Формирование системы защиты информации при создании автоматизированных систем в защищенном исполнении

В современном мире информационный ресурс стал одним из наиболее мощных рычагов экономического развития. Владение информацией необходимого качества в нужное время и в нужном месте является залогом успеха в любом виде хозяйственной деятельности. Монопольное обладание определенной информацией оказывается зачастую решающим преимуществом в конкурентной борьбе и предопределяет, тем самым, высокую цену "информационного фактора".

Широкое внедрение персональных ЭВМ вывело уровень "информатизации" деловой жизни на качественно новую ступень. Ныне трудно представить себе фирму или предприятие (включая самые мелкие), которые не были бы вооружены современными средствами обработки и передачи информации. В ЭВМ на носителях данных накапливаются значительные объемы информации.

Проблемы защиты информации в автоматизированных системах с годами не теряют своей актуальности. Это объясняется тем, что накапливаемая, хранимая и обрабатываемая в АС информация является достаточно уязвимой, как с точки зрения опасности ее искажения или уничтожения, так и с точки зрения несанкционированного доступа к ней лиц, не имеющих на это полномочий.

Построение системы защиты информации заключается в том, чтобы для заданного объекта (или его проекта) создать оптимальные механизмы обеспечения защиты информации и механизмы управления ими. При этом оптимальность систем защиты понимается в общепринятом смысле: или достижение заданного уровня защищенности информации при минимальных затратах, или достижение максимально возможного уровня защищенности при заданном уровне затрат на защиту.

Выбор той или иной постановки задачи зависит, прежде всего, от характера защищаемой информации, вернее - от характера тайны, содержащейся в защищаемой информации.

1. Комплекс работ по созданию систем защиты информации (СЗИ)

В 2014 году был введен в действие национальный стандарт ГОСТ P 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения", который определил комплекс работ по созданию системы защиты информации для создаваемых (модернизируемых) автоматизированных систем, в отношении которых законодательством или заказчиком установлены требования по их защите.[1]

Автоматизированная система в защищенном исполнении (АСЗИ) - автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или иных нормативных документов по защите информации. В качестве основных видов автоматизированных систем ГОСТ рассматривает автоматизированные рабочие места и информационные системы.

В ГОСТ P 51583-2014 выделен следующий комплекс работ по созданию системы защиты информации (рис.1):

Рис. 1 Комплекс работ по созданию системы защиты информации.

В "Требования по защите информации и созданию системы защиты информации" были рассмотрены стадии создания СЗИ в соответствии с СТР-К (предпроектная, проектирование, ввод в действие СЗИ). ГОСТ Р 51583-2014 не противоречит СТР-К, а лишь более подробно раскрывает комплекс работ по созданию СЗИ. Стоит отметить, что на ГОСТ ссылаются последние документы ФСТЭК.

2. Формирование требований к системе защиты информации

Формирование требований к системе защиты информации (СЗИ) осуществляется обладателем информации (заказчиком) с учетом требований, закрепленных в нормативных правовых актах уполномоченных федеральных органов исполнительной власти и национальных стандартах в области ЗИ, и включает в себя:

· принятие решения о необходимости защиты информации, содержащейся в информационной системе;

· классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);

· определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;

· определение требований к системе защиты информации информационной системы.

Рис.2 Структурная схема обеспечения безопасности автоматизированных систем

Каждый элемент структурной схемы(рис.2) характеризуется следующим образом:

1) Оценивание рисков включает

- идентификация рисков;

- анализ рисков;

- оценка рисков.

2) Выбор мер безопасности включает

- выбор мер безопасности в задании по безопасности для системы

3) Применение мер безопасности включает

- применение мер безопасности по отношению к системе как объекту оценки.

4) Аттестация включает

- принятие остаточных рисков.

При принятии решения о необходимости защиты информации необходимо:

· проанализировать цели и задачи ИС;

· определить, какая информация обрабатывается в ИС;

· на основе информации, полученной в предыдущих пунктах определить, каким нормативным правовым актам, методическим документам и национальным стандартам должна соответствовать информационная система;

· определить цели и задачи СЗИ, основных этапов создания, обладателя информации (заказчика), оператора и уполномоченных лиц.

Результаты классификации информационной системы оформляются актом классификации.

Составляется техническое задание на создание СЗИ на основе ГОСТ 34.602 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" (далее - ГОСТ 34.602), ГОСТ Р 51583 и ГОСТ Р 51624.

Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве основы для определения угроз ФСТЭК России рекомендует использовать банк данных угроз и уязвимостей ФСТЭК России, рассмотренный ранее, и иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации. Результатом этого этапа является модель угроз и модель злоумышленника.

