах;
  • каждый работник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями;
  • начальник имеет права на просмотр информации своих подчиненных;
  • наиболее ответственные технологические операции должны производиться по правилу «в две руки» — правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.

Все работники, допущенные к работе в АС и обслуживающий персонал АС, должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи, находящихся в их распоряжении защищаемых ресурсов системы. Каждый работник при приеме на работу должен подписывать Обязательство о соблюдении требований по сохранению конфиденциальной информации и ответственности за их нарушение, а также о выполнении правил работы с защищаемой информацией в АС.

Обработка защищаемой информации в подсистемах АС должна производиться в соответствии с утвержденными технологическими инструкциями (порядками) для данных подсистем.

Для пользователей, защищенных АРМ должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению безопасности информации.

8.1.4. Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов

Все операции по ведению баз данных в АС и допуск работников к работе с этими базами данных должны быть строго регламентированы. Любые изменения состава и полномочий пользователей баз данных АС должны производиться установленным порядком.

Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на работников Департамента информационных технологий. При этом могут использоваться как штатные, так и дополнительные средства защиты СУБД и операционных систем.

8.1.5. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов

Подлежащие защите ресурсы системы (задачи, программы, АРМ) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных).

Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация или с которых возможен доступ к защищаемым ресурсам, должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей. Все неиспользуемые в работе (лишние) устройства ввода-вывода информации (COM, USB, LPT порты, дисководы НГМД, CD и другие носители информации) на таких АРМ должны быть отключены (удалены), ненужные для работы программные средства и данные с дисков АРМ также должны быть удалены.

Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами).

Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств, существующих АРМ в АС организации должны осуществляться только установленным порядком.

Все программное обеспечение (разработанное специалистами организации, полученное или приобретенной у фирм-производителей) должно установленным порядком проходить испытания и передаваться в депозитарий программ организации. В подсистемах АС должны устанавливаться и использоваться только полученные установленным порядком из депозитария программные средства. Использование в АС программного обеспечения, не учтенного в депозитарии программ, должно быть запрещено.

Разработка программного обеспечения, проведение испытаний разработанного и приобретенного программного обеспечения, передача программного обеспечения в эксплуатацию должна осуществляться в соответствии с установленным порядком.

8.1.6. Подготовка и обучение пользователей

До предоставления доступа к АС ее пользователи, а также руководящий и обслуживающий персонал должны быть ознакомлены с перечнем конфиденциальной информации и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки такой информации.

Защита информации по всем перечисленным направлениям возможна только после выработки у пользователей определенной дисциплины, т.е. норм, обязательных для исполнения всеми, кто работает в АС. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу АС, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей.

Все работники, использующие при работе конкретные подсистемы АС, должны быть ознакомлены с организационно-распорядительными документами по защите АС в части, их касающейся, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться руководителями подразделений под подпись.

8.1.7. Ответственность за нарушение требований информационной безопасности

По каждому серьезному нарушению требований информационной безопасности работниками организации должно проводиться служебное расследование. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами.

Для реализации принципа персональной ответственности пользователей за свои действия необходимы:

  • индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора, на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа;
  • проверка подлинности пользователей (аутентификация) на основе паролей, ключей на различной физической основе и т.п.;
  • регистрация (протоколирование) работы механизмов контроля доступа к ресурсам информационных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата;
  • реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д.).

8.2. Технические средства защиты

Технические (аппаратно-программные) средства защиты — различные электронные устройства и специальные программы, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическую защиту информации и т.д.).

С учетом всех требований и принципов обеспечения безопасности информации в АС по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

  • средства аутентификации пользователей и элементов АС (терминалов, задач, элементов баз данных и т.п.), соответствующих степени конфиденциальности информации и обрабатываемых данных;
  • средства разграничения доступа к данным;
  • средства криптографической защиты информации в линиях передачи данных и в базах данных;
  • средства регистрации обращения и контроля за использованием защищаемой информации;
  • средства реагирования на обнаруженный НСД или попытки НСД;
  • средства снижения уровня и информативности побочных излучений и наводок;
  • средства защиты от оптических средств наблюдения;
  • средства защиты от вирусов и вредоносных программ;
  • средства электрической развязки как элементов АС, так и конструктивных элементов помещений, в которых размещается оборудование.

На технические средства защиты от НСД возлагается решение следующих основных задач:

  • идентификация и аутентификации пользователей при помощи имен и/или специальных аппаратных средств (Touch Memory, Smart Card и т.п.);
  • регламентация доступа пользователей к физическим устройствам рабочих станций (дискам, портам ввода-вывода);
  • избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам;
  • полномочное (мандатное) разграничение доступа к защищаемым данным на рабочей станции и на файловом сервере;
  • создание замкнутой программной среды разрешенных для запуска программ, расположенных как на локальных, так и на сетевых дисках;
  • защита от проникновения компьютерных вирусов и вредоносных программ;
  • контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора;
  • регистрация действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
  • защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети;
  • централизованное управление настройками средств разграничения доступа на рабочих станциях сети;
  • регистрация всех событий НСД, происходящих на рабочих станциях;
  • оперативный контроль за работой пользователей сети, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости) любой станции сети.

Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными мерами и используемыми физическими средствами защиты:

  • физическая целостность всех компонент АС обеспечена;
  • каждый работник (пользователь системы) имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;
  • использование на рабочих станциях инструментальных и технологических программ (тестовых утилит, отладчиков и т.п.), позволяющих предпринять попытки взлома или обхода средств защиты, ограничено и строго регламентировано;
  • в защищенной системе нет программирующих пользователей, а разработка и отладка программ осуществляется за пределами защищенной системы;
  • все изменения конфигурации технических и программных средств производятся строго установленным порядком;
  • сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних (специальные помещениях, шкафах, и т.п.);
  • службой информационной безопасности осуществляется непрерывное управление и административная поддержка функционирования средств защиты информации.

8.2.1. Средства идентификации и аутентификации пользователей

В целях предотвращения доступа в АС посторонних лиц необходимо обеспечить возможность распознавания системой каждого законного пользователя (или ограниченных групп пользователей). Для этого в системе (в защищенном месте) должен храниться ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости — и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе. Кроме того, для идентификации могут применяться различного рода устройства: магнитные карточки, ключевые вставки, дискеты и т.п.

Аутентификация (подтверждение подлинности) пользователей должна осуществляться на основе использования паролей (секретных слов) или специальных средств аутентификации проверки уникальных характеристик (параметров) пользователей.

8.2.2. Средства разграничения доступа к ресурсам Автоматизированной системы

После распознавания пользователя система должна осуществлять авторизацию пользователя, то есть определять, какие права предоставлены пользователю, т.е. какие данные и как он может использовать, какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. Авторизация пользователя должна осуществляется с использованием следующих механизмов реализации разграничения доступа:

  • механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;
  • механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;
  • механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для запуска программ), поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему.

Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.

Технические средства разграничения доступа должны быть составной частью единой системы контроля доступа:

  • на контролируемую территорию;
  • в отдельные помещения;
  • к элементам АС и элементам системы защиты информации (физический доступ);
  • к ресурсам АС (программно-математический доступ);
  • к информационным хранилищам (носителям информации, томам, файлам, наборам данных, архивам, справкам, записям и т.д.);
  • к активным ресурсам (прикладным программам, задачам, формам запросов и т.п.);
  • к операционной системе, системным программам и программам защиты и т.п.

8.2.3. Средства обеспечения и контроля целостности программных и информационных ресурсов

Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:

  • средствами подсчета контрольных сумм;
  • средствами электронной подписи;
  • средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);
  • средствами разграничения доступа (запрет доступа с правами модификации или удаления).

В целях защиты информации и программ от несанкционированного уничтожения или искажения необходимо обеспечить:

  • дублирование системных таблиц и данных;
  • дуплексирование и зеркальное отображение данных на дисках;
  • отслеживание транзакций;
  • периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей;
  • антивирусная защита и контроль;
  • резервное копирование данных по заранее установленной схеме.

8.2.4. Средства контроля событий безопасности

Средства контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства контроля должны предоставлять возможности:

  • постоянного контроля ключевых узлов сети и сетеобразующего коммуникационного оборудования, а также сетевой активности в ключевых сегментах сети;
  • контроля использования пользователями корпоративных и публичных сетевых сервисов;
  • ведения и анализа журналов регистрации событий безопасности;
  • своевременным обнаружением внешних и внутренних угроз информационной безопасности.

При регистрации событий безопасности в системном журнале должна фиксироваться следующая информация:

  • дата и время события;
  • идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;
  • действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).

Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:

  • вход пользователя в систему;
  • вход пользователя в сеть;
  • неудачная попытка входа в систему или сеть (неправильный ввод пароля);
  • подключение к файловому серверу;
  • запуск программы;
  • завершение программы;
  • попытка запуска программы, недоступной для запуска;
  • попытка получения доступа к недоступному каталогу;
  • попытка чтения/записи информации с диска, недоступного пользователю;
  • попытка запуска программы с диска, недоступного пользователю;
  • нарушение целостности программ и данных системы защиты и др.

Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности):

  • извещение владельца информации о НСД к его данным;
  • снятие программы (задания) с дальнейшего выполнения;
  • извещение администратора баз данных и администратора безопасности;
  • отключение терминала (рабочей станции), с которого были осуществлены попытки НСД к информации или неправомерные действия в сети;
  • исключение нарушителя из списка зарегистрированных пользователей;
  • подача сигнала тревоги и др.

