Характеристика организационных мер и средств защиты КС

 

Как было показано в предыдущей лекции, организационный уровень ЗИ КС включает в себя проведение организационных мероприятий, технологических операций, регламентов применения определенных методов и средств и является составной частью системы защиты всего объекта информатизации. Достижение высокого уровня защищенности КС невозможно без применения комплекса организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей КС, должно регламентировать правила автоматизированной обработки информации (включая и правила ее защиты), устанавливать меру ответственности за нарушение этих правил и контролировать их выполнение.

о рганизационные (административные) меры - это меры, регламентирующие процессы функционирования КС, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

Система организационных и организационно-технических защитных включает в себя:

-разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

-мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой КС или внешней среде (проводимые по необходимости);

-многократно проводимые мероприятия (периодические или стохастические).

Организационные средства - средства, с помощью которых реализуются организационные меры, и не относящиеся к программным или техническим видам. К ним можно отнести:

-нормативно-правовую базу государства;

-организационно-распорядительную документацию;

-административный ресурс и т.п.

К разовым мероприятиям относят:

-общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты АС;

-мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов КС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);

-мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);

-проведение спецпроверок всех применяемых в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;

-внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов КС и действиям в случае возникновения кризисных ситуаций;

-оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;

-определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;

-мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием КС, а также используемых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в КС; выявление наиболее вероятных угроз для данной КС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);

-организацию пропускного режима;

-определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;

-организацию учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;

-определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует, и что при этом они должны делать);

-создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации;

-разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;

-определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса КС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов ТС, ошибок в программах и действиях персонала, стихийных бедствий.

К многократно проводимым мероприятиям относят:

-мониторинг работоспособности ТС и ЗИ;

-распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

-анализ системных журналов и лог-файлов;

-мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;

-периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;

-мероприятия по пересмотру состава и построения системы защиты;

-анализ состояния и оценка эффективности мер и применяемых средств защиты;

-наблюдение за работой персонала и пользователей КС;

-обучение персонала и пользователей.

К мероприятиям, проводимым по необходимости, относят:

-принятие мер по обнаруженным нарушениям правил работы;

-мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

-мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);

-мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.).

В качестве примера проведения комплекса организационных мероприятий можно рассмотреть выделение режимных зон (помещений) на объекте информатизации. К основным мероприятиям по защите информации в выделенных помещениях относятся:

1. Категорирование выделенных помещений в зависимости от важности, секретности и условий обработки информации в соответствии с нормативными документами Гостехкомиссии России.

-Назначение сотрудников, ответственных за выполнение требований по защите информации в выделенных помещениях.

-Обеспечение эффективного контроля за доступом в выделенные помещения, а также в смежные помещения.

-Инструктирование сотрудников, работающих в выделенных помещениях, о правилах эксплуатации технических средств обработки информации и связи с соблюдением требований по защите информации.

-Исключение неконтролируемого доступа к линиям связи, управления сигнализации в ВП, а также в смежные помещения и в коридор.

-Исключение применения в выделенных помещениях технических средств и аппаратуры, не прошедших специсследований, спецпроверки и не разрешенных для использования в данном помещении.

-Осуществление сотрудниками, ответственными за безопасность информации, контроля за проведением всех монтажных и ремонтных работ в выделенных и смежных с ними помещениях, а также в коридорах.

Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в КС может быть (а при больших объемах защищаемой информации - должна быть) создана специальная штатная служба обеспечения компьютерной безопасности. Основные функции службы:

-формирование требований к системе защиты в процессе создания АС;

-участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

-планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;

-распределение между пользователями необходимых реквизитов защиты;

-наблюдение за функционированием системы защиты и ее элементов;

-организация проверок надежности функционирования системы защиты;

-обучение пользователей и персонала АС правилам безопасной обработки информации;

-контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

-принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.

 

Администрирование КС

 

Процесс администрирования КС является организационно-технологическим процессом, объединяющим методики и процедуры обеспечения безопасности с действиями сил и средств. К основным процедурам процесса администрирования относятся:

-проверка системы и средств безопасности;

-управление паролями;

-поддержка пользователей;

-сопровождение программного обеспечения;

-конфигурационное управление;

-резервное копирование;

-управление носителями.

Систематические проверки безопасности — необходимое условие надежного функционирования КС. Проверки должны включать: проведение учений и регламентные работы по контролю политики и всей системы безопасности, постоянное тестирование основных процедур, программно-аппаратных механизмов и средств. Важным элементом проверки является определение достаточной степени полноты проверок и периодичности с целью получения уверенности в защищенности КС.

Управление паролями является наиболее важной процедурой обеспечения безопасности работы пользователей. По данным CERT/CC не менее 80% инцидентов в КС связаны с плохим выбором паролей. Процедуры управления паролями варьируются от эпизодических просьб по смене пароля до анализа устойчивости системы аутентификации. Для последнего используются сетевые анализаторы либо программы вскрытия паролей.

Поддержка пользователей состоит в обучении, консультировании, оказании помощи при их работе в системе, а также в контроле соблюдения ими правил безопасности и выяснении причин возникших проблем или подозрительных событий. Для обучения и консультирования могут быть определены специальные часы занятий. Для оказания помощи в работе, кроме администратора системы, может назначаться специальная группа сопровождения пользователей или группа реагирования на нарушения. Целесообразно вести учет всех вызовов пользователями. Это способствует проведению оценки и совершенствованию качества системы безопасности. Важным является выяснение причин возникших трудностей. Это позволяет оперативно выявить разного рода нарушения, в том числе неавторизованную деятельность злоумышленника.

Процедура сопровождения программного обеспечения требует:

-контролировать безопасность информационных процессов с целью выявления компьютерных вирусов, сбоев и отказов функционирования программ и запуска неавторизованных программ и процессов;

-контролировать целостность программного обеспечения (неавторизованную модификацию) на предмет выявления программных закладок, недокументированных функций и других программных дефектов;

-обеспечивать восстановление программ с эталонных копий (возможно, с привлечением сил и средств фонда алгоритмов и программ предприятия), их обновление, замену и другие вопросы, касающиеся жизненного цикла программного обеспечения.

Процедуры конфигурационного управления. Администратор обеспечивает функциональную совместимость компонентов системы и их настройку с целью максимальной производительности и безопасности. Следует отметить, что зачастую именно ошибки в конфигурации систем являются причиной незащищенности распределенных КС. Дело в том, что конфигурирование особенно сетевых и устаревших аппаратных компонентов может быть делом очень трудным и требовать высокой квалификации технических работников. Поэтому стараются выбирать стандартные настройки подсистем. Это упрощает установку, администрирование и развитие системы, но может не соответствовать специфическим особенностям безопасности КС. Кроме того, стандартные конфигурации более уязвимы перед внешними вторжениями.

Резервное копирование - традиционный способ обеспечения работоспособности системы на случай порчи или утраты информационно-программного ресурса АС. При оценке возможных нарушений производится оценка возможности восстановления информации и программ и требуемые для этого ресурсы. Исходя из этого, рассчитывается периодичность и полнота создания резервных копий. Разуметься, копии должны храниться так, чтобы исключить их утрату вместе с оригиналом. Обычно их содержат в отдельных защищенных помещениях или/и специальных сейфах на случай пожара, затопления, всплеска радиации или другого стихийного бедствия и действия злоумышленника.

Управление носителями включает процедуры по их хранению, учету, выдаче, контролю правильности использования и уничтожения носителей. Сюда относится контроль и учет выдачи информации и на печатающие устройства. На некоторых предприятиях имеются ограничения на использование определенных носителей. Например, разрешается пользоваться только зарегистрированными носителями.