Рис. 3 Классификация угроз безопасности автоматизированным системам

Требования к СЗИ определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации. Они включаются в техническое задание на создание СЗИ и должны, в том числе, включать:

· цель и задачи обеспечения защиты информации в информационной системе;

· класс защищенности информационной системы;

· перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;

· перечень объектов защиты информационной системы;

· требования к мерам и средствам защиты информации, применяемым в информационной системе;

· стадии (этапы работ) создания системы защиты информационной системы;

· требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;

· функции заказчика и оператора по обеспечению защиты информации в информационной системе;

· требования к защите средств и систем, обеспечивающих функционирование информационной системы (обеспечивающей инфраструктуре);

· требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

4. Разработка (проектирование) системы защиты информации

Следующая стадия - разработка системы защиты информации (СЗИ) - осуществляется на основе ТЗ. При разработке СЗИ ИС учитываются взаимодействие ИС с другими ИС и информационно-телекоммуникационными сетями и применение вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

Рис. 4 Разработка СЗИ

При проектировании СЗИ ИС:

· определяются типы субъектов доступа и объектов доступа, являющихся объектами защиты (пример субъекта доступа - пользователь ИС, объекта доступа - объект файловой системы;

· определяются методы управления доступом, типы доступа и правила разграничения доступа субъектов доступа к объектам доступа, подлежащие реализации в информационной системе;

· выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;

· определяются виды и типы средств защиты информации;

· определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;

· осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации (если того требует законодательство), с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;

· определяются требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;

· определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

Результаты проектирования СЗИ отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на информационную систему (систему защиты информации информационной системы), разрабатываемых, с учетом ГОСТ 34.201 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем".

Эксплуатационная документация на СЗИ ИС разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201 и ГОСТ Р 51624 и должна в том числе содержать описание:

· структуры системы защиты информации информационной системы;

· состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;

· правил эксплуатации системы защиты информации информационной системы.

При макетировании и тестировании СЗИ ИС осуществляются:

· проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;

· проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;

· корректировка проектных решений, разработанных при создании информационной системы и (или) системы защиты информации информационной системы.

Макетирование системы защиты информации информационной системы и ее тестирование может проводиться, в том числе, с использованием средств и методов моделирования информационных систем и технологий виртуализации.

4. Внедрение системы защиты информации

Следующая стадия - внедрение СЗИ ИС - осуществляется на основе проектной и эксплуатационной документации.

Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры:

· управления СЗИ ИС;

· выявления инцидентов, которые могут привести к сбоям или нарушению функционирования ИС и (или) к возникновению угроз безопасности информации и реагирования на них;

· управления конфигурацией аттестованной ИС и СЗИ ИС;

· контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в ИС;

· защиты информации при выводе из эксплуатации ИС или после принятия решения об окончании обработки информации.

Рис. 5 Внедрение СЗИ ИС

При внедрении организационных мер защиты информации осуществляются:

· реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;

· проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов ИС по реализации организационных мер защиты информации;

· отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.

Предварительные испытания и опытная эксплуатация СЗИ ИС осуществляются в соответствии с ГОСТ 34.603 "Информационная технология. Виды испытаний автоматизированных систем". Опытная эксплуатация включает проверку функционирования СЗИ ИС, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации СЗИ ИС.

Анализ уязвимостей информационной системы проводится в целях оценки возможности преодоления нарушителем системы защиты информации информационной системы и предотвращения реализации угроз безопасности информации.

Анализ уязвимостей информационной системы включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы.

В случае выявления уязвимостей информационной системы, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.

Приемочные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований к системе защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.

5. Аттестация объекта информатизации по требованиям безопасности информации и ввод его в действие

Следующая стадия - аттестация объекта информатизации и ввод ее в действие. Аттестация ОИ организуется обладателем информации (заказчиком) или оператором. В качестве исходных данных используются (перечислен минимум документов):

· модель угроз безопасности информации;

· акт классификации информационной системы;

· техническое задание на создание ИС и (или) техническое задание (частное техническое задание) на создание СЗИ ИС;

· проектная и эксплуатационная документация на СЗИ ИС;

· организационно-распорядительные документы по защите информации;

· результаты анализа уязвимостей ИС;

· материалы предварительных и приемочных испытаний системы защиты информации информационной системы.

Аттестация проводится до начала обработки информации, подлежащей защите. Для аттестации применяются национальные стандарты и документы ФСТЭК России. По результатам оформляется протокол аттестационных испытаний, заключение о соответствии объекта информатизации требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний. Об аттестации будет подробнее рассказано в следующих лекциях.

Ввод в действие информационной системы осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601 и при наличии аттестата соответствия.