8.2.5. Криптографические средства защиты информации

Одним из важнейших элементов системы обеспечения безопасности информации АС должно быть использование криптографических методов и средств защиты информации от несанкционированного доступа при ее передаче по каналам связи и хранении на машинных носителях информации.

Все средства криптографической защиты информации в АС должны строиться на основе базисного криптографического ядра. На право использования криптографических средств информации организация должна иметь установленные законодательством лицензии.

Ключевая система применяемых в АС средств криптографической защиты должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

Конфиденциальность и имитозащита информации при ее передаче по каналам связи должна обеспечиваться за счет применения в системе средств абонентского и канального шифрования. Сочетание абонентского и канального шифрования информации должно обеспечивать ее сквозную защиту по всему тракту прохождения, защищать информацию в случае ее ошибочной переадресации за счет сбоев и неисправностей аппаратно-программных средств центров коммутации.

В АС, являющейся системой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений. При этом должны использоваться стандартизованные алгоритмы электронной подписи.

8.3. Управление системой обеспечения безопасности информации

Управление системой обеспечения безопасности информации в АС представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические) с целью достижения требуемых показателей и норм защищенности циркулирующей в АС информации в условиях реализации основных угроз безопасности.

Главной целью организации управления системой обеспечения безопасности информации является повышение надежности защиты информации в процессе ее обработки, хранения и передачи.

Управление системой обеспечения безопасности информации реализуется специализированной подсистемой управления, представляющей собой совокупность органов управления, технических, программных и криптографических средств, а также организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней.

Функциями подсистемы управления являются: информационная, управляющая и вспомогательная.

Информационная функция заключается в непрерывном контроле состояния системы защиты, проверке соответствия показателей защищенности допустимым значениям и немедленном информировании операторов безопасности о возникающих в АС ситуациях, способных привести к нарушению безопасности информации. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты, которая обобщается и передается на вышестоящие пункты управления.

Управляющая функция заключается в формировании планов реализации технологических операций АС с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков АС, на которых возникают угрозы безопасности информации. К управляющим функциям относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, приемка включаемых в программную среду АС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического процесса обработки конфиденциальной информации возлагается на работников департамента информационных технологий и департамента экономической безопасности.

К вспомогательным функциям подсистемы управления относятся учет всех операций, выполняемых в АС с защищаемой информацией, формирование отчетных документов и сбор статистических данных с целью анализа и выявления потенциальных каналов утечки информации.

8.4. Контроль эффективности системы защиты

Контроль эффективности системы защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.

Оценка эффективности мер защиты информации проводится с использованием организационных, технических и программных средств контроля на предмет соответствия установленным требованиям.

Контроль может осуществляться как с помощью штатных средств системы защиты информации, так и с помощью специальных средств контроля и технологического мониторинга.

8.5. Особенности обеспечения информационной безопасности персональных данных

Классификация персональных данных проводится в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных.

Рекомендуется выделять следующие категории персональных данных:

  • персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных” к специальным категориям персональных данных;
  • персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных” к биометрическим персональным данным;
  • персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным;
  • персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных” к общедоступным или обезличенным персональным данным.

Передача персональных данных третьему лицу должна осуществляться на основании Федерального закона или согласия субъекта персональных данных. В том случае, если организация поручает обработку персональных данных третьему лицу на основании договора, существенным условием такого договора является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Организация должна прекратить обработку персональных данных и уничтожить собранные персональные данные, если иное не установлено законодательством РФ, в сроки, установленные законодательством РФ в следующих случаях:

  • по достижении целей обработки или при утрате необходимости в их достижении;
  • по требованию субъекта персональных данных или Уполномоченного органа по защите прав субъектов персональных данных — если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством РФ;
  • при невозможности устранения оператором допущенных нарушений при обработке персональных данных.

В организации должны быть определены и документально зафиксированы:

  • порядок уничтожения персональных данных (в том числе и материальных носителей персональных данных);
  • порядок обработки обращений субъектов персональных данных (или их законных представителей) по вопросам обработки их персональных данных;
  • порядок действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных;
  • подход к отнесению АС к информационным системам персональных данных (далее — ИСПДн);
  • перечень ИСПДн. В перечень ИСПДн должны быть включены АС, целью создания и использования которых является обработка персональных данных.

Для каждой ИСПДн должны быть определены и документально зафиксированы:

  • цель обработки персональных данных;
  • объем и содержание обрабатываемых персональных данных;
  • перечень действий с персональными данными и способы их обработки.

Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать целям обработки. В том случае, если для выполнения информационного технологического процесса, реализацию которого поддерживает ИСПДн, нет необходимости в обработке определенных персональных данных, эти персональные данные должны быть удалены.

Требования по обеспечению безопасности персональных данных в ИСПДн в об­щем случае реализуются комплексом организационных, технологических, технических и программных мер, средств и механизмов защиты информации.

Организация выполнения и (или) реализация требований по обеспечению безопасности персональных данных должна осуществляться структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение безопасности персо­нальных данных, либо на договорной основе организацией — контрагентом организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Создание ИСПДн организации должно включать разработку и согласование (утверждение) предусмотренной техническим заданием организационно­ распорядительной, проектной и эксплуатационной документации на создаваемую систему. В документации долж­ны быть отражены вопросы обеспечения безопасности обрабатываемых персональных данных.

Разработка концепций, технических заданий, проектирование, создание и тестирование, приемка и ввод в действие ИСПДн должны осуществляться по согласованию и под контролем структурного подразделения или должностного лица (работника), ответст­венного за обеспечение безопасности персональных данных.

Все информационные активы, принадлежащие ИСПДн организации, долж­ны быть защищены от воздействий вредоносного кода. В организации должны быть оп­ределены и документально зафиксированы требования по обеспечению безопасности персо­нальных данных средствами антивирусной защиты и порядок проведения контроля реализации этих требований.

В организации должна быть определена система контроля доступа, позволяющая осуществлять контроль доступа к коммуникационным портам, устройствам ввода­ вывода информации, съемным машинным носителям и внешним накопителям информации ИСПДн.

Руководители эксплуатирующих и обслуживающих ИСПДн подразделений организации обеспечивают безопасность персональных данных при их обработке в ИСПДн.

Работники, осуществляющие обработку персональных данных в ИСПДн, должны действовать в соответствии с инструкцией (руководством, регламентом и т.п.), входящей в состав эксплуатационной документации на ИСПДн, и соблюдать требования документов по обеспечению ИБ.

Обязанности по администрированию средств защиты и механизмов защиты, реа­лизующих требования по обеспечению ИБ ИСПДн организации, возлагаются приказами (распоряжениями) на специалистов департамента информационных технологий.

Порядок действий специалистов Департамента информационных технологий и пер­сонала, занятых в процессе обработки персональных данных, должен быть определен инструк­циями (руководствами), которые готовятся разработчиком ИСПДн в составе эксплуатационной документации на ИСПДн.

Указанные инструкции (руководства):

  • устанавливают требования к квалификации персонала в области защиты информации, а также актуальный перечень защищаемых объектов и правила его обновления;
  • содержат в полном объеме актуальные (по времени) данные о полномочиях пользова­телей;
  • содержат данные о технологии обработки информации в объеме, необходимом для специалиста по информационной безопасности;
  • устанавливают порядок и периодичность анализа журналов регистрации событий (архи­вов журналов);
  • регламентируют другие действия.

Параметры конфигурации средств защиты и механизмов защиты информации от НСД, используемых в зоне ответственности специалистов Департамента информационных технологий, опре­деляются в эксплуатационной документации на ИСПДн. Порядок и периодичность проверок установленных параметров конфигурации устанавливаются в эксплуатационной документации или регламентируются внутренним документом, при этом проверки долж­ны проводиться не реже чем раз в год.

В организации должен быть определен и документально зафиксирован по­рядок доступа в помещения, в которых размещаются технические средства ИСПДн и хранятся носители персональных данных, предусматривающий контроль доступа в помещения посторон­них лиц и наличие препятствий для несанкционированного проникновения в помещения. Указанный порядок должен быть разработан структурным подразделением или должно­стным лицом (работником), ответственным за обеспечение режима физи­ческой безопасности и согласован структурным подразделением или долж­ностным лицом (работником), ответственным за обеспечение безопасно­сти персональных данных, и департаментом экономической безопасности.

Пользователи и обслуживающий персонал ИСПДн не должны осуществлять несанк­ционированное и (или) не регистрируемое (бесконтрольное) копирование персональных дан­ных. С этой целью организационно-­техническими мерами должно быть запрещено несанкцио­нированное и (или) не регистрируемое (бесконтрольное) копирование персональных данных, в том числе с использованием отчуждаемых (сменных) носителей информации, мобильных уст­ройств копирования и переноса информации, коммуникационных портов и устройств ввода­ вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих уст­ройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов), а также устройств фото­ и видеосъемки.

Контроль обеспечения безопасности персональных осуществляется специалистом по информационной безопасности, как с помощью штатных средств системы защиты информации, так и с помощью специальных средств контроля и технологического мониторинга.

Скачать - кнопка

Скачать ZIP файл (65475)

Пригодились документы — поставь «лайк» или поддержи сайт материально:

3+

У этой статьи 3 комментари(я)(ев)

  2. Юрий 13 Авг 2018 Ответить

    В оригинале «Концепция является методологической основой политики...»

  3. Юрий 8 Авг 2018 Ответить

    Класс «Политика является методологической основой политики...».

Добавить комментарий

Свернуть меню