6. Сопровождение системы защиты информации в ходе эксплуатации объекта информатизации

Обеспечение защиты информации в ходе эксплуатации объекта информатизации осуществляется в соответствии с утвержденной организационно-распорядительной, эксплуатационной документацией и требованиями нормативных документов. В частности, с пунктами 4-6 СТР-К, которые были рассмотрены в предыдущих лекциях.

Сопровождение системы защиты информации предполагает также периодический (не реже одного раза в год) контроль состояния защиты информации.

Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке:

· соблюдения нормативных и методических документов;

· работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;

· знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.

7. Порядок выполнения работ по защите информации о создаваемой автоматизированной системе в защищенном исполнении

В ГОСТ P 51583-2014 определен также порядок выполнения работ по защите информации о создаваемой АСЗИ.

Рис.6 Примерный перечень национальных стандартов, рекомендуемых к применению при создании АСЗИ

Защита информации о создаваемой (модернизируемой) АСЗИ также является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем, в случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти или заказчиком.

Основными видами работ по ЗИ о создаваемых (модернизируемых) АСЗИ являются:

· разработка замысла ЗИ о создаваемой (модернизируемой) АСЗИ;

· определение защищаемой информации о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;

· определение носителей защищаемой информации о создаваемой (модернизируемой) АСЗИ и их уязвимостей, актуальных угроз безопасности информации;

· определение и технико-экономическое обоснование организационных и технических мероприятий, которые необходимо проводить в интересах ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;

· обоснование, разработка и /или закупка средств, необходимых для ЗИ о создаваемой (модернизируемой) АСЗИ;

· обоснование и разработка мероприятий по контролю состояния ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;

· разработка документов, регламентирующих организацию и осуществление ЗИ о создаваемой (модернизируемой) АСЗИ.

Перечень информации, подлежащей защите, определяют на стадии формирования требований к АСЗИ и, при необходимости, уточняют на последующих стадиях ее создания. К защищаемой информации относятся:

· цель и задачи ЗИ в АСЗИ;

· перечень составных частей (сегментов) АСЗИ, участвующих в обработке защищаемой в АСЗИ информации;

· состав возможных уязвимостей АСЗИ, возможных последствий от реализации угроз безопасности информации для нарушения свойств безопасности информации (конфиденциальность, целостность, доступность);

· структурно-функциональные характеристики АСЗИ, включающие структуру и состав АСЗИ, физические, функциональные и технологические взаимосвязи между составными частями АСЗИ и взаимосвязи с иными системами, режимы обработки информации в АСЗИ в целом и в ее отдельных составных частях;

· меры и СЗИ, применяемые в АСЗИ;

· сведения о реализации системы ЗИ в АСЗИ.

Контроль состояния ЗИ заключается в оценке:

· соблюдения положений нормативных документов, устанавливающих требования безопасности информации при создании (модернизации) АСЗИ;

· эффективности ЗИ о создаваемой (модернизируемой) АСЗИ;

· знания исполнителями работ по созданию (модернизации) АСЗИ своих функциональных обязанностей в части ЗИ.

Особое значение защита информации о создаваемой АСЗИ приобретает при участии в процессе сторонних организаций. Для сотрудников сторонних организаций также должна быть предусмотрена разрешительная система доступа к защищаемой информации о АСЗИ, документации, программным и техническим средствам. Возможно заключение соглашений о неразглашении (NDA).

В случае если при контроле состояния ЗИ выявлены нарушения, в зависимости от их тяжести обработка информации в АСЗИ может быть приостановлена до устранения выявленных нарушений.

Заключение

Вычислительную сеть или АС можно считать безопасной в смысле обработки информации, если в ней предусмотрена централизованная система управляемых и взаимосвязанных преград, перекрывающих с гарантированной прочностью заданное в соответствии с моделью потенциального нарушителя количество возможных каналов НСД и угроз, направленных на утрату или модификацию информации, а так же несанкционированное ознакомление с нею посторонних лиц.

безопасность информатизация автоматизированный защита

Библиография

1. НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТ P 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения".

2. МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ ГОСТ 34.602 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы"

3. МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ ГОСТ 34.201 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем"

4. МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ ГОСТ 34.603 "Информационная технология. Виды испытаний автоматизированных систем".

5. НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТ Р ИСО/МЭК ТО 19791-2008 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем».

6. Нормативно-методический документ "Специальные требования и рекомендации по технической защите конфиденциальной информации" ("СТР-К" Утвержден Приказом от 20 мая 2003 года N 62).

7. ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТ Р 51674-2000 (МЭК 60983-95) «Лампы миниатюрные».

Размещено на Allbest.